Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA Panel II: Ciberseguridad en las infraestructuras críticas: protegiéndonos en el ciberespacio

5º Congreso de Protección de Infraestructuras Críticas y Servicios Esenciales

Ciberseguridad, un pilar fundamental para la Protección de Infraestructuras Críticas y Esenciales de nuestro país 21/12/2017 - E.G/ B.V/ D.M/ J.S. Fotos:Mar Sáez
La ciberseguridad ocupó un papel importante en el 5º Congreso de Protección de Infraestructuras Críticas y Servicios Esenciales a través del panel "Ciberseguridad en las infraestructuras críticas: protegiéndonos en el ciberespacio". El ministro del Interior fue el encargado de inaugurar este encuentro que contó con la colaboración de La Fundación Borredá y la asistencia de 500 profesionales entre los que se encontraron los presidentes de grandes empresas españolas que analizaron el avance del sistema PIC.
Luis Jiménez (CCN), Enrique Cabeiro (Mando Conjunto de Ciberdefensa), José Valiente (CCI), Alberto Hernández (Incibe) y Miguel Ángel Abad (OCC).

El segundo panel del 5º Congreso PIC abordó la salvaguarda de los servicios esenciales desde el punto de vista de la seguridad lógica. Para ello, este espacio se dividió en dos mesas redondas que trataron el modelo de ciberseguridad español y la gestión de incidentes, así como la investigación y la persecución del ciberdelito.

Con el título “Ciberseguridad en las infraestructuras críticas: protegiéndonos en el ciberespacio”, se celebró el segundo panel de la jornada, el cual estuvo dividido en dos sesiones. La primera se denominó “El modelo de ciberseguridad español y la gestión de incidentes”, y fue moderada por José Valiente, presidente del Centro de Ciberseguridad Industrial. En su introducción al debate, este profesional mencionó el ataque WannaCry que se produjo en mayo, el cual, dentro de lo malo, ha servido para concienciar sobre la importancia de la cooperación público-privada y ha permitido extraer tres lecciones: “La necesidad de mayor coordinación, una mejor comunicación de las amenazas a la sociedad y un mayor esfuerzo para extender la cultura de ciberseguridad en todos los ámbitos”.

 En esa línea se pronunció el primer interviniente, Luis Jiménez, subdirector general del Centro Criptológico Nacional (CCN), para quien “el modelo español resultó efectivo para gestionar un incidente como WannaCry”. No obstante, añadió: “El flujo de información, desde el punto de vista técnico, fue perfecto. El problema es que no está procedimentado; es decir, no hay nada que nos obligue ni nos diga cómo hay que hacerlo. Se ha trabajado bien, pero informalmente”. Además, reconoció que “la comunicación del incidente no se hizo bien”, pues “se dieron mensajes alarmistas que no eran para tanto”.

 Al respecto también se refirió Alberto Hernández, director general del Instituto Nacional de Ciberseguridad (Incibe), quien coincidió con Jiménez en este punto: “Con el incidente nos dimos cuenta de que, con un impacto pequeño, como fue el caso, se genera una crisis grande si no se explica bien lo que pasa. Se debe hacer en un lenguaje cercano y de forma coordinada”. A pesar de ello, el responsable de Incibe quiso recalcar las otras cuestiones que se hicieron bien durante esta crisis, como fue “la reacción de las empresas afectadas, los organismos públicos y el resto del sector”, así como “la coordinación entre todos los actores involucrados”.

Por su parte, Enrique Cabeiro, jefe de operaciones del Mando Conjunto de Ciberdefensa, también reivindicó el papel desempeñado por las empresas y entidades públicas en el incidente. “Después de WannaCry quedó la sensación de que había salido bien de casualidad, porque somos buenos improvisando; pero no creo que fuera así. En España tenemos perfectamente delimitadas las competencias y no hay áreas desiertas. Cada uno de los CERT [Equipo de Respuesta a Incidentes de Ciberseguridad] sabe cuál es su cometido y hay unas excelentes relaciones entre los organismos públicos”, resaltó Cabeiro.

 Este punto de vista también lo compartió Miguel Ángel Abad, jefe de Ciberseguridad y de la Oficina de Coordinación Cibernética (OCC) del CNPIC, quien señaló que “los actores implicados están preparados para canalizar cualquier incidente, tanto por conocimientos como por formación”; y coincidió con lo expresado anteriormente en que “la gestión de un incidente de ciberseguridad hay que transmitirlo dentro y fuera de la organización con terminología no técnica y que sea entendible para todos”.Aparte de este tema, durante la mesa también se abordaron otros aspectos relacionados con la seguridad TIC, como la situación del modelo de ciberseguridad español comparado con otros países. En este sentido, todos los ponentes coincidieron con la afirmación de Abad: “Tenemos un nivel bastante aceptable, pero no nos vendemos bien fuera”. Además, continuó, “la Estrategia de Ciberseguridad Nacional pone sobre la mesa un aspecto fundamental, que es la responsabilidad compartida, algo que no tienen en otros países”.

