Red Seguridad 085

red seguridad marzo 2009 27 seguridad móvil sobre la mesa especial exigirá niveles de seguridad mínimos por sectores o por operador". En cual- quier caso, continuó, "en las infraes- tructuras críticas va a ser necesaria la comprobación de los controles en todas ellas. Con la implantación de este esquema de certificación se cubre la transversalidad del sistema con contro- les a empresas y operadores". Dicho esto, el representante del CNPIC confirmó que la norma está "casi terminada", a la espera de revisión y de realizar una serie de controles de los que se están haciendo partícipes a los ope- radores. "No tenemos marco temporal, pero confiamos en que a finales de este año o principios del que viene podamos tener listo el esquema de certificación, el cual saldrá como un anexo del regla- mento", anunció Sánchez. Notificación de incidentes Pero uno de los aspectos fundamen- tales que debe desarrollar con dete- nimiento ese futuro reglamento del Real Decreto-ley NIS es la notifica- ción de incidentes. Para el deba- te, se tomó como referencia la Guía Nacional de Notificación y Gestión de Ciberincidentes aprobada por el Consejo Nacional de Ciberseguridad en enero de este año. Un documen- to que representa "una herramienta novedosa en España y en Europa", según la definió Sánchez, del CNPIC (organismo que ha liderado la elabora- ción de la guía). Según explicó el invitado, el proce- so de creación de este texto de refe- rencia fue "largo y laborioso, porque había muchos intereses y distintos puntos de vista". Sin embargo, a través de él se ha pretendido mostrar las claves para "saber cómo reaccio- nar ante una crisis, con indicaciones de cómo, dónde y cuándo notificar incidentes", añadió. Lo más relevante, en opinión de Sánchez, es "la implantación de un modelo de notificación según dos crite- rios: el grado de peligrosidad que alcan- ce la amenaza y el impacto asociado a los parámetros desarrollados por el CNPIC y los CSIRT de referencia, los cuales hacen referencia a la actividad económica, la repercusión mediática, etc". En definitiva, el texto supone "un paso adelante inicial muy relevante para todos", en palabras de Sánchez. Así también lo consideran los otros participantes de este "Sobre la mesa...". "La guía tiene aspectos muy positivos; de hecho, enumera pasos de gestión y un conjunto de buenas prácticas que deben adoptar las compañías para notificar", apuntó Ortiz, de Mediaset. También opinó que la guía supone un "avance", aunque reclamó "algo de claridad" en cuanto a los plazos de notificación de los ciberincidentes. Valencia, de Iberdrola, consideró ade- más que en la guía "se han incorporado las necesidades de los sectores", si bien opinó que "la única manera de ejercitar esto es que la notificación sea una parte más a probar dentro de los ciberejerci- cios que realicen los distintos sectores; es decir, se trata de bajarlo al terreno y mejorarlo en la misma línea". Por su parte, Matilla, de REE, obser- vó que "se van dando pasos en la dirección correcta", aunque también planteó la necesidad de que el proceso sea ágil para "no perder mucho tiempo en la parte burocrática" cuando una empresa está en medio de un cibe- rataque. "Cuando hay un incidente, queremos pararlo y volver a la norma- lidad cuanto antes, no dedicar mucho tiempo a otras tareas", manifestó. Sánchez, del CNPIC, tomó de nuevo la palabra para aclarar que, "por un lado está la notificación del incidente y, por otro, la elaboración del informe", con tiempos distintos. Y es que, según comentó, para la Administración es importante tener conocimiento rápida- mente de lo que ha pasado, y en ese sentido van los 25 puntos que indica la guía para que las empresas expliquen el incidente. Son "contenidos orienta- tivos para saber cuanto antes qué ha sucedido, especialmente en el caso de las infraestructuras críticas". Después habrá que presentar un informe, con el Elena Matilla CISO de REE "El proceso de notificación ha de ser ágil para no perder mucho tiempo en la parte burocrática. Cuando hay un incidente, queremos pararlo y volver a la normalidad cuanto antes, no dedicar mucho tiempo a otras tareas" La valoración de la nueva Estrategia Nacional de Ciberseguridad y de la transposición de la Directiva NIS fueron algunos de los temas que también se trataron durante el evento. red seguridad segun o trimestre 1 notificación Patrocinado por: