Síguenos:

Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Miguel Ángel Abad, Jefe del Servicio de Ciberseguridad del CNPIC y de la Oficina de Coordinación Cibernética

"Debemos trabajar suponiendo el peor escenario posible"

02/03/2016 - Ana Borredá
Durante el año 2015, la Oficina de Coordinación Cibernética (OCC) llevó a cabo 266 actuaciones ante ciberataques. El Ministerio del Interior creó este órgano un año antes para coordinar la respuesta a los incidentes relacionados con las TIC que entran en su ámbito de competencia; pero sus funciones van más allá. Miguel Ángel Abad, jefe de la OCC, las explica en esta entrevista y hace balance del primer año de vida de este instrumento, que ya se ha convertido en una pieza indispensable para la protección de las infraestructuras críticas.

En noviembre de 2014 se creó la Oficina de Coordinación Cibernética (OCC). ¿Cuáles son las principales funciones de este organismo?

La OCC es el órgano técnico de coordinación del Ministerio del Interior en materia de ciberseguridad, creado mediante la Instrucción del secretario de Estado de Seguridad 15/2014, de 19 de noviembre. Depende funcionalmente de la Secretaría de Estado de Seguridad y orgánicamente del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

La OCC proporciona las capacidades de coordinación técnica entre el CERTSI [el CERT de Seguridad e Industria] y los órganos subordinados de la Secretaría de Estado de Seguridad y de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) en lo que respecta a las competencias del Ministerio del Interior en el campo de la ciberseguridad.

Las principales funciones que tiene asignadas son, por un lado, implementar mecanismos de coordinación de respuesta ante ciberincidentes que sean competencia del Ministerio del Interior. Y, por otro, conocer el estado general de la situación sobre ciberamenazas y avances tecnológicos, contando para ello con la información aportada por publicaciones especializadas, fuentes abiertas y restringidas, así como por actores públicos y privados relevantes.

Para el mejor cumplimiento de sus funciones, la OCC mantiene personal técnico permanentemente integrado en la estructura del CERTSI, asegurando de ese modo la operación conjunta del centro de respuesta a incidentes.

¿Cómo evalúa este año y medio de funcionamiento del centro, tanto de manera interna como respecto a su interactuación con el CERTSI u otros agentes?

La valoración que tenemos es muy positiva, ya que hemos conseguido dar respuesta a un aspecto de mejora que veíamos necesario internamente, y que además nos habían propuesto los distintos operadores estratégicos nacionales.

La interacción con las unidades tecnológicas de las FCSE fue quizás el paso más natural y accesible, teniendo en cuenta que todos dependemos del Ministerio del Interior. En este sentido, estimamos que la posibilidad de proveer un trato más cercano a los operadores de los servicios esenciales en situaciones excepcionales, no sólo es una obligación derivada de la normativa sobre protección de las infraestructuras críticas, sino que es una necesidad cuando tratamos asuntos específicos de ciberseguridad. Todo ello, teniendo en cuenta que las amenazas son cambiantes y, por tanto, existen situaciones en las que se requiere la participación de todos los agentes especializados en la materia.

En lo que respecta a la conexión de la OCC con el CERTSI, salvadas las evidentes distancias derivadas de la dependencia de órganos ministeriales distintos del CNPIC y de Incibe, la colaboración se llevó a cabo de forma también natural y eficaz. Todo ello porque se determinó como eje fundamental de actuación que el CERT fuera operado conjuntamente por ambos organismos.

La OCC es un organismo joven frente a un problema, el ciberdelito, que no para de aumentar. ¿Le queda mucho margen de mejora a este órgano a la hora de llevar a cabo sus procesos o han alcanzado todos los objetivos que se han propuesto?

Sin duda alguna, existe un margen de mejora. De hecho, cabe destacar que hemos desarrollado un nuevo plan de servicios más orientado a cubrir las necesidades reales de los operadores, sobre todo en lo que respecta a la operación del CERTSI, acercándonos por tanto aún más a sus necesidades e intentando sacar el máximo provecho de las capacidades de coordinación asignadas a la OCC.

Las nuevas tecnologías requieren una adaptación y formación continua, tanto desde el punto de vista de los clientes como de los responsables de garantizar su adecuado funcionamiento. Haciendo extensible esta característica a nuestra propia operativa y organización, somos conscientes de que no nos podemos quedar parados con servicios estancos y que debemos acercarnos y adaptarnos a las necesidades reales tanto de los operadores como de las FCSE.

Este organismo se ha convertido en una pieza clave para la coordinación de la seguridad en las infraestructuras críticas.

¿Qué tipo de incidentes resuelve y cuál es el procedimiento habitual para tratarlos desde la OCC?

La OCC está especializada en la coordinación de la respuesta ante incidentes entre distintas entidades, como son las empresas, las FCSE y el CERTSI. La casuística a la que nos enfrentamos es muy amplia: podemos estar hablando de la acción individual de un empleado desleal que exfiltra o vende datos en el mercado negro, de un ataque de ciberdelincuentes que cifran datos de negocio de una empresa a la que luego piden un rescate para recuperarlos e incluso de un ciberataque patrocinado por un estado o por una organización criminal que busca paralizar o afectar gravemente la operativa normal de una infraestructura crítica nacional. De este último tipo de ataques tenemos por desgracia ejemplos recientes, como el ciberataque al aeropuerto Chopin de Varsovia en junio del año pasado, o el más reciente ataque a la red de suministro eléctrico de la región de Ivano-Frankisvk al oeste de Ucrania, que llegó a afectar a cerca de 600.000 hogares en pleno diciembre.

El procedimiento habitual para la gestión de un ciberincidente una vez detectado es ofrecer, en primer lugar, una respuesta de contención de dicho ciberincidente para, posteriormente, centrarse en las tareas de mitigación y recuperación de los sistemas afectados. Durante la primera fase, en la cual intervienen los expertos de ciberseguridad del CERTSI, es de vital importancia la captación de evidencias digitales, a fin de poder pasar a una segunda fase en la respuesta, que consta principalmente de dos acciones con fines distintos. La primera es analizar el ciberataque para obtener la información técnica necesaria acerca de cómo ha sucedido, con objeto de distribuir dicha información entre el resto de responsables de la gestión de la ciberseguridad de las infraestructuras críticas nacionales; de esta forma pretendemos evitar que vuelva a repetirse el mismo tipo de incidente, utilizando los mismos vectores de ataque.

La segunda acción fundamental es proporcionar esas evidencias digitales a las unidades tecnológicas de las FCSE, para que sean sometidas a análisis y proceder a la investigación y persecución de los delincuentes o terroristas que se hallen tras el ciberataque. Todo este proceso lo coordina la OCC, y de esta forma el círculo de la respuesta ante uno de estos incidentes se cierra, involucrando a todos los actores que pueden participar en el proceso en un momento determinado.

Para ver la entrevista completa pinche aquí.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual