Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Fernando Sánchez, director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC),

“Gracias a la Guía de Notificación de Ciberincidentes hemos consensuado un procedimiento de alcance estatal”

08/02/2019
El Consejo de Seguridad Nacional ha hecho pública la Guía Nacional de Notificación y Gestión de Ciberincidentes –la primera de este tipo en toda la UE que recoge un marco único para todo el Estado– para ayudar a las organizaciones afectadas por la Directiva NIS a notificar los ataques que reciban. Fernando Sánchez, director del CNPIC, proporciona en exclusiva en Seguritecnia las claves de esta guía.

Se trata de un documento de referencia para cualquier clase de empresa, está especialmente orientada a los operadores de servicios esenciales y a los críticos, con el objetivo de aclarar cuestiones como cuándo notificar, cómo hacerlo y qué información trasladar a las autoridades competentes.

- En septiembre del año pasado, la Directiva NIS se traspuso al ordenamiento jurídico español a través del Real Decreto-Ley 12/2018 de seguridad de las redes y sistemas de la información [en adelante RDL 12/2018]. ¿Cómo se está produciendo la adaptación a la norma en lo que se refiere a las infraestructuras críticas?

Desde un punto de vista normativo, y en lo que se refiere a la protección de infraestructuras críticas, España siempre ha hecho bien los deberes. Se ha trabajado de manera activa para que el impacto de la transposición de la Directiva NIS sea el menor posible desde antes de su aprobación y durante su desarrollo. De igual manera se hizo con la Ley PIC en su momento, y si bien hay ciertas cuestiones que hay que definir para que el RDL 12/2018 y la Ley PIC se complementen de manera total, se están analizando y discutiendo en estos momentos.

Dicho de otra manera, el esfuerzo que se hizo para identificar a los operadores de infraestructuras críticas por la Ley PIC, no solo nos ha permitido dar implementación al Plan Nacional de Protección de Infraestructuras Críticas, sino que ha facilitado enormemente la identificación de los operadores de servicios esenciales del RDL 12/2018. En este sentido ha bastado identificar cuáles de estos operadores de infraestructuras críticas tienen suficiente dependencia de las tecnologías de la información para considerarlos operadores de servicios esenciales. De esta manera, existirá un gran conjunto de operadores críticos que lo sean también de servicios esenciales (la inmensa mayoría), un conjunto mínimo de operadores críticos pero no de servicios esenciales y algún operador de servicios esenciales que no sea crítico. Por supuesto, esta decisión se ha tomado evaluando a cada operador de manera pormenorizada, valorando su dependencia de las TIC de manera exhaustiva.

- Un aspecto destacado de esa norma es la necesidad de que los operadores comuniquen los incidentes de ciberseguridad, para lo cual el Consejo de Ciberseguridad Nacional acaba de aprobar la Guía de Notificación de Incidentes de Ciberseguridad, cuya redacción fue coordinada por el CNPIC. ¿Cuáles son el objetivo, el alcance y los principales puntos de este documento?

La Guía Nacional de Notificación y Gestión de Ciberincidentes [en adelante GNNGC] es uno de los grandes logros de 2018. Y esto es así porque, gracias a esta guía, se ha consensuado un procedimiento interministerial de alcance estatal de gran relevancia en el ámbito de la ciberseguridad. Estamos hablando de una situación de partida en la que el Centro Criptológico Nacional [CCN] disponía de su propia Guía STIC-817 para el sector público, Incibe-CERT otra guía para el ámbito privado dentro de su “constituency” y, por último, el CNPIC habíamos implementado una guía de notificación para operadores críticos. Con la GNNGC hemos logrado que Incibe, CCN, Mando Conjunto de Ciberdefensa [MCCD] y CNPIC hayan alcanzado un consenso en cuanto a la clasificación de los incidentes y las peligrosidad e impacto asociado para toda la casuística nacional.

Se trata de un documento de 60 páginas en el que se define, a través de 12 capítulos, el ámbito de actuación de cada CSIRT competente, se establecen las taxonomías de los ciberataques y se acuerdan los procedimientos para cada caso, aplicando métricas e indicadores para objetivarlos. Por tanto el alcance del documento es universal, ya que tiene en cuenta desde los ciberincidentes del ciudadano, hasta los de operadores de servicios esenciales, pasando por pymes, instalaciones militares y la red académica.

Para nosotros, por ser nuestra competencia, es fundamental que la notificación de incidentes sea común y clara, y que no se cree confusión, ya que las sanciones asociadas a incumplimientos por parte de los operadores de servicios esenciales nos obligan a ser muy exigentes en el establecimiento de estos procedimientos. Además, en el cuerpo del documento existen una serie de anexos, que han pretendido ser muy sintéticos, donde se recoge información adicional. El de más interés para el CNPIC por su especial relevancia es el Anexo I, donde se especifica la notificación en el ámbito PIC.

- Por lo que comenta, esta guía servirá de referencia para cualquier tipo de operador, aunque no sea crítico.

Los operadores críticos no son los únicos a quienes está dirigida esta guía, sino a cualquier usuario que opere en el ciberespacio, sea cual sea el tipo de organización de que se trate, pública o privada, crítica o no crítica, entidad jurídica o física. Otra cuestión muy diferente es que se ha efectuado un especial esfuerzo orientado hacia el colectivo de los operadores críticos, esto es, aquellos que forman parte del Sistema PIC. El motivo es que el embrión de la GNNGC es precisamente un documento que empezó a confeccionarse con el necesario concurso de los propios operadores, y que responde muy especialmente a sus necesidades y a las exigencias del RDL 12/2018. Para ello existe el Anexo I, dedicado a los operadores críticos de forma exclusiva.

Pero el alcance de la GNNGC es muy ambicioso, por lo que otros operadores, empresas, instituciones públicas e incluso ciudadanos pueden ver en la guía una referencia para la gestión y notificación de ciberincidentes. En el capítulo 4 de la GNNGC, titulado “Ventanilla única de notificación”, se puede observar de manera conceptual el flujo de información en función del tipo de organización afectada, de la naturaleza de la incidencia y del contexto normativo en el que se enmarca; y por lo tanto, se puede conocer el CSIRT de referencia y la autoridad reguladora que ha de ser conocedora. El concepto de ventanilla única se está extrapolando al terreno operativo para poder implementar una plataforma de notificación que contemple la mayoría de los casos de uso, si bien la GNNGC es de aplicación empleando los medios de notificación que se describen durante ese capítulo 4.

Por ventanilla única entendemos que la entidad afectada por un ciberataque pueda notificar una sola vez la incidencia a través de un único medio, y que los primeros receptores de esta notificación, los CSIRT de referencia, sean los que se encarguen de establecer los contactos necesarios con las entidades reguladoras, la Agencia Española de Protección de Datos, el Banco de España, el MCCD o la Oficina de Coordinación Cibernética [OCC] del CNPIC. En el caso de esta última, también para iniciar los trámites de la judicialización e investigación criminal de los ciberincidentes susceptibles de ser considerados delitos según nuestra referencia legal penal.

- A pesar de que el RDL 12/2018 recoge algunos indicadores para identificar los incidentes de ciberseguridad, éstos son muy amplios, no concretan al detalle. Por tanto, ¿qué métricas e indicadores habrá de observar el operador para tener claro si un incidente tiene que notificarse o no?  

Efectivamente, en el artículo 21 del RDL 12/2018 establece unos factores para determinar la importancia de los efectos de un incidente sin mucho detalle; pero en la GNNGC se recogen de manera más específica en una tabla para poder determinar del impacto (se ve en la ilustración 8 de la guía). De hecho esa tabla se ha construido como resultado de la taxonomía o clasificación de incidentes empleada, a partir de la cual también se han construido los criterios de peligrosidad. Hay que decir que tanto los criterios de peligrosidad como los de impacto sirven para determinar la obligatoriedad de la notificación, y ésta se ha establecido en aquellos incidentes considerados críticos, muy altos y altos para los operadores de servicios esenciales.

Por otro lado, en el capítulo 8 de la GNNGC se habla de métricas e indicadores de cara a evaluar el proceso de gestión de ciberincidentes por la autoridad competente o el CSIRT de referencia. En concreto existen métricas de implantación, de eficacia, de eficiencia y de gestión de incidentes propiamente dicha.

- ¿De qué manera se clasificarán los incidentes y cómo se les dará respuesta según cada tipología?

El objeto de la guía es precisamente aclarar la taxonomía de los incidentes y clasificarlos según peligrosidad e impacto. De hecho, para ese fin se han empleado mayores esfuerzos de consenso, ya que no existe una taxonomía universalmente aceptada, ni siquiera existía a nivel nacional, por lo que finalmente la GNNGC refleja la más aceptada e inclusiva en el contexto de los grupos de trabajo europeo. 

Además, en el capítulo 7 de la GNNGC se establece el procedimiento para la gestión del ciberincidente de manera general y, más concretamente, se ha creado un flujograma en el capítulo 4 que ayuda a identificar a todos los actores implicados en la gestión.

- ¿Qué pasos deben seguir los operadores críticos que tengan que notificar un incidente de ciberseguridad?

