Segurilatam 011

Segundo cuatrimestre 2019 15 entrevista Ciberseguridad Efectivamente, el artículo 21 del RDL 12/2018 establece unos factores para de- terminar la importancia de los efectos de un incidente sin mucho detalle; pero en la GNNGC se recogen de manera más es- pecífica en una tabla para poder deter- minar el impacto. De hecho esa tabla se ha construido como resultado de la ta- xonomía o clasificación de incidentes empleada, a partir de la cual también se han construido los criterios de peligrosi- dad. Hay que decir que tanto los criterios de peligrosidad como los de impacto sir- ven para determinar la obligatoriedad de la notificación, y esta se ha establecido en aquellos incidentes considerados crí- ticos, muy altos y altos para los operado- res de servicios esenciales. Por otro lado, en el capítulo 8 de la GNNGC se habla de métricas e indicado- res de cara a evaluar el proceso de ges- tión de ciberincidentes por la autoridad competente o el CSIRT de referencia. En concreto, existen métricas de implanta- ción, de eficacia, de eficiencia y de ges- tión de incidentes propiamente dicha. -¿De qué manera se clasificarán los in- cidentes y cómo se les dará respuesta según cada tipología? El objeto de la guía es precisamente aclarar la taxonomía de los incidentes y clasificarlos según peligrosidad e im- pacto. De hecho, para ese fin se han empleado mayores esfuerzos de con- senso, ya que no existe una taxonomía universalmente aceptada, ni siquiera existía a nivel nacional, por lo que final- mente la GNNGC refleja la más aceptada e inclusiva en el contexto de los grupos de trabajo europeo. Además, en el capítulo 7 de la GNNGC se establece el procedimiento para la gestión del ciberincidente de manera general y, más concretamente, se ha creado un flujograma en el capítulo 4 que ayuda a identificar a todos los acto- res implicados en la gestión. -¿Qué pasos deben seguir los operado- res críticos que tengan que notificar un incidente de ciberseguridad? La GNNGC trata de simplificar la notifica- ción. Los operadores de servicios esen- necesario concurso de los propios ope- radores, y que responde muy especial- mente a sus necesidades y a las exigen- cias del RDL 12/2018. Para ello existe el Anexo I, dedicado a los operadores críti- cos de forma exclusiva. Pero el alcance de la GNNGC es muy ambicioso, por lo que otros operado- res, empresas, instituciones públicas e in- cluso ciudadanos pueden ver en la guía una referencia para la gestión y notifica- ción de ciberincidentes. En el capítulo 4, titulado Ventanilla única de notificación , se puede observar de manera conceptual el flujo de información en función del tipo de organización afectada, de la na- turaleza de la incidencia y del contexto normativo en el que se enmarca; y por lo tanto, se puede conocer el CSIRT de refe- rencia y la autoridad reguladora que ha de ser conocedora. El concepto de ven- tanilla única se está extrapolando al te- rreno operativo para poder implementar una plataforma de notificación que con- temple la mayoría de los casos de uso, si bien la GNNGC es de aplicación em- pleando los medios de notificación que se describen durante ese capítulo 4. Por ventanilla única entendemos que la entidad afectada por un ciberataque pueda notificar una sola vez la inciden- cia a través de un único medio, y que los primeros receptores de esta notificación, los CSIRT de referencia, sean los que se encarguen de establecer los contactos necesarios con las entidades regulado- ras, la Agencia Española de Protección de Datos, el Banco de España, el MCCD o la Oficina de Coordinación Ciberné- tica (OCC) del CNPIC. En el caso de esta última, también para iniciar los trámites de la judicialización e investigación cri- minal de los ciberincidentes susceptibles de ser considerados delitos según nues- tra referencia legal penal. -A pesar de que el RDL 12/2018 recoge algunos indicadores para identificar los incidentes de ciberseguridad, es- tos son muy amplios, no concretan al detalle. Por tanto, ¿qué métricas e indi- cadores habrá de observar el operador para tener claro si un incidente tiene que notificarse o no? ridad (Incibe), el Mando Conjunto de Ci- berdefensa (MCCD) y el CNPIC hayan al- canzado un consenso en cuanto a la clasificación de los incidentes y las peli- grosidad e impacto asociado para toda la casuística nacional. Se trata de un documento de 60 pá- ginas en el que se define, a través de 12 apartados, el ámbito de actuación de cada CSIRT competente, se estable- cen las taxonomías de los ciberataques y se acuerdan los procedimientos para cada caso, aplicando métricas e indica- dores para objetivarlos. Por tanto, el al- cance del documento es universal, ya que tiene en cuenta desde los ciberinci- dentes del ciudadano hasta los de ope- radores de servicios esenciales, pasando por pymes, instalaciones militares y la red académica. Para nosotros, por ser nuestra com- petencia, es fundamental que la no- tificación de incidentes sea común y clara, y que no se cree confusión, ya que las sanciones asociadas a incum- plimientos por parte de los operadores de servicios esenciales nos obligan a ser muy exigentes en el establecimiento de estos procedimientos. Además, en el cuerpo del documento existen una se- rie de anexos, que han pretendido ser muy sintéticos, donde se recoge infor- mación adicional. El de más interés para el CNPIC por su especial relevancia es el Anexo I, donde se especifica la notifica- ción en el ámbito PIC. -Por lo que comenta, esta guía servirá de referencia para cualquier tipo de operador, aunque no sea crítico. Los operadores críticos no son los úni- cos a quienes está dirigida esta guía, sino a cualquier usuario que opere en el ciberespacio, sea cual sea el tipo de organización de que se trate, pública o privada, crítica o no crítica, entidad ju- rídica o física. Otra cuestión muy dife- rente es que se ha efectuado un espe- cial esfuerzo orientado hacia el colec- tivo de los operadores críticos, esto es, aquellos que forman parte del Sistema PIC. El motivo es que el embrión de la GNNGC es precisamente un documento que empezó a confeccionarse con el