seguritecnia 447

46 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas 10º ANIVERSARIO DEL CNPIC interés de cara a aportar pruebas en el proceso de investigación policial en caso de que un incidente o ataque de ciberseguridad pueda estar presunta- mente relacionado con actividades ci- berdelincuenciales o ciberterroristas. De este modo, las recomendaciones que puedan hacer los CERT en lo referente a la custodia de dispositivos, almacena- miento de logs , gestión de información, etc., son fundamentales para garantizar que se cuenta con toda la información necesaria. En definitiva, se trata de que bajo la supervisión de la OCC, cuando sea ne- cesario, los operadores críticos aporten la información oportuna a la hora de tramitar su denuncia a las FCSE, sin per- juicio de que se acometan las acciones de tipo técnico necesarias para la res- tauración del servicio afectado. Para todo ello, sin embargo, es necesa- rio fomentar unos niveles de conciencia- ción suficientes en el ámbito de los pro- pios operadores críticos, de modo que estas actuaciones se lleven a cabo de forma natural, integrándolas en los pro- cedimientos internos de sus organiza- ciones. En particular, es esencial que los operadores críticos perciban a las FCSE como una herramienta fundamental en la mejora de la ciberseguridad, en tanto en cuanto sus actividades podrán reper- cutir directamente en las labores de eva- luación de la amenaza a futuro. Respuesta a incidentes Tal y como ya se ha mencionado, deter- minar el origen de una amenaza, pre- cisar la atribución de un incidente o de un ataque o definir el impacto de los mismos en un determinado entorno tecnológico no son tareas sencillas. No obstante, disponer de la mayor canti- dad de información a nivel preventivo permitirá precisar, de forma más facti- ble, las acciones a llevar a cabo en las fases de detección y respuesta. De esta manera, a través de los meca- nismos expuestos anteriormente, y ex- plotando las competencias de la OCC, es sencillo conectar y sacar el máximo provecho de la evaluación de la ame- naza y de las labores de tipo preven- tivo para mejorar y ganar eficiencia en la respuesta a incidentes de ciberseguri- dad que materializan los CERT. Pero lo que es más importante en el caso que nos ocupa: los propios CERT pueden brindar información de gran para tratar información que requiere, hasta cierto punto, una toma de de- cisiones en la organización afectada o para engarzar con la mesa de coordi- nación de ciberseguridad. Así, esta red de contactos facilita que la gestión de un incidente pueda repercutir en acciones de tipo estratégico cuando sea necesario. Relaciones operativas e intercam- bio de información con los CERT na- cionales . El CNPIC, a través de la OCC, mantiene activos canales de informa- ción con los principales CERT nacio- nales: el CERTSI y el CCN-CERT. En el caso particular del primero, de hecho la operación es conjunta en lo refe- rente a aquellos incidentes que recai- gan en el ámbito de la protección de las infraestructuras críticas. En cual- quiera de los casos, estos CERT pro- veen información que puede llegar a ser de interés para un mejor cono- cimiento y establecimiento del nivel de la amenaza en materia de ciberse- guridad. Intercambio de información con las FCSE . Las FCSE tienen habilitados sendos puntos de contacto con la OCC para canalizar tanto el intercam- bio de información como la asigna- ción de enlaces encargados de la re- cepción y gestión de denuncias rela- cionadas con incidentes o ataques de ciberseguridad a infraestructuras crí- ticas. De esta manera, se dispone de un mecanismo a través del cual un incidente o ataque de ciberseguridad puede derivar en la iniciación de acti- vidades de investigación policial rela- cionadas con la lucha contra la ciber- delincuencia y el ciberterrorismo. La nueva denominación del CNPIC ha incluido de forma explícita la ciberseguridad como elemento imprescindible para proteger las infraestructuras estratégicas