La GNNGC trata de simplificar la notificación. Los operadores de servicios esenciales que detecten un incidente deberán analizar inicialmente los criterios de peligrosidad (y si puede, de impacto) del mismo. Si el operador considera que debe notificarlo, lo hará a su CSIRT de referencia empleando la vía que se pone a su disposición y de la que está informado. De esta manera, los operadores de servicios esenciales de titularidad pública reportarán al CCN-CERT y los de titularidad privada a Incibe-CERT. La información que debe notificar también está disponible en la GNNCG. A partir de ese momento, se establece una comunicación permanente con el operador y el CSIRT para resolver el ciberincidente eficientemente y con el menor impacto posible sobre los servicios esenciales.

- Una vez puesto en marcha ese proceso, ¿cómo se producirá la respuesta desde los organismos involucrados, CNPIC, Incibe-CERT, OCC...?

A partir de la notificación del operador de servicios esenciales al CSIRT de referencia, éste último notificará al CNPIC a través de la OCC. Una vez informada la OCC, ésta realizará el seguimiento técnico de incidente y dará conocimiento al Ministerio Fiscal o las Fuerzas y Cuerpos de Seguridad del Estado. De esta manera coordinada se podrá garantizar que las acciones que se ejecuten para contener el impacto del incidente no obstaculizarán la investigación policial o judicial. Por otro lado, la OCC también informará a las entidades que tengan necesidad de conocer por la naturaleza de los hechos.

- ¿Qué tipo de información deberán proporcionar los operadores críticos al transmitir un incidente de ciberseguridad y qué información recibirán?

Inicialmente y desde el punto de vista del CNPIC como autoridad competente para operadores críticos y de servicios esenciales, deberán proporcionar la información reflejada en la ilustración número 16 del Anexo I. Sin embargo, en la práctica, y de cara a resolver la incidencia en el menor tiempo posible, durante la gestión del mismo se requerirá al operador de servicios esenciales la información necesaria que debe facilitar en cada momento.

Sin embargo, el resto de actores que sufran un ciberincidente dentro del alcance de la GNNGC (es decir, que no sean operadores críticos ni de servicios esenciales), deberán notificar lo especificado en la ilustración número 9 del apartado 6.4 del documento. No obstante, cada autoridad competente, igual que hace el CNPIC, podrá solicitar que se amplíe esa información para dar cumplimiento a la normativa sectorial o específica del ámbito del afectado.

- ¿Cómo van a tratar las interdependencias cuando un operador crítico comunique un incidente de ciberseguridad que pueda afectar a otros?

Lo cierto es que no se puede establecer un procedimiento general para estos casos porque habría que fijar protocolos muy específicos para eventualidades de casuísticas muy complejas. Durante la evaluación del impacto se hace al mismo tiempo un análisis de interdependencias ad hoc y se establecen las medidas que se consideran oportunas para evitar que se desencadenen otros efectos sobre servicios esenciales. 

Por otra parte y de manera anonimizada, se difunde información de interés a otros operadores estratégicos que pudieran verse afectados por un incidente similar, además de compartir los indicadores de compromiso a través de las plataformas ÍCARO o REYES.

- ¿Cuál será el papel del “responsable de seguridad y enlace” y cuál el del CISO –en caso de que no coincida que es la misma persona– en la notificación y gestión de los incidentes?

La notificación y gestión de incidentes se ha establecido como obligatoria para ciertos casos en el marco del RDL 12/2018, pero no así de manera explícita en la Ley PIC. La figura clave en este contexto es la del responsable de seguridad de la información, o CISO, y se entiende que recae sobre éste la responsabilidad en la gestión y notificación.

El CNPIC exige, y de hecho la normativa de desarrollo que se está redactando ahora lo tiene previsto, que la información sea compartida entre los distintos departamentos de la organización que tengan necesidad de conocerla, y muy especialmente por el responsable de seguridad y enlace, con quien el responsable de seguridad de la información debe mantener una relación de especial cooperación cuando se trate de operadores críticos. No obstante, nuestro punto de contacto en este tipo de actividades de reporte será el equipo técnico que depende del responsable de seguridad de la información, dada la inmediatez y el perfil técnico requeridos.

- ¿Qué papel jugará la aplicación AlertPIC tras la notificación de incidentes?

AlertPIC apoyará a la notificación de incidentes y se podrá emplear como canal seguro entre el operador de servicios esenciales y la OCC, dadas las características de disponibilidad y confidencialidad que brinda la plataforma, especialmente en los incidentes en los que se comprometan los sistemas habituales de comunicación. No obstante, no se pretenden sustituir los medios disponibles actualmente, como son la plataforma de notificación de incidentes o correo electrónico.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual