redseguridad 080

red seguridad primer trimestre 2018 45 Mesa "Ciberseguridad en las infraestructuras críticas: protegiéndonos en el ciberespacio", donde participaron responsables del CCN, el Mando Conjunto de Ciberdefensa, Incibe y la OCC del CNPIC. actualidad tecnológica noticias vicios esenciales desde el punto de vista de la seguridad lógica. Para ello, este espacio se dividió en dos mesas redondas que trataron el modelo de ciberseguridad español y la gestión de incidentes, así como la investiga- ción y la persecución del ciberdelito. La primera de ellas fue modera- da por José Valiente, presidente del Centro de Ciberseguridad Industrial. En su introducción al debate, este profesional mencionó el ataque WannaCry que se produjo en mayo del pasado, el cual, dentro de lo malo, ha servido para concienciar sobre la importancia de la coopera- ción público-privada y ha permitido extraer tres lecciones: "La necesidad de mayor coordinación, una mejor comunicación de las amenazas a la sociedad y un mayor esfuerzo para extender la cultura de ciberseguridad en todos los ámbitos". En esa línea se pronunció el primer interviniente, Luis Jiménez, subdirec- tor general del Centro Criptológico Nacional (CCN), para quien "el mode- lo español resultó efectivo para ges- tionar un incidente como WannaCry". No obstante, añadió: "El flujo de información, desde el punto de vista técnico, fue perfecto. El problema es que no está procedimentado; es decir, no hay nada que nos obligue ni nos diga cómo hay que hacerlo. Se trabajó bien, pero informalmente". Alberto Hernández, director general del Instituto Nacional de Ciberseguridad (Incibe), coincidió con Jiménez en cuanto a que los men- sajes lanzados sobre la crisis fue- ron alarmistas. "Con el incidente nos dimos cuenta de que, con un impacto pequeño, como fue el caso, se gene- ra una crisis grande si no se explica bien lo que pasa. Se debe hacer en un lenguaje cercano y de forma coordinada". A pesar de ello, el res- ponsable de Incibe quiso recalcar las otras cuestiones que se hicieron bien durante aquella crisis, como fue "la reacción de las empresas afectadas, los organismos públicos y el resto del sector", así como "la coordinación entre todos los actores involucrados". Por su parte, Enrique Cabeiro, jefe de operaciones del Mando Conjunto de Ciberdefensa, también reivindi- có el papel desempeñado por las empresas y entidades públicas en el incidente. "Después de WannaCry quedó la sensación de que había salido bien de casualidad, porque somos buenos improvisando; pero no creo que fuera así. En España tenemos perfectamente delimitadas las competencias y no hay áreas desiertas. Cada uno de los CERT [Equipo de Respuesta a Incidentes de Ciberseguridad] sabe cuál es su cometido y hay unas excelentes rela- ciones entre los organismos públi- cos", resaltó Cabeiro. Este punto de vista también lo compartió Miguel Ángel Abad, jefe de Ciberseguridad y de la Oficina de Coordinación Cibernética (OCC) del CNPIC, quien señaló que "los actores implicados están preparados para canalizar cualquier incidente, tanto por conocimientos como por forma- ción"; y coincidió con lo expresado anteriormente en que "la gestión de un incidente de ciberseguridad hay que transmitirlo dentro y fuera de la organización con terminología no técnica y que sea entendible para todos". Aparte de este tema, durante la mesa también se abordaron otros aspectos relacionados con la seguri- dad TIC, como la situación del mode- lo de ciberseguridad español compa- rado con otros países. En este senti- do, todos los ponentes coincidieron con la afirmación de Abad: "Tenemos un nivel bastante aceptable, pero no nos vendemos bien fuera". El ciberdelito La segunda mesa de este panel –"Investigación y persecución del ciberdelito: mecanismos de coor- dinación con los operadores críti- cos"– estuvo moderada por Ana María Martín, fiscal adscrita a la Unidad Central contra la Criminalidad Informática de la Fiscalía General del Estado. En su presentación antes del debate, Martín remarcó el obje- tivo de la reciente legislación euro- pea en términos de ciberseguridad, materializada a través de la conocida como Directiva NIS –Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado Fernando Sánchez, director del CNPIC.