Red Seguridad 085

seguridad móvil sobre la mesa 28 red seguridad marzo 2009 especial Mariano J. Benito CISO de GMV "WannaCry sirvió y demostró que ya se había trabajado mucho en gestión de incidentes. El valor del modelo que se ha creado no va a aparecer cuando haya un ciberataque masivo, sino cuando de uno salte a otro, y luego a otro…" La plataforma única ayudará además a solucionar otro inconveniente que planteó Frieiro, de Deloitte, relativo a los criterios de prevalencia con respecto a las notificaciones. Es decir, "se trata de determinar a quién se notifica primero, por que, por ejemplo, en el caso de las entidades financieras, tienen la obliga- ción de dar a conocer los incidentes también al Banco de España". Por último, los ponentes también destacaron la importancia del inter- cambio de información con los CERT de referencia durante las notificaciones, si bien consideraron oportuno obtener más datos por parte de estos organis- mos, así como una respuesta rápida. WannaCry hoy Tras poner sobre la mesa todos los puntos destacados de la gestión y noti- ficación de ciberincidentes, el evento concluyó con una hipótesis. ¿Hubiera sido muy diferente la gestión del ataque de WannaCry de haber sucedido hoy, en lugar de hace un par de años? Para Martínez, de Metro de Madrid, "si un evento que nunca se había pro- ducido, como WannaCry, hubiera sur- gido ahora, la respuesta hubiera sido la misma, porque hubiera sido algo sin precedentes". Ahora bien, a juicio de este profesional, sí hubieran existido otros mecanismos de comunicación diferentes para notificar el incidente por otros medios". "Lo que sí permitió WannaCry fue conocer la lección, y sus consecuencias nos han ayudado a aprender", agregó. Para Benito, de GMV, el incidente de WannaCry sirvió como "ejemplo de lo bien que se estaban haciendo las cosas" y "demostró que ya se había trabajado mucho en gestión de incidentes". Para este profesional, "el valor del nuevo modelo que se ha creado no va a aparecer cuando haya un ciberataque que afecte a todo el mundo, sino cuando afecte a una organización, luego dé el salto a otra y de ahí a otra… En ese punto, el esque- ma que se está poniendo en marcha funcionará de maravilla", sentenció. Ahora bien, donde realmente incidió WannaCry fue en la Administración, tal y como se encargaron de recordar Cordón, de EMASA, y Sánchez, del CNPIC. Según la primera, "esto ha permitido que haya una mayor coor- dinación entre los CERT de referencia en otros casos después de WannaCry, incluidos los autonómicos". Por su parte, el segundo afirmó que ahora, "gracias a la Guía de Gestión y Notificación de Ciberincidentes ya se sabe cómo actuar". Además, indicó que "el CCN-CERT se hará cargo de estos incidentes cuando sean de gra- vedad. De hecho, el futuro reglamento contemplará los casos en los que así sea". Y finalmente, el invitado aseguró que también van a implantar un ser- vicio 24/7 para atender este tipo de incidencias en el CNPIC. De esta forma, concluyó la mesa redonda a través de la cual los invita- dos intentaron aportar luz al procedi- miento de notificación de ciberinciden- tes antes de la aprobación del regla- mento NIS. Será en este último docu- mento donde –esperan los profesiona- les– definitivamente se resuelvan todas las dudas que, aún con la guía, existen en torno a esa cuestión. que se tendrá "cierta flexibilidad" y en el que "no habrá una aplicación férrea de los tiempos", aclaró. Otro de los aspectos que también salió a relucir durante el debate sobre la notificación de ciberincidentes fue el establecimiento de una "ventanilla única" para la comunicación de un incidente de ciberseguridad, desde la cual se derive la información al orga- nismo correspondiente en función del tipo de empresa que lo sufra. A juicio de Cordón, de EMASA, "es preciso unificar el mecanismo de notificación" de este modo, en línea con lo que marca la normativa NIS. El representante del CNPIC aclaró al respecto: "la Administración va a poner en marcha una plataforma única de notificación, en la que ya estamos tra- bajando y cuyo funcionamiento se expli- cará adecuadamente en el desarrollo reglamentario de la normativa NIS". Agustín Valencia Coordinador del área OT de Iberdrola "La única manera de ejercitar lo que apare- ce en la guía es que la notificación sea una parte más a probar dentro de los ciberejercicios que realicen los distintos sectores; es decir, se trata de bajarlo al terreno y mejorarlo en la misma línea" segundo trimestre 2019 notif c ción Patrocinado por: