Red Seguridad 84

red seguridad primer trimestre 2019 13 por pymes, instalaciones militares y la red académica. Para nosotros, por ser nuestra com- petencia, es fundamental que la noti- ficación de incidentes sea común y clara, y que no se cree confusión, ya que las sanciones asociadas a incum- plimientos por parte de los operadores de servicios esenciales nos obligan a ser muy exigentes en el establecimien- to de estos procedimientos. Además, en el cuerpo del documento existen una serie de anexos, que han pretendi- do ser muy sintéticos, donde se recoge información adicional. El de más interés para el CNPIC por su especial relevan- cia es el Anexo I, donde se especifica la notificación en el ámbito PIC. Por lo que comenta, esta guía ser- virá de referencia para cualquier operador, aunque no sea crítico. Los operadores críticos no son los únicos a quienes está dirigida esta guía, sino a cualquier usuario que opere en el ciberespacio, sea cual sea el tipo de organización de que se trate, pública o privada, crítica o no crítica, entidad jurídica o física. Otra cuestión muy diferente es que se ha efectuado un especial esfuerzo orientado hacia el colectivo de los operadores críticos, esto es, aquellos que forman parte del Sistema PIC. El motivo es que el A pesar de que el RDL 12/2018 recoge algunos indicadores para identificar los incidentes de ciber- seguridad, éstos son muy amplios, no concretan al detalle. Por tanto, ¿qué métricas e indicadores habrá de observar el operador para tener claro si un incidente tiene que notificarse o no? Efectivamente, en el artículo 21 del RDL 12/2018 establece unos facto- res para determinar la importancia de los efectos de un incidente sin mucho detalle; pero en la GNNGC se recogen de manera más específica en una tabla para poder determinar del impacto (se ve en la ilustración 8 de la guía). De hecho esa tabla se ha construido como resultado de la taxonomía o clasificación de inci- dentes empleada, a partir de la cual también se han construido los crite- rios de peligrosidad. Hay que decir que tanto los criterios de peligrosidad como los de impacto sirven para determinar la obligatoriedad de la notificación, y ésta se ha establecido en aquellos incidentes considerados críticos, muy altos y altos para los operadores de servicios esenciales. Por otro lado, en el capítulo 8 de la GNNGC se habla de métricas e indi- cadores de cara a evaluar el proceso de gestión de ciberincidentes por la autoridad competente o el CSIRT de referencia. En concreto existen métri- cas de implantación, de eficacia, de eficiencia y de gestión de incidentes propiamente dicha. ¿De qué manera se clasificarán los incidentes y cómo se les dará respuesta según cada tipología? El objeto de la guía es precisamente aclarar la taxonomía de los inciden- tes y clasificarlos según peligrosidad e impacto. De hecho, para ese fin se han empleado mayores esfuerzos de consenso, ya que no existe una taxonomía universalmente aceptada, ni siquiera existía a nivel nacional, por lo que finalmente la GNNGC refleja la más aceptada e inclusiva en el contex- to de los grupos de trabajo europeo. Además, en el capítulo 7 de la GNNGC se establece el procedimien- to para la gestión del ciberincidente de manera general y, más concreta- embrión de la GNNGC es precisa- mente un documento que empezó a confeccionarse con el necesario concurso de los propios operadores, y que responde muy especialmente a sus necesidades y a las exigencias del RDL 12/2018. Para ello existe el Anexo I, dedicado a los operadores críticos de forma exclusiva. Pero el alcance de la GNNGC es muy ambicioso, por lo que otros operadores, empresas, instituciones públicas e incluso ciudadanos pue- den ver en la guía una referencia para la gestión y notificación de ciberincidentes. En el capítulo 4 de la GNNGC, titulado "Ventanilla única de notificación", se puede observar de manera conceptual el flujo de infor- mación en función del tipo de organi- zación afectada, de la naturaleza de la incidencia y del contexto normativo en el que se enmarca; y por lo tanto, se puede conocer el CSIRT de refe- rencia y la autoridad reguladora que ha de ser conocedora. El concepto de ventanilla única se está extrapo- lando al terreno operativo para poder implementar una plataforma de noti- ficación que contemple la mayoría de los casos de uso, si bien la GNNGC es de aplicación empleando los medios de notificación que se describen durante ese capítulo 4. Por ventanilla única entendemos que la entidad afectada por un cibe- rataque pueda notificar una sola vez la incidencia a través de un único medio, y que los primeros receptores de esta notificación, los CSIRT de referencia, sean los que se encarguen de establecer los con- tactos necesarios con las entidades reguladoras, la Agencia Española de Protección de Datos, el Banco de España, el MCCD o la Oficina de Coordinación Cibernética [OCC] del CNPIC. En el caso de esta última, también para iniciar los trámites de la judicialización e investigación criminal de los ciberincidentes susceptibles de ser considerados delitos según nuestra referencia legal penal. administración entrevista Portada de la Guía Nacional de Notificación y Gestión de Ciberincidentes.