En el ámbito de la ciberseguridad, existe una variedad de metodologías de pruebas de seguridad que pueden utilizarse. Las pruebas de estrés ofrecen un método ligero y específico para evaluar la ciberseguridad y la resiliencia, aunque su aplicación es limitada.
En respuesta a esto, la Agencia de la UE para la Ciberseguridad desarrolló el manual como orientación para las autoridades nacionales o sectoriales que supervisan la ciberseguridad y la resiliencia de los sectores críticos, a nivel nacional, regional o de la UE, de conformidad con la Directiva NIS 2. También podría ser útil para otras autoridades supervisoras y nacionales en virtud de las regulaciones sectoriales, como las de la Ley de Resiliencia Operativa Digital (DORA) (LA LEY 26819/2022) o la Directiva de Resiliencia de Entidades Críticas (CER).
¿Qué es una prueba de estrés cibernético?
El manual proporciona la definición de una prueba de estrés cibernético como "una evaluación específica de la resiliencia de organizaciones individuales y su capacidad para soportar y recuperarse de incidentes de ciberseguridad significativos, garantizando la prestación de servicios críticos en diferentes escenarios de riesgo".
Explorando el manual
El manual ofrece una guía paso a paso para las pruebas de estrés cibernético, describe cómo estas pruebas pueden ser adecuadas para evaluar la resiliencia, las dependencias y los riesgos sistémicos, y explica cómo pueden llevarse a cabo a nivel nacional, regional y de la UE. Incluye un ejemplo práctico para ilustrar el proceso, que abarca el sector sanitario de la UE.
Descripción de los 5 pasos para organizar una prueba de estrés de ciberresiliencia
El manual también ofrece recomendaciones valiosas en cada paso del proceso, incluyendo cómo las decisiones sobre el número y tipo de entidades evaluadas pueden afectar los resultados y la complejidad de la prueba, así como consejos sobre el desarrollo de escenarios y el uso de métricas de resiliencia para identificar brechas y problemas tanto a nivel de entidad como de sector.
Una herramienta para las Autoridades Nacionales Competentes
Las pruebas de estrés cibernético constituyen una herramienta valiosa en el conjunto de herramientas regulatorias de las autoridades nacionales, que complementa otras actividades y permite una supervisión más eficiente y específica de los sectores críticos. ENISA espera seguir brindando el apoyo necesario a las autoridades y agencias, tanto a nivel nacional como de la UE, mediante la realización de pruebas de estrés cibernético a nivel nacional, regional y de la UE.