TIBER-ES

La tecnología es un elemento imprescindible para que las instituciones financieras y las infraestructuras de mercado puedan ofrecer sus servicios de modo fiable, seguro y acorde con su modelo de negocio y estrategia. Por tanto, resulta fundamental que reduzcan sus vulnerabilidades y dispongan de un entorno de control de la ciberseguridad efectivo y maduro. El éxito en dicha tarea, no obstante, solo será completo en la medida en que sean capaces de enfrentarse a un ciberataque real.

En ese sentido, las pruebas de Threat Led Penetration Testing (TLPT) tienen como objetivo anticipar, en la medida de lo posible, el impacto que una institución sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad, se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen por tanto un instrumento muy poderoso para mejorar la ciberresiliencia del sector.

Marco TIBER-ES

La Comisión Ejecutiva del Banco de España aprobó la adopción del marco de pruebas TLTP publicado por el BCE (TIBER-EU) para el sector financiero español.

El marco local se denomina «TIBER-ES» y tiene como objetivo fundamental fortalecer la ciberresiliencia del conjunto del sector financiero español. Por esta razón, si bien el Banco de España es la autoridad propietaria del marco local, cuenta con la estrecha colaboración de la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP).

TIBER-ES suscribe y se adhiere a los principios de TIBER-EU, de manera que las pruebas realizadas bajo el primero garantizan el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente el marco TIBER-EU. Para ello, se observan, entre otros, los requisitos de realizar las pruebas sobre entornos de producción y de contar con proveedores externos para la realización del test.

Guía de implementación TIBER-ES

La guía de implementación forma parte del marco operativo TIBER-ES y ha sido desarrollada por el TIBER Cyber Team (TCT) liderado por Banco de España, en colaboración con la CNMV y la DGSFP.

El propósito del documento es especificar las condiciones para la realización de pruebas de TLTP bajo el esquema de requisitos de TIBER-ES. Los conceptos fundamentales y los principios básicos del marco TIBER-EU han sido recogidos en el documento con detalle, y las pruebas deberán ajustarse a ellos. Al margen de dichos requisitos, el documento pretende ser una guía, y no un catálogo prescriptivo de actividades.

Otros documentos y plantillas relevantes

La guía de implementación TIBER-ES debe ser leída e interpretada en conjunto, tanto con el marco TIBER-EU como con los documentos que lo complementan —entre otros, la guía de contratación de proveedores (TIBER-EU Services Procurement Guidelines) y la guía del White Team (TIBER-EU White Team Guidance)— publicados por el BCE. Todas las referencias a documentos y plantillas publicados por el BCE incluidas en la guía pueden encontrarse en el sitio web de TIBER-EU:

Consultas y solicitudes para realizar pruebas TIBER-ES

Cualquier institución financiera o infraestructura de mercado que opere en España puede someterse a una prueba TIBER-ES, de manera voluntaria, aunque el grado de sofisticación de estas pruebas las hace recomendables solo para aquellas instituciones que tienen un cierto nivel de madurez en ciberresiliencia.

El TCT tendrá en cuenta estas circunstancias para valorar la aceptación o denegación de las solicitudes de acceso a las pruebas. En cualquier caso, TIBER-ES pretende ser un catalizador eficaz para que todas las instituciones mejoren sus capacidades de ciberseguridad hasta ser candidatas a someterse a este tipo de pruebas.

Las entidades o infraestructuras podrán manifestar su interés en realizar una prueba bajo TIBER-ES,  dirigiéndose al buzón tiberes@bde.es Envío de correo electrónico: Abre en nueva ventana, en el que también se atenderán las consultas de los posibles interesados.