Segurilatam 011

18 Segundo cuatrimestre 2019 Ciberseguridad reportaje turas Críticas. Además, se convierte en el eje fundamental que sus- tenta la implementación nacional de la obligación de notificar cibe- rincidentes asignada a los opera- dores de servicios esenciales. Trabajo en equipo La redacción del documento ha sido fruto del esfuerzo de varios organismos. El Instituto de Ci- berseguridad Nacional (Incibe), el Centro Criptológico Nacio- nal (CCN) y el Mando Conjunto de Ciberdefensa han trabajado en su redacción, bajo la coordi- nación del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), lo que da muestras de la capacidad de consenso demostrada. To- dos esos organismos se encar- gan de los centros de respuesta a incidentes desplegado en virtud de la Ley NIS. El germen de esta guía se sitúa en 2017, en la Mesa de Coordinación de Ciberseguridad del CNPIC, donde se vio la necesidad de elaborar un do- cumento integrado para el reporte y gestión de incidentes cibernéticos. Dada la relevancia en la evolución de los trabajos, el Consejo Nacional de Ciberseguridad encargó a estos orga- nismos trasladar esos resultados a un solo documento integrado donde se diera respuesta a las diferentes casuís- ticas posibles. Para redactarla se creó un grupo de trabajo con los mencionados organis- mos públicos que ha contado con la participación de expertos y responsa- bles de Seguridad de la Información de los principales operadores de servi- cios esenciales españoles. adicionales recogidas en otras nor- mas diferentes a la Ley NIS, como es el caso de las infraestructuras críticas. Los operadores críticos están sujetos a una serie de especificaciones adiciona- les, entre las que se cuentan comuni- caciones obligatorias, contenidos míni- mos a notificar o una ventana tempo- ral de reporte, según establece la Ley 8/2011, por la que se establecen me- didas para la protección de las infraes- tructuras críticas. La guía integra todos los aspectos comunes requeridos técnicamente por los CSIRT nacionales junto a aque- llos específicos propios del Sistema Nacional de Protección de Infraestruc- S e trata de un documento técnico que establece una referencia en el ám- bito de la notificación y gestión de incidentes de ciberseguridad en España. Proporciona a los res- ponsables de Seguridad de la In- formación directrices para repor- tar incidentes de este tipo en las administraciones públicas, las in- fraestructuras críticas y los ope- radores estratégicos de su com- petencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real De- creto-Ley 12/2018 sobre seguridad de las redes y sistemas de informa- ción (Ley NIS). La guía, que consta de ocho ca- pítulos y cuatro anexos, establece un detallado esquema de notifica- ción a partir de una serie de crite- rios de impacto y cataloga los in- cidentes en cinco niveles de peli- grosidad: crítico, muy alto, alto, medio y bajo. Como uno de sus principales avances, plantea un sistema de “venta- nilla única” para la comunicación de ci- berincidentes con el propósito de au- mentar la eficiencia en el tratamiento de la información y optimizar los re- sultados. Además, el documento establece una clasificación única de incidentes. Concretamente, el documento rela- ciona 38 posibles tipos de incidentes, enmarcados dentro de 10 clasificacio- nes diferentes, que vienen acompa- ñados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberin- cidente. Sobre este marco común, la guía contempla la existencia de exigencias La guía puede descargarse a través de la página web del Ministerio del Interior de España (www.interior. gob.es ). A principios de año, el Consejo Nacional de Ciberseguridad aprobó la ‘Guía Nacional de Notificación y Gestión de Ciberincidentes’, con la que España se ha convertido en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad. ‘Guía Nacional de Notificación y Gestión de Ciberincidentes’ Un documento ejemplar y consensuado