seguritecnia 434

80 SEGURITECNIA Septiembre 2016 Artículo Técnico cremento gradual de las medidas de protección y vigilancia a las que se ven sometidas las infraestructuras críticas nacionales en función del riesgo al que se vean sujetas. El NAIC es un indicador público y que puede consultarse directamente en la página web del CNPIC. Como no podía ser de otra forma, en cada ni- vel NAIC se incluyen una serie de me- didas de seguridad, vigilancia y protec- ción de carácter exclusivamente “ciber” que afectan tanto a los órganos perte- necientes a Secretaría de Estado de Se- guridad, al CERT de Seguridad e Indus- tria (CERTSI) y a los operadores críticos nacionales. Por parte de la Administración, un aspecto novedoso del PNPIC es la es- pecificación de que si la situación de alerta así lo requiere se pueden llegar a establecer Dispositivos Extraordinarios de Ciberseguridad (DEC). Para el es- tablecimiento de estos DEC la Oficina de Coordinación Cibernética (OCC) del CNPIC será el órgano responsable de efectuar la coordinación técnica en- tre los responsables de seguridad de los sistemas y tecnologías de la infor- mación de los operadores críticos, las unidades tecnológicas de las Fuerzas y Cuerpos de Seguridad del Estado y el CERTSI (equipo de respuesta a ciberin- cidentes cogestionado por el Ministe- rio de Industria, Energía y Turismo y del Ministerio del Interior), que es el CERT de referencia de los operadores de in- fraestructuras críticas nacionales. En el ámbito del operador crítico, que por primera vez se incluye como órgano participante del PNPIC, el nuevo escenario en el que debe desa- rrollar el conjunto de medidas de auto- protección incluye la necesidad de re- portar al CNPIC aquellos ciberinciden- tes que afecten a su operativa diaria. Esta obligatoriedad de reporte viene acompañada por la serie de medidas graduales y temporales que cada ope- rador crítico debe de establecer en los Planes de Protección Específicos (PPE) de cada una de las infraestructuras crí- ticas bajo su responsabilidad. Es de in- terés resaltar la mención expresa en este nuevo PNPIC de la figura del jefe de Seguridad de la Información Corpo- rativo (CISO) como interlocutor natu- ral en el ámbito de la ciberseguridad, reforzando dicha figura en el organi- grama de las distintas entidades. El conocimiento de los ciberinciden- tes que afectan tanto a los operado- res críticos individualmente como en conjunto, ya sean pertenecientes o no al mismo sector estratégico, es de vi- tal importancia a la hora de desarro- llar una estrategia adecuada de detec- ción, mitigación y respuesta, a fin de que se eviten situaciones similares a las sufridas en Estonia por los cibera- taques, coordinados, de abril de 2007 que llevó a dicho país a tomar la drás- tica medida de desconectarse de In- ternet, después de que sectores estra- tégicos como el de la administración y el financiero se vieran seriamente afec- tados. La descoordinación en la res- puesta a esta acción ofensiva fue una pieza clave para el éxito de los atacan- tes, lo que lleva a la conclusión obvia de que los organismos con responsa- bilidades en materia de ciberseguri- dad en infraestructuras críticas deben conocer qué está realmente pasando en los sectores estratégicos en cuanto a ciberamenazas y ciberataques se re- fiere, cómo se responde ante ellos y qué grado de efectividad se está al- canzando en esta respuesta. Este co- nocimiento o consciencia de la situa- ción supone una ventaja a la que no se puede renunciar hoy en día. Para obte- ner este conocimiento es fundamental la actividad de reportar ciberinciden- tes por parte de los operadores críti- cos y de analizar dicha información por parte del CNPIC. Guía Por parte del CNPIC y del CERTSI se ha desarrollado la Guía de reporte de cibe- rincidentes para operadores críticos a fin de presentar una clara delimitación de qué ciberincidentes deben de ser re- portados. Este documento tiene por objeto dar cumplimiento a lo dispuesto en el PNPIC y desarrolla en detalle qué acciones debe de llevar a cabo el ope- rador crítico, según el NAIC, que se en- cuentre activo en un momento deter- minado. Esto quiere decir que, según se incremente el nivel de activación, la movilización de recursos para respon- der a ciberamenazas se incrementará gradualmente, lo que incluye también el aumentar la frecuencia y detalle de los reportes de ciberincidentes de los que tengan conocimiento. Asimismo, este aumento gradual de medidas tam- bién conlleva una serie de obligaciones por parte del CNPIC y del CERTSI con los responsables de la administración de la ciberseguridad de las infraestructuras críticas nacionales. Para delimitar de forma precisa qué información en materia de ciberinci- dentes es de interés, la guía establece una serie de categorías. Cada una de ellas describe un escenario en el que se desarrolla un ciberincidente o una situa- ción en la que potencialmente se en- contrasen en riesgo los sistemas tec- nológicos gestionados por el operador crítico. En función del NAIC activo, las categorías a tener en cuenta a la hora de reportar al CERTSI variarán en nú- mero, siendo incremental, lo que im- plica una mayor movilización de recur- sos del operador crítico a la hora de gestionar esta información. De forma equivalente, cada uno de estos niveles La guía desarrolla en detalle qué acciones debe de llevar a cabo el operador crítico, según el NAIC, que se encuentre activo en un momento determinado