seguritecnia 460

SEGURITECNIA Enero 2019 65 Ciberseguridad que tiene en cuenta desde los ciberin- cidentes del ciudadano, hasta los de operadores de servicios esenciales, pa- sando por pymes, instalaciones milita- res y la red académica. Para nosotros, por ser nuestra com- petencia, es fundamental que la no- tificación de incidentes sea común y clara, y que no se cree confusión, ya que las sanciones asociadas a incum- plimientos por parte de los operadores de servicios esenciales nos obligan a ser muy exigentes en el establecimiento de estos procedimientos. Además, en el cuerpo del documento existen una se- rie de anexos, que han pretendido ser muy sintéticos, donde se recoge infor- mación adicional. El de más interés para el CNPIC por su especial relevancia es el Anexo I, donde se especifica la notifica- ción en el ámbito PIC. - Por lo que comenta, esta guía servirá de referencia para cualquier tipo de operador, aunque no sea crítico. Los operadores críticos no son los úni- cos a quienes está dirigida esta guía, sino a cualquier usuario que opere en el ci- berespacio, sea cual sea el tipo de orga- nización de que se trate, pública o pri- vada, crítica o no crítica, entidad jurí- dica o física. Otra cuestión muy diferente es que se ha efectuado un especial es- fuerzo orientado hacia el colectivo de los operadores críticos, esto es, aquellos que forman parte del Sistema PIC. El mo- tivo es que el embrión de la GNNGC es precisamente un documento que em- pezó a confeccionarse con el necesario concurso de los propios operadores, y que responde muy especialmente a sus necesidades y a las exigencias del RDL 12/2018. Para ello existe el Anexo I, dedi- cado a los operadores críticos de forma exclusiva. Pero el alcance de la GNNGC es muy ambicioso, por lo que otros operado- res, empresas, instituciones públicas e in- cluso ciudadanos pueden ver en la guía una referencia para la gestión y notifica- ción de ciberincidentes. En el capítulo 4 de la GNNGC, titulado “Ventanilla única de notificación”, se puede observar de manera conceptual el flujo de informa- ción en función del tipo de organización afectada, de la naturaleza de la inciden- cia y del contexto normativo en el que se enmarca; y por lo tanto, se puede co- nocer el CSIRT de referencia y la autori- dad reguladora que ha de ser conoce- dora. El concepto de ventanilla única se está extrapolando al terreno operativo para poder implementar una plataforma de notificación que contemple la mayo- ría de los casos de uso, si bien la GNNGC es de aplicación empleando los medios de notificación que se describen durante ese capítulo 4. Por ventanilla única entendemos que la entidad afectada por un ciberataque pueda notificar una sola vez la inciden- cia a través de un único medio, y que los primeros receptores de esta notificación, los CSIRT de referencia, sean los que se encarguen de establecer los contactos necesarios con las entidades regulado- ras, la Agencia Española de Protección de Datos, el Banco de España, el MCCD o la Oficina de Coordinación Ciberné- tica [OCC] del CNPIC. En el caso de esta última, también para iniciar los trámites de la judicialización e investigación cri- minal de los ciberincidentes susceptibles de ser considerados delitos según nues- tra referencia legal penal. - A pesar de que el RDL 12/2018 recoge algunos indicadores para identificar los incidentes de ciberseguridad, és- tos son muy amplios, no concretan al detalle. Por tanto, ¿qué métricas e indi- cadores habrá de observar el operador para tener claro si un incidente tiene que notificarse o no? Efectivamente, en el artículo 21 del RDL 12/2018 establece unos factores para de- terminar la importancia de los efectos de un incidente sin mucho detalle; pero en la GNNGC se recogen de manera más específica en una tabla para poder de- terminar del impacto (se ve en la ilus- tración 8 de la guía). De hecho esa tabla se ha construido como resultado de la taxonomía o clasificación de incidentes empleada, a partir de la cual también se han construido los criterios de peligrosi- dad. Hay que decir que tanto los criterios de peligrosidad como los de impacto sir- ven para determinar la obligatoriedad de la notificación, y ésta se ha establecido en aquellos incidentes considerados crí- ticos, muy altos y altos para los operado- res de servicios esenciales. Por otro lado, en el capítulo 8 de la GNNGC se habla de métricas e indicado- res de cara a evaluar el proceso de ges- tión de ciberincidentes por la autoridad competente o el CSIRT de referencia. En concreto existen métricas de implanta- ción, de eficacia, de eficiencia y de ges- tión de incidentes propiamente dicha. - ¿De qué manera se clasificarán los in- cidentes y cómo se les dará respuesta según cada tipología? El objeto de la guía es precisamente aclarar la taxonomía de los incidentes y clasificarlos según peligrosidad e im- pacto. De hecho, para ese fin se han em- pleado mayores esfuerzos de consenso, ya que no existe una taxonomía univer- salmente aceptada, ni siquiera existía a nivel nacional, por lo que finalmente la GNNGC refleja la más aceptada e inclu- siva en el contexto de los grupos de tra- bajo europeo. Además, en el capítulo 7 de la GNNGC se establece el procedimiento para la gestión del ciberincidente de manera general y, más concretamente, se ha creado un flujograma en el capítulo 4 que ayuda a identificar a todos los acto- res implicados en la gestión. - ¿Qué pasos deben seguir los opera- dores críticos que tengan que notificar un incidente de ciberseguridad? La GNNGC trata de simplificar la notifica- ción. Los operadores de servicios esen- ciales que detecten un incidente debe- rán analizar inicialmente los criterios de peligrosidad (y si puede, de impacto) del mismo. Si el operador considera que debe notificarlo, lo hará a su CSIRT de re- ferencia empleando la vía que se pone a su disposición y de la que está infor- mado. De esta manera, los operadores de servicios esenciales de titularidad pú- blica reportarán al CCN-CERT y los de ti- tularidad privada a Incibe-CERT. La infor- mación que debe notificar también está disponible en la GNNCG. A partir de ese