La DGSFP ha publicado en su página web la Guía de Implementación de Pruebas Threat Led Penetration Testing (TLPT). Estos tests tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real.
La Comisión Ejecutiva del Banco de España aprobó el pasado año la adopción del marco de pruebas avanzadas de ciberseguridad publicado por el Banco Central Europeo (TIBER-EU) para el sector financiero español. Cualquier institución financiera que opere en España podrá someterse a pruebas bajo el marco local, de manera voluntaria.
En este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos [Tactics, Techniques and Procedures (TTP)] como los que utilizaría un ciberatacante sofisticado. “Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras”, según se recuerda en el texto de la propia guía.
Ciberresiliencia
El objetivo del marco no es calificar como aprobada o suspensa a la entidad que se somete a las pruebas, sino mejorar el conocimiento de sus debilidades y fortalezas ante ciberataques. E identificar medidas que incrementen la ciberresiliencia.
Otra de las características distintivas de los test TIBER-EU, en comparación con otro tipo de pruebas de ciberseguridad, es su enfoque holístico y basado en ciberinteligencia. De este modo, se reconoce en la guía, “las entidades pueden comprobar su grado de ciberresiliencia respecto a debilidades y amenazas constatadas, relevantes para el sector y reales, en lugar de basarse solo en aquellas que la entidad percibe como tales o que es capaz de identificar usando sus propios medios”.
