Cómo gestionar los ciberincidentes en el sector público
El artículo 36 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad señala que “El Centro Criptológico Nacional (CCN) articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada CCNCERT, que actuará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada Administración Pública y de la función de coordinación a nivel nacional e internacional del CCN”.
Del mismo modo, en el Real Decreto-ley 12/2018, de 7 de septiembre, de Seguridad de las Redes y Sistemas de Información (cuyo desarrollo está pendiente de aprobación) determina que el CCN-CERT tiene que actuar en el caso de Servicios Esenciales y en aquellos casos de especial gravedad que necesiten de una coordinación nacional.
Por todo ello, y para conseguir homogeneizar los criterios a la hora de notificar los incidentes y determinar su peligrosidad, el CCN-CERT ha actualizado su Guía CCN-STIC 817 Esquema Nacional de Seguridad. Gestión de ciberincidentes, disponible en la parte pública de su portal. El propósito de este documento no es otro que ayudar al Sector Público al establecimiento de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento, eficaz y eficiente, dirigiéndose especialmente a Equipos de Respuesta a Ciberincidentes y Responsables de Seguridad de la Información (de obligada nominación para los Operadores de Servicios Esenciales).
Las actualizaciones que ahora se presentan se han realizado teniendo en cuenta el desarrollo del citado Real Decreto-ley 12/2018 y la Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada por el Consejo Nacional de Ciberseguridad.
Clasificación de los ciberincidentes
La guía CCN-STIC 817 recoge 36 tipos de ciberincidentes distintos y fija ciertos criterios para determinar la peligrosidad de los mismos (una labor fundamental para la fijación de prioridades y asignación de recursos). En este sentido, el CCN-CERT fija cinco niveles de peligrosidad.
Asimismo, en este documento se ofrece una metodología de notificación al CCN-CERT, atendiendo al momento y a la tipología del ciberincidente.
Cabe destacar que el contenido de esta guía se encuentra alineado con la herramienta LUCIA, desarrollada por el CCN-CERT, para la Gestión de Ciberincidentes en las entidades del ámbito de aplicación del Esquema Nacional de Seguridad..