Fernando Sánchez DirectorCentro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)

"Con la ‘Guía de Notificación de Incidentes’ hemos consensuado un procedimiento estatal"

Fernando Sánchez, director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).

El Consejo Nacional de Ciberseguridad aprobó en enero la Guía Nacional de Notificación y Gestión de Ciberincidentes para ayudar a las organizaciones afectadas por la regulación NIS a comunicar los ataques que reciban. En ella han participado varios organismos de la Administración, bajo la coordinación del CNPIC de los trabajos de elaboración. Su director, Fernando Sánchez, explica los principales contenidos de este documento de referencia.

Un aspecto destacado de la Directiva NIS es la necesidad de que los operadores comuniquen los incidentes de ciberseguridad, para lo cual el Consejo de Ciberseguridad Nacional acaba de aprobar la Guía de Notificación de Incidentes de Ciberseguridad, cuya redacción fue coordinada por el CNPIC. ¿Cuáles son el objetivo, el alcance y los principales puntos de este documento?

La Guía Nacional de Notificación y Gestión de Ciberincidentes [en adelante GNNGC] es uno de los grandes logros de 2018. Y esto es así porque, gracias a ella, se ha consensuado un procedimiento interministerial de alcance estatal de gran relevancia en el ámbito de la ciberseguridad. Estamos hablando de una situación de partida en la que el Centro Criptológico Nacional [CCN] disponía de su propia Guía STIC-817 para el sector público, el Incibe-CERT otra guía para el ámbito privado dentro de su constituency y, por último, el CNPIC habíamos implementado una guía de notificación para operadores críticos. Con la GNNGC hemos logrado que Incibe, CCN, Mando Conjunto de Ciberdefensa [MCCD] y CNPIC hayamos alcanzado un consenso en cuanto a la clasificación de los incidentes y la peligrosidad e impacto asociado para toda la casuística nacional.

Se trata de un documento de 60 páginas en el que se define, a través de 12 capítulos, el ámbito de actuación de cada CSIRT competente, se establecen las taxonomías de los ciberataques y se acuerdan los procedimientos para cada caso, aplicando métricas e indicadores para objetivarlos. Por tanto el alcance del documento es universal, ya que tiene en cuenta desde los ciberincidentes del ciudadano, hasta los de operadores de servicios esenciales, pasando por pymes, instalaciones militares y la red académica.

Para nosotros, por ser nuestra competencia, es fundamental que la notificación de incidentes sea común y clara, y que no se cree confusión, ya que las sanciones asociadas a incumplimientos por parte de los operadores de servicios esenciales nos obligan a ser muy exigentes en el establecimiento de estos procedimientos. Además, en el cuerpo del documento existen una serie de anexos, que han pretendido ser muy sintéticos, donde se recoge información adicional. El de más interés para el CNPIC por su especial relevancia es el Anexo I, donde se especifica la notificación en el ámbito PIC.

Guía de Notificación de Incidentes de Ciberseguridad.
Portada de la Guía Nacional de Notificación y Gestión de Ciberincidentes.

Por lo que comenta, esta guía servirá de referencia para cualquier operador, aunque no sea crítico.

Los operadores críticos no son los únicos a quienes está dirigida esta guía, sino a cualquier usuario que opere en el ciberespacio, sea cual sea el tipo de organización de que se trate, pública o privada, crítica o no crítica, entidad jurídica o física. Otra cuestión muy diferente es que se ha efectuado un especial esfuerzo orientado hacia el colectivo de los operadores críticos, esto es, aquellos que forman parte del Sistema PIC. El motivo es que el embrión de la GNNGC es precisamente un documento que empezó a confeccionarse con el necesario concurso de los propios operadores, y que responde muy especialmente a sus necesidades y a las exigencias del RDL 12/2018. Para ello existe el Anexo I, dedicado a los operadores críticos de forma exclusiva.

Pero el alcance de la GNNGC es muy ambicioso, por lo que otros operadores, empresas, instituciones públicas e incluso ciudadanos pueden ver en la guía una referencia para la gestión y notificación de ciberincidentes. En el capítulo 4 de la GNNGC, titulado «Ventanilla única de notificación», se puede observar de manera conceptual el flujo de información en función del tipo de organización afectada, de la naturaleza de la incidencia y del contexto normativo en el que se enmarca; y por lo tanto, se puede conocer el CSIRT de referencia y la autoridad reguladora que ha de ser conocedora. El concepto de ventanilla única se está extrapolando al terreno operativo para poder implementar una plataforma de notificación que contemple la mayoría de los casos de uso, si bien la GNNGC es de aplicación empleando los medios de notificación que se describen durante ese capítulo 4.

Por ventanilla única entendemos que la entidad afectada por un ciberataque pueda notificar una sola vez la incidencia a través de un único medio, y que los primeros receptores de esta notificación, los CSIRT de referencia, sean los que se encarguen de establecer los contactos necesarios con las entidades reguladoras, la Agencia Española de Protección de Datos, el Banco de España, el MCCD o la Oficina de Coordinación Cibernética [OCC] del CNPIC. En el caso de esta última, también para iniciar los trámites de la judicialización e investigación criminal de los ciberincidentes susceptibles de ser considerados delitos según nuestra referencia legal penal.

A pesar de que el RDL 12/2018 recoge algunos indicadores para identificar los incidentes de ciberseguridad, éstos son muy amplios, no concretan al detalle. Por tanto, ¿qué métricas e indicadores habrá de observar el operador para tener claro si un incidente tiene que notificarse o no? 

Efectivamente, en el artículo 21 del RDL 12/2018 establece unos factores para determinar la importancia de los efectos de un incidente sin mucho detalle; pero en la GNNGC se recogen de manera más específica en una tabla para poder determinar del impacto (se ve en la ilustración 8 de la guía). De hecho esa tabla se ha construido como resultado de la taxonomía o clasificación de incidentes empleada, a partir de la cual también se han construido los criterios de peligrosidad. Hay que decir que tanto los criterios de peligrosidad como los de impacto sirven para determinar la obligatoriedad de la notificación, y ésta se ha establecido en aquellos incidentes considerados críticos, muy altos y altos para los operadores de servicios esenciales.

¡Sigue Leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad