Red Seguridad 84

14 red seguridad primer trimestre 2019 administración entrevista fijar protocolos muy específicos para eventualidades de casuísticas muy complejas. Durante la evaluación del impacto se hace al mismo tiempo un análisis de interdependencias ad hoc y se establecen las medidas que se consideran oportunas para evitar que se desencadenen otros efectos sobre servicios esenciales. Por otra parte y de manera ano- nimizada, se difunde información de interés a otros operadores estraté- gicos que pudieran verse afectados por un incidente similar, además de compartir los indicadores de com- promiso a través de las plataformas ÍCARO o REYES. ¿Cuál será el papel del "responsa- ble de seguridad y enlace" y cuál el del CISO –en caso de que no coincida que es la misma perso- na– en la notificación y gestión de los incidentes? La notificación y gestión de inciden- tes se ha establecido como obligato- ria para ciertos casos en el marco del RDL 12/2018, pero no así de manera explícita en la Ley PIC. La figura clave en este contexto es la del responsa- ble de seguridad de la información, o CISO, y se entiende que recae sobre éste la responsabilidad en la gestión y notificación. El CNPIC exige, y de hecho la nor- mativa de desarrollo que se está redactando ahora lo tiene previsto, que la información sea compartida entre los distintos departamentos de la organización que tengan necesi- dad de conocerla, y muy especial- mente por el responsable de seguri- dad y enlace, con quien el responsable de seguridad de la infor- mación debe mantener una relación de especial cooperación cuando se trate de operadores críticos. No obs- tante, nuestro punto de contacto en este tipo de actividades de reporte será el equipo técnico que depende del responsable de seguridad de la información, dada la inmediatez y el perfil técnico requeridos. [Puede descargar la guía en www.interior.gob.es o nuestra web: www.redseguridad.com ] ejecuten para contener el impacto del incidente no obstaculizarán la investigación policial o judicial. Por otro lado, la OCC también informará a las entidades que tengan necesi- dad de conocer por la naturaleza de los hechos. ¿Qué tipo de información deberán proporcionar los operadores críti- cos al transmitir un incidente de ciberseguridad y qué información recibirán? Inicialmente, y desde el punto de vista del CNPIC como autoridad competente para operadores críticos y de servicios esenciales, deberán proporcionar la información refleja- da en la ilustración número 16 del Anexo I. Sin embargo, en la práctica, y de cara a resolver la incidencia en el menor tiempo posible, durante la gestión del mismo se requerirá al operador de servicios esenciales la información necesaria que debe faci- litar en cada momento. Sin embargo, el resto de actores que sufran un ciberincidente dentro del alcance de la GNNGC (es decir, que no sean operadores críticos ni de servicios esenciales) deberán notificar lo especificado en la ilus- tración número 9 del apartado 6.4 del documento. No obstante, cada autoridad competente, igual que hace el CNPIC, podrá solicitar que se amplíe esa información para dar cumplimiento a la normativa sectorial o específica del ámbito del afectado. ¿Cómo van a tratar las interdepen- dencias cuando un operador crítico comunique un incidente que pueda afectar a otros? Lo cierto es que no se puede esta- blecer un procedimiento general para estos casos porque habría que mente, se ha creado un flujograma en el capítulo 4 que ayuda a identificar a todos los actores implicados en la gestión. ¿Qué pasos deben seguir los ope- radores críticos que tengan que notificar un incidente de ciberse- guridad? La GNNGC trata de simplificar la noti- ficación. Los operadores de servicios esenciales que detecten un incidente deberán analizar inicialmente los cri- terios de peligrosidad (y si puede, de impacto) del mismo. Si el operador considera que debe notificarlo, lo hará a su CSIRT de referencia empleando la vía que se pone a su disposición y de la que está informado. De esta manera, los operadores de servi- cios esenciales de titularidad pública reportarán al CCN-CERT y los de titularidad privada a Incibe-CERT. La información que debe notificar tam- bién está disponible en la GNNCG. A partir de ese momento, se establece una comunicación permanente con el operador y el CSIRT para resolver el ciberincidente eficientemente y con el menor impacto posible sobre los servicios esenciales. Una vez puesto en marcha ese proceso, ¿cómo se producirá la respuesta desde los organismos involucrados? A partir de la notificación del opera- dor de servicios esenciales al CSIRT de referencia, éste último notifica- rá al CNPIC a través de la OCC. Una vez informada la OCC, ésta realizará el seguimiento técnico de incidente y dará conocimiento al Ministerio Fiscal o las Fuerzas y Cuerpos de Seguridad del Estado. De esta manera coordinada se podrá garantizar que las acciones que se "La figura clave para la notificación y gestión de incidentes de ciberseguridad es el CISO"