Se cumplen 15 años desde que el Boletín Oficial del Estado publicara el Real Decreto 421/2004, de 12 de marzo, por el que se regulaba el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI). Desde entonces, el CCN ha mantenido un compromiso constante con la protección y defensa del ciberespacio español.
Su contribución ha sido fundamental para el desarrollo de las dos Estrategias de Ciberseguridad Nacional (2013 y 2019), la implantación del Esquema Nacional de Seguridad (ENS) y la creación del CERT Gubernamental Nacional (CCN-CERT). Y también con este último para la gestión de los ciberataques en el sector público y en empresas y organizaciones de interés estratégico, así como para la formación del personal experto, la aplicación de políticas y procedimientos y, por último, el empleo y promoción de productos y tecnologías de seguridad.
«La sociedad española demanda unos servicios de ciberinteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos del actual escenario nacional e internacional. Entre los elementos más característicos de esta nueva situación figuran el desarrollo alcanzado por las tecnologías de la información, la facilidad y flexibilidad de su transmisión en diversos soportes, la generalización casi universal de su uso y la accesibilidad global a las diversas herramientas y redes». Así comenzaba el Real Decreto 421/2004, de 12 de marzo, por el que se regulaba el CCN, un organismo adscrito al CNI cuyos orígenes habría que buscarlos en el propio Centro.
Allí, a principios de los años ochenta, en el seno del Centro Superior de Información de la Defensa, se había formado un departamento con un amplio conocimiento en materia de ciberamenazas, vulnerabilidades y riesgos de los sistemas de información y comunicaciones. Entonces su misión principal era el desarrollo de material de cifra y algoritmos para la protección de la información clasificada, el desarrollo de requisitos de seguridad para estos sistemas y la acreditación de los mismos. Todo ello, siguiendo la línea trazada en materia de seguridad de las TIC por los países avanzados y por las organizaciones internacionales en las que nos integramos en aquellos años: la OTAN y la Unión Europea.
Coordinación
Este departamento fue el germen de lo que, en 2002, al crearse el CNI (regulado por la Ley 11/2002, de 6 de mayo), recogía una de sus funciones principales (artículo 4): «coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada de material criptológico y formar al personal, propio o de otros servicios de la Administración, especialista en este campo para asegurar el adecuado cumplimiento de las misiones del Centro». Además, se añadía la obligación de «velar por el cumplimiento de la normativa relativa a la protección de la información clasificada».
Esta misma Ley otorgaba al secretario de Estado director del CNI el desempeño de «las funciones de Autoridad Nacional de Inteligencia y Contraciberinteligencia y la dirección del CCN».
Ámbito y funciones
Se cumplen, por tanto, 15 años desde que se regulara y diera cuerpo a las funciones del CCN. Unas labores encaminadas a mantener la infraestructura y los sistemas de información del sector público español y de las empresas de interés estratégico para el país con unos niveles óptimos de seguridad, a proteger la información y el patrimonio tecnológico, formar al capital humano necesario y desarrollar las estrategias y marcos legales posibilistas que permitieran a España beneficiarse de todas las bondades de la tecnología, pero de una forma segura. No se trata, por consiguiente, de poner límites al gran avance que nos brinda Internet, sino todo lo contrario. Se trata de garantizar la seguridad, la intimidad y la libertad de todos los ciudadanos para promocionar todavía más esta Red.
Así pues, a lo largo de estos 15 años, la actividad del CCN ha ido adecuándose a una realidad cambiante como pocas. Su contribución ha sido fundamental, tal y como hemos comentado con anterioridad, para el desarrollo de las dos Estrategias de Ciberseguridad Nacional (2013 y 2019), la implantación del ENS o la creación del CCN-CERT como gestor de los ciberataques en el sector público y empresas y organizaciones de interés estratégico para el país.
Detección, respuesta y gestión
Un hito en el desarrollo del CCN fue la creación, en 2006, de la Capacidad de Respuesta a Incidentes de Seguridad del CCN (CCN-CERT). Desde entonces, se ha encargado de contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas. Aquí se incluye la coordinación a nivel público estatal de las distintas capacidades de respuesta a incidentes (CERT-CSIRT) o centros de operaciones de ciberseguridad existentes (SOC).
Es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas clasificados, del sector público y de empresas y organizaciones de interés estratégico (aquellas esenciales para la seguridad nacional y para el conjunto de la economía española). En este último caso, la gestión de ciberincidentes se realizará en coordinación con el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?