Gestión del ciberdelito

La segunda mesa de este panel –“Investigación y persecución del ciberdelito: mecanismos de coordinación con los operadores críticos”– estuvo moderada por Ana María Martín, fiscal adscrita a la Unidad Central contra la Criminalidad Informática de la Fiscalía General del Estado. En su presentación antes del debate, Martín remarcó el objetivo de la reciente legislación europea en términos de ciberseguridad, materializada a través de la conocida como Directiva NIS –Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión–, cuyo fin es “fomentar la cooperación entre todos los agentes, instando a los Estados miembros a que estén preparados para prevenir los riesgos de seguridad y las vulnerabilidades de los sistemas de información mediante el establecimiento de unas normas mínimas de detección y comunicación en cada uno de los sectores involucrados”.

Precisamente, Manuel Sicilia, jefe de la Sección de Análisis del Servicio de Ciberseguridad y de la OCC del CNPIC, se refirió a la Directiva NIS en su intervención. “Todavía no

Manuel Sicilia (CNPIC), Juan Rodríguez Álvarez de Sotomayor (Guardia Civil), Ana María Martín (Fiscalía General del Estado), Rafael Pérez (Policía Nacional) y  Ángel Mahou (Red Eléctrica España).
Manuel Sicilia (CNPIC), Juan Rodríguez Álvarez de Sotomayor (Guardia Civil), Ana María Martín (Fiscalía General del Estado), Rafael Pérez (Policía Nacional) y Ángel Mahou (Red Eléctrica España).

 se sabe cómo será su materialización en la legislación nacional, pero sus objetivos están alineados con los del CNPIC”, en tanto en cuanto “identifica los servicios esenciales objeto de protección”, aseguró este profesional. “Nuestra aportación, desde el Ministerio del Interior, ha sido desarrollar una metodología para identificar a los operadores críticos y sus infraestructuras”, comentó.

Entre esos operadores se encuentra Red Eléctrica de España, cuyo director corporativo de recursos, Ángel Mahou, alabó el modelo de trabajo del CNPIC, al cual calificó como “un ejemplo que debe trascender a la sociedad española”. “Para nosotros es importante cooperar con ellos en un modo de trabajo basado en la confianza, la interdependencia y la comunicación”, sostuvo el directivo.A continuación, señaló que no todos los ciberincidentes que se registran cada día en su empresa son constitutivos de delito, porque no interfiere en la actividad principal de la organización. Aun así, afirmó que “cualquier infraestructura crítica que tenga indicios de delito tiene la responsabilidad de comunicarlo y presentar la pertinente denuncia a las Fuerzas y Cuerpos de Seguridad del Estado”. Y es que, según Mahou, “es importante denunciar para poder perseguir judicialmente al autor del delito”.

De ello dio fe el representante de la Guardia Civil, el teniente coronel Juan Rodríguez Álvarez de Sotomayor, jefe del Grupo de Delitos Telemáticos, quien explicó que la función de dicho grupo consiste en “recoger las evidencias de un ataque”, con el fin de que les sirvan para “reconstruir los hechos, identificar al autor y proceder a su detención”. Para ello, están en contacto todas otras unidades policiales españolas, europeas y americanas a través de distintas plataformas de intercambio de información. Sin embargo, todo esto no sirve de nada, insistió, si las empresas no denuncian. “Tenemos una cierta sensación de desazón, porque todo nuestro trabajo choca con la reticencia por parte de las empresas a notificar”, aseguró el mando policial.

Finalmente, el comisario principal Rafael Pérez, jefe de la Unidad de Investigación Tecnológica de la Policía Nacional, aparte de confirmar las palabras de su compañero y afirmar que ve este tema “con pesimismo”, aseguró tener “ciertas esperanzas”. De hecho, ya están dando pasos en la dirección correcta. “Hace unos meses tuvimos una reunión de coordinación con la OCC y el CNPIC, donde llegamos a tres acuerdos: si algún operador denuncia en cualquiera de ambos cuerpos, trasladaremos el contenido de la denuncia a la OCC; se crea un punto de contacto para que, si hay algún problema, se canalice al cuerpo correspondiente; y comunicaremos a la OCC cuándo empezamos y acabamos una investigación”. El objetivo con todo ello, según Pérez, “es despertar en todos una mayor confianza en las Fuerzas y Cuerpos de Seguridad”. 

Para acceder a la crónica completa del V Congreso PIC pincha aquí

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual