seguritecnia 460

66 SEGURITECNIA Enero 2019 Ciberseguridad en la Ley PIC. La figura clave en este contexto es la del responsable de se- guridad de la información, o CISO, y se entiende que recae sobre éste la responsabilidad en la gestión y noti- ficación. El CNPIC exige, y de hecho la nor- mativa de desarrollo que se está re- dactando ahora lo tiene previsto, que la información sea compartida entre los distintos departamentos de la organización que tengan necesi- dad de conocerla, y muy especial- mente por el responsable de seguri- dad y enlace, con quien el responsa- ble de seguridad de la información debe mantener una relación de es- pecial cooperación cuando se trate de operadores críticos. No obstante, nuestro punto de contacto en este tipo de actividades de reporte será el equipo técnico que depende del res- ponsable de seguridad de la informa- ción, dada la inmediatez y el perfil téc- nico requeridos. - ¿Qué papel jugará la aplicación Aler- tPIC tras la notificación de incidentes? AlertPIC apoyará a la notificación de in- cidentes y se podrá emplear como ca- nal seguro entre el operador de servicios esenciales y la OCC, dadas las caracterís- ticas de disponibilidad y confidenciali- dad que brinda la plataforma, especial- mente en los incidentes en los que se comprometan los sistemas habituales de comunicación. No obstante, no se pre- tenden sustituir los medios disponibles actualmente, como son la plataforma de notificación de incidentes o correo elec- trónico. S plíe esa información para dar cumpli- miento a la normativa sectorial o especí- fica del ámbito del afectado. - ¿Cómo van a tratar las interdepen- dencias cuando un operador crítico co- munique un incidente de ciberseguri- dad que pueda afectar a otros? Lo cierto es que no se puede estable- cer un procedimiento general para es- tos casos porque habría que fijar pro- tocolos muy específicos para eventua- lidades de casuísticas muy complejas. Durante la evaluación del impacto se hace al mismo tiempo un análisis de in- terdependencias ad hoc y se establecen las medidas que se consideran oportu- nas para evitar que se desencadenen otros efectos sobre servicios esenciales. Por otra parte y de manera anonimi- zada, se difunde información de interés a otros operadores estratégicos que pu- dieran verse afectados por un incidente similar, además de compartir los indica- dores de compromiso a través de las pla- taformas ÍCARO o REYES. - ¿Cuál será el papel del “responsable de seguridad y enlace” y cuál el del CISO –en caso de que no coincida que es la misma persona– en la notifica- ción y gestión de los incidentes? La notificación y gestión de inciden- tes se ha establecido como obligatoria para ciertos casos en el marco del RDL 12/2018, pero no así de manera explícita momento, se establece una comuni- cación permanente con el operador y el CSIRT para resolver el ciberinci- dente eficientemente y con el menor impacto posible sobre los servicios esenciales. - Una vez puesto en marcha ese proceso, ¿cómo se producirá la res- puesta desde los organismos in- volucrados, CNPIC, Incibe-CERT, OCC...? A partir de la notificación del opera- dor de servicios esenciales al CSIRT de referencia, éste último notificará al CNPIC a través de la OCC. Una vez informada la OCC, ésta realizará el seguimiento técnico de incidente y dará conocimiento al Ministerio Fiscal o las Fuerzas y Cuerpos de Seguridad del Estado. De esta manera coordinada se podrá garantizar que las acciones que se ejecuten para contener el impacto del incidente no obstaculizarán la investiga- ción policial o judicial. Por otro lado, la OCC también informará a las entidades que tengan necesidad de conocer por la naturaleza de los hechos. - ¿Qué tipo de información deberán proporcionar los operadores críticos al transmitir un incidente de ciberseguri- dad y qué información recibirán? Inicialmente y desde el punto de vista del CNPIC como autoridad competente para operadores críticos y de servicios esenciales, deberán proporcionar la in- formación reflejada en la ilustración nú- mero 16 del Anexo I. Sin embargo, en la práctica, y de cara a resolver la inciden- cia en el menor tiempo posible, durante la gestión del mismo se requerirá al ope- rador de servicios esenciales la informa- ción necesaria que debe facilitar en cada momento. Sin embargo, el resto de actores que sufran un ciberincidente dentro del al- cance de la GNNGC (es decir, que no sean operadores críticos ni de servicios esenciales), deberán notificar lo especifi- cado en la ilustración número 9 del apar- tado 6.4 del documento. No obstante, cada autoridad competente, igual que hace el CNPIC, podrá solicitar que se am- Accede a la Guía La Guía Nacional de Notifica- ción y Gestión de Ciberinciden- tes estará disponible para su descarga en la sección de ac- tualidad de la página web de Seguritecnia: www.seguritecnia.es.