La Comisión Ejecutiva del Banco de España ha publicado la guía de implementación para para España del marco normativo europeo TIBER (Threat Intelligence Based Ethical Red-Teaming). Esta es una guía de buenas prácticas e implementación de Red Teams en el sector financiero español orientadas a aumentar su capacidad de resiliencia en el ámbito de la ciberseguridad.
Esta nueva normativa se justifica en la elevada interrelación que tienen las distintas entidades financieras y por este motivo, el BE establece que para asegurar la estabilidad del sector, la ciberseguridad debe ser una prioridad máxima para las entidades. Tal como se refleja en el documento de implementación “Las pruebas de Threat Led Penetration Testing (TLPT) o red teaming tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real.”
Como bien dice el documento de implementación del Banco de España. Las pruebas TIBER no tienen como objetivo dar un APROBADO o un SUSPENSO a las empresas, sino hacer un listado de posibles vulnerabilidades que están presentes en sus infraestructuras tecnológicas para concienciar y solucionar esas vulnerabilidades, y de esta forma evitar sufrir ataques que se traduzcan en perdidas monetarias y de operatividad importantes.
Esta nueva normativa se justifica en la elevada interrelación que tienen las distintas entidades financieras y por este motivo, el BE establece que para asegurar la estabilidad del sector, la ciberseguridad debe ser una prioridad máxima para las entidades. Tal como se refleja en el documento de implementación “Las pruebas de Threat Led Penetration Testing (TLPT) o red teaming tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real.”
Como bien dice el documento de implementación del Banco de España. Las pruebas TIBER no tienen como objetivo dar un APROBADO o un SUSPENSO a las empresas, sino hacer un listado de posibles vulnerabilidades que están presentes en sus infraestructuras tecnológicas para concienciar y solucionar esas vulnerabilidades, y de esta forma evitar sufrir ataques que se traduzcan en perdidas monetarias y de operatividad importantes.
El funcionamiento de TIBER establece los siguientes equipos participantes para realizar las pruebas:
- Blue Team: Es el objetivo que se va a someter a prueba. Son los encargados de la seguridad de la empresa objetivo.
- Red Team: Es la empresa externa que se dedicará a simular un ataque contra la entidad objetivo.
- Threat Intelligene Provider: Es la empresa que se dedicará a realizar la fase de reconocimiento en la empresa objetivo buscando posibles amenazas y vectores de ataque.
- White Team: Es un pequeño equipo dentro de la empresa que sabe que el simulacro de ciberataque está teniendo lugar, sin comunicárselo al Blue Team.
- TIBER Cyber Team: Es el equipo dentro de la entidad atacada que se coordina con el Red Team y el White Team y supervisa que la prueba se está realizando ajustándose a los parámetros y estándares establecidos.
En la explicación de la norma, se especifica además que, si bien TIBER es algo pensado principalmente para entidades financieras, no solo aplica a estas: “El marco TIBER-UE está destinado a las autoridades (supra)nacionales y a las entidades que forman el núcleo de la infraestructura financiera, incluidas aquellas cuyas actividades transfronterizas son competencia de varias autoridades. Es aplicable a las entidades no sólo del sector financiero, sino también de cualquier otro sector crítico. Además de una serie de requisitos obligatorios, el marco también incluye opciones que pueden adaptarse a las especificidades de las distintas jurisdicciones. Esto facilita el reconocimiento mutuo y reduce la carga tanto para las autoridades como para las entidades”.
Si bien el marco normativo TIBER no resulta actualmente de obligado cumplimiento, no sería extraño que en un margen estrecho de tiempo acabe convirtiéndose en ley, como ya pasó con la ley de protección de datos o con determinadas ISO. Además, aunque no sea de obligado cumplimiento, tener el reconocimiento de haber cumplimentado una prueba bajo el marco de TIBER, te posibilita la participación en algunos concursos laborales.
Actualmente TIBER está siendo implementado en Bélgica, Dinamarca, Finlandia, Alemania, Irlanda, Italia, Noruega, Rumanía, España, Luxemburgo, Suecia y Holanda, pero se espera que todos los países de la Unión Europea adopten este marco como estándar para medir la seguridad de las empresas y entidades en un margen de un año.
0