El documento lleva por título Guía Nacional de Notificación y Gestión de Ciberincidentes e identifica 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberincidente.
Esta publicación proporciona a los responsables de seguridad de la información directrices para reportar incidentes de ciberseguridad en las administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-ley 12/2018 sobre seguridad de las redes y sistemas de información.
La Guía fue aprobada el 9 de enero por el Consejo Nacional de Ciberseguridad, presidido por el secretario de Estado-director del CNI, Félix Sanz Roldán, e integrado por representantes de diferentes departamentos ministeriales, entre ellos Interior.
Dada la relevancia en la evolución de los trabajos, el Consejo Nacional de Ciberseguridad encargó en 2018 la elaboración, bajo la coordinación del CNPIC y con la participación del Centro Criptológico Nacional (CCN), el Instituto de Ciberseguridad Nacional (INCIBE) y el Mando Conjunto de Ciberdefensa.
Todos ellos centros de respuesta a incidentes de referencia a nivel nacional, de un documento integrado que diera respuesta a las diferentes casuísticas existentes, partiendo de los contenidos desarrollados inicialmente en el ámbito de la protección de infraestructuras críticas.
El Consejo Nacional de Ciberseguridad es un órgano de apoyo del Consejo de Seguridad Nacional previsto en la Ley 36/2015, de 28 de septiembre, en el ámbito de la ciberseguridad y en el marco del Sistema de Seguridad Nacional.
Sobre este marco común, la Guía posibilita la existencia de otros casos especiales, en función de la existencia de normas jurídicas que puedan exigir un esfuerzo extra a las organizaciones dentro de su ámbito de aplicación.
Es el caso de aquellos operadores designados como «críticos» en aplicación de la Ley 8/2011, PIC, a quienes se añaden una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar, o ventana temporal de reporte.
Sus promotores lo califican un documento técnico que establece una referencia en el ámbito de la notificación y gestión de incidentes de ciberseguridad en territorio español.
INCIDENTES CANALIZADOS A TRAVÉS DE FUERZAS Y CUERPOS DE SEGURIDAD DEL ESTADO
Para Alejandra Frías, magistrada, ex vocal del Consejo Nacional de Ciberseguridad “la iniciativa de esta Guía era algo de lo que ya se hablaba con anterioridad a su creación. Es evidente que el sistema de ventanilla único que plantea para la gestión de los incidentes de ciberseguridad es un gran idea y ahorrará tiempo en esos momentos tan importantes, además de ser un procedimiento eficaz para su gestión”.
Para Frias, “lo mas importante de dicha Guía es la canalización a las Fuerzas y Cuerpos de Seguridad de los incidentes que puedan ser constitutivos de delito para su investigación y, en su caso, la apertura del correspondiente procedimiento judicial”.
Esta experta en ciberseguridad asegura que “muchos ciberdelitos quedaban sin perseguir judicialmente ante la falta de denuncia del perjudicado ya que, cuando son empresas, en un gran numero prefieren ocultar el ciber incidente para que no tenga consecuencia en su imagen corporativa”.
La redacción de un documento integrado para el reporte y gestión de incidentes cibernéticos se comenzó a gestar en 2017, en el marco de la Mesa de Coordinación de Ciberseguridad que el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), dependiente de la Secretaría de Estado de Seguridad, tiene abierta con los operadores de servicios esenciales que forman parte del Sistema Nacional de Protección de Infraestructuras Críticas, que en la actualidad asciende a más de 170 empresas y organismos.
La Guía integra todos los aspectos comunes requeridos técnicamente por los Equipos de Respuesta frente a Incidencias de Seguridad Informática (CSIRT) nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas.
Además, se convierte en el eje fundamental que sustenta la implementación nacional, a través de la transposición de la Directiva NIS (RD-ley 12/2018), de la obligación de notificar ciberincidentes asignada a los operadores de servicios esenciales.
La oportunidad de la Guía, para cuya redacción se creó un grupo de trabajo con los mencionados organismos públicos, y que ha contado con el concurso de expertos y responsables de seguridad de la información de los principales operadores de servicios esenciales españoles.
Al mismo tiempo su impulso viene dada por la necesaria adecuación a las exigencias del mencionado RD-ley 12/2018, de seguridad de las redes y sistemas de información, aprobado recientemente, por el que se transpone la conocida como «Directiva NIS» (Directiva 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión).
