ENISA publica las 16 mejores prácticas para la gestión de cibercrisis en la UE

Con los diversos conflictos geopolíticos actuales como telón de fondo, la Agencia de la Unión Europea (UE) para la Ciberseguridad (ENISA) prevé un panorama complejo para la ciberseguridad del bloque en los próximos meses y años. En su búsqueda de planificar ante escenarios esperados y no esperados de amenazas e incidentes cibernéticos, el organismo ha publicado el informe Mejores Prácticas para la Gestión de las Cibercrisis. 

Con 16 mejores prácticas y cinco conclusiones finales, el documento pretende delinear los distintos escenarios de una crisis cibernética y proponer una serie de medidas que los Estados miembros deberían adoptar para propiciar una transición hacia los nuevos requerimientos de la directiva NIS2, que regula la ciberseguridad a nivel europeo. 

Juhan Lepassaar, director ejecutivo de la agencia, manifestó que "compartir las mejores prácticas de los Estados miembros es un paso para reforzar con éxito la gestión de las crisis cibernéticas. Este informe sirve de herramienta para ayudar a aplicar las disposiciones de la directiva NIS2. Los procesos de gestión de crisis para la continuidad de las empresas son primordiales". 

En un primer paso, el texto define lo que son las cibercrisis: “un incidente de ciberseguridad a gran escala que no permite el correcto funcionamiento del mercado interior o que plantea graves riesgos para la seguridad y la protección públicas de entidades o ciudadanos de varios Estados miembros o de la Unión en su conjunto”.

16 mejores prácticas para la gestión de las cibercrisis 

Así, ENISA definió 16 mejores prácticas, que se dividen en las cuatro fases del ciclo de vida de la gestión de cibercrisis: prevención, preparación, respuesta y recuperación.  

Fase 1: Prevención 

1. Adopción de una definición nacional de cibercrisis, teniendo en cuenta su dimensión transfronteriza. 

2. Desarrollo de estándares de seguridad de la información específicas para el sector público nacional, que se revisarán y actualizarán periódicamente. 

3. Fomento de iniciativas nacionales que promuevan la creación de programas de prevención, tales como programas centralizados de mitigación de DDoS. 

Fase 2: Preparación  

4. Definición de una estructura de gobernanza, dotación de capacidades específicas y designación de un coordinador de crisis, cuyo nombramiento es obligatorio en virtud de NIS2, y garantizar que su departamento cuenta con las capacidades cibernéticas operativas y técnicas necesarias para coordinar directamente a las partes interesadas durante una cibercrisis. 

5. Mapeo y recopilación de información sobre las entidades críticas y sus activos más críticos para permitir una acción rápida. 

6. Establecer canales de comunicación instantáneos y seguros durante una crisis.  

7. Formalización de un reparto claro de funciones entre las partes implicadas en la respuesta a una crisis cibernética en un plan integral. 

8. Desarrollo de criterios de escalada para activar el plan de cibercrisis y desplegar las unidades/grupos de cooperación pertinentes, teniendo en cuenta factores como el tiempo, la prioridad, los actores implicados, la gravedad del ataque, etc. 

9. Desarrollo de una metodología y herramientas de evaluación de riesgos para optimizar la coordinación e interoperabilidad en caso de crisis.  

10. Poner a prueba el plan integral de operaciones en respuesta a cibercrisis mediante un programa plurianual de ejercicios de gestión de crisis cibernéticas y sesiones de formación. 

11. Establecer sesiones de formación para el personal actual y futuro responsable de la gestión de cibercrisis a nivel operativo. 

12. Desarrollo de una estrategia de comunicación que incluya un formato claro para los mensajes, las partes interesadas a implicar, los niveles de prioridad, el factor tiempo y los canales de comunicación a utilizar. 

Fase 3: Respuesta  

13. Fomentar la movilización de proveedores de confianza certificados del sector privado para prestar asistencia técnica a las víctimas. 

14. Apoyar la comunicación de crisis de las víctimas, por ejemplo, con un mensaje unificado y transparente. 

Fase 4: Recuperación  

15. Desarrollar y aplicar el plan de reanudación de la actividad empresarial (BRP, por sus siglas en inglés) definido en los marcos de referencia, con revisiones y actualizaciones periódicas, en consulta con las partes interesadas pertinentes. 

16. Establecer una unidad encargada de recopilar información, extraer lecciones aprendidas y elaborar recomendaciones para revisar, actualizar y modificar los procedimientos y perfeccionar el plan de acción para la gestión de cibercrisis. 

Conclusiones finales 

Tras identificar las mejores prácticas, el estudio alertó sobre la existencia de brechas a nivel operacional en la gestión de las cibercrisis en la UE. Para maximizar los esfuerzos en la transposición de NIS2 y promover una mayor colaboración entre los Estados miembros, ENISA también incluyó en el documento cinco recomendaciones dirigidas a CyCLONe, la red dedicada a mejorar la cooperación de las autoridades nacionales de los Estados miembros en actividades y gestión de crisis cibernéticas. Éstas son: 

• Coordinar sesiones de trabajo en las que participen todos los Estados miembros para definir una lista de mecanismos de cibercrisis a escala de la UE que permitan una evaluación común de los incidentes e identificar a los actores que deben intervenir en función de la gravedad, lo que daría lugar a un modelo de plan de respuesta a las cibercrisis.   

• Desarrollar ejercicios de simulación a escala europea que pongan a prueba, en particular, a los actores y procedimientos a nivel operativo, con el objetivo de practicar la asignación de tareas, la cooperación y la fluidez de acción de cada país durante una cibercrisis.  

• Apoyar a los Estados miembros en la creación de plataformas de comunicación seguras para intercambiar información con entidades esenciales, incluso para la comunicación informal, durante una crisis cibernética. 

• Garantizar que las autoridades nacionales de gestión de cibercrisis de los Estados miembros, en coordinación con el Grupo de Cooperación NIS, actualicen periódicamente los mapas de entidades críticas de su país. 

• Apoyar la organización de sesiones de media training para los ejecutivos de las autoridades nacionales de gestión de cibercrisis de los países, de modo que puedan ofrecer actualizaciones coherentes y claras sobre la evolución de los incidentes, en cualquier tipo de medio de comunicación (prensa, radio, televisión, redes sociales).