Segurilatam 011

16 Segundo cuatrimestre 2019 entrevista Ciberseguridad dieran verse afectados por un incidente similar, además de compartir los indica- dores de compromiso a través de las pla- taformas ÍCARO o REYES. -¿Cuál será el papel del responsable de Seguridad y Enlace y cuál el del CISO –en caso de que no coincida que es la misma persona– en la notificación y gestión de los incidentes? La notificación y gestión de inciden- tes se ha establecido como obligatoria para ciertos casos en el marco del RDL 12/2018, pero no así de manera explícita en la Ley PIC. La figura clave en este con- texto es la del responsable de Seguridad de la Información, o CISO, y se entiende que sobre él recae la responsabilidad en la gestión y notificación. El CNPIC exige, y de hecho la norma- tiva de desarrollo que se está redac- tando ahora lo tiene previsto, que la in- formación sea compartida entre los dis- tintos departamentos de la organización que tengan necesidad de conocerla, y muy especialmente por el responsable de Seguridad y Enlace, con quien el res- ponsable de Seguridad de la Informa- ción debe mantener una relación de es- pecial cooperación cuando se trate de operadores críticos. No obstante, nuestro punto de contacto en este tipo de activi- dades de reporte será el equipo técnico que depende del responsable de Segu- ridad de la Información, dada la inmedia- tez y el perfil técnico requeridos. -¿Qué papel jugará la aplicación Alert- PIC de intercambio de información para operadores críticos tras la notifi- cación de incidentes? AlertPIC apoyará a la notificación de in- cidentes y se podrá emplear como ca- nal seguro entre el operador de ser- vicios esenciales y la OCC, dadas las características de disponibilidad y con- fidencialidad que brinda la plataforma, especialmente en los incidentes en los que se comprometan los sistemas ha- bituales de comunicación. No obstante, no se pretenden sustituir los medios disponibles actualmente, como son la plataforma de notificación de inciden- tes o correo electrónico. ción necesaria que debe facilitar en cada momento. Sin embargo, el resto de actores que sufran un ciberincidente dentro del al- cance de la GNNGC (es decir, que no sean operadores críticos ni de servicios esenciales), deberán notificar lo especifi- cado en la ilustración número 9 del apar- tado 6.4 del documento. No obstante, cada autoridad competente, igual que hace el CNPIC, podrá solicitar que se am- plíe esa información para dar cumpli- miento a la normativa sectorial o especí- fica del ámbito del afectado. -¿Cómo van a tratar las interdependen- cias cuando un operador crítico comu- nique un incidente de ciberseguridad que pueda afectar a otros? Lo cierto es que no se puede estable- cer un procedimiento general para es- tos casos porque habría que fijar pro- tocolos muy específicos para eventua- lidades de casuísticas muy complejas. Durante la evaluación del impacto se hace al mismo tiempo un análisis de in- terdependencias ad hoc y se establecen las medidas que se consideran oportu- nas para evitar que se desencadenen otros efectos sobre servicios esenciales. Por otra parte y de manera anonimi- zada, se difunde información de interés a otros operadores estratégicos que pu- ciales que detecten un incidente debe- rán analizar inicialmente los criterios de peligrosidad (y si puede, de impacto) del mismo. Si el operador considera que debe notificarlo, lo hará a su CSIRT de re- ferencia empleando la vía que se pone a su disposición y de la que está infor- mado. De esta manera, los operadores de servicios esenciales de titularidad pú- blica reportarán al CCN-CERT y los de ti- tularidad privada a Incibe-CERT. La infor- mación que debe notificar también está disponible en la GNNCG . A partir de ese momento, se establece una comunica- ción permanente con el operador y el CSIRT para resolver el ciberincidente efi- cientemente y con el menor impacto posible sobre los servicios esenciales. -Una vez puesto en marcha ese pro- ceso, ¿cómo se producirá la respuesta desde los organismos involucrados, CNPIC, Incibe-CERT, OCC...? A partir de la notificación del operador de servicios esenciales al CSIRT de refe- rencia, este último notificará al CNPIC a través de la OCC. Una vez informada la OCC, esta realizará el seguimiento téc- nico del incidente y dará conocimiento al Ministerio Fiscal o las Fuerzas y Cuer- pos de Seguridad del Estado. De esta manera coordinada se podrá garanti- zar que las acciones que se ejecuten para contener el impacto del incidente no obstaculizarán la investigación poli- cial o judicial. Por otro lado, la OCC tam- bién informará a las entidades que ten- gan necesidad de conocer por la natu- raleza de los hechos. -¿Qué tipo de información deberán proporcionar los operadores críticos al transmitir un incidente de ciberseguri- dad y qué información recibirán? Inicialmente, y desde el punto de vista del CNPIC como autoridad competente para operadores críticos y de servicios esenciales, deberán proporcionar la in- formación reflejada en la ilustración nú- mero 16 del Anexo I. Sin embargo, en la práctica, y de cara a resolver la inciden- cia en el menor tiempo posible, durante la gestión del mismo se requerirá al ope- rador de servicios esenciales la informa-