El decálogo de ciberseguridad del CCN-CERT

El documento ‘Aproximación española a la ciberseguridad’ pone a disposición de todos los usuarios la experiencia de éxito del Centro Criptológico Nacional en la implementación y mejora de un esquema de ciberseguridad.

Nuestro mundo hiperconectado plantea una serie de retos que no han hecho sino revalorizar la seguridad como valor estratégico. En España, el Centro Criptológico Nacional (CCN), con su experiencia en la prevención, detección y respuesta ante las ciberamenazas, y la madurez alcanzada en la gestión de estos procesos se ha convertido en un referente a nivel nacional e internacional. Esta semana, con el objetivo de poner el conocimiento generado por el CCN al alcance de otros Estados, organizaciones y entidades, este organismo ha publicado en su página web un informe titulado “Aproximación Española a la Ciberseguridad”.

El documento proporciona ejemplos prácticos y orientaciones sobre los pasos necesarios para mejorar la protección ante las amenazas de las redes y sistemas de información, y para fomentar la coordinación y cooperación en ciberseguridad, todo ello basado en la experiencia de más de 15 años del CCN-CERT (el equipo de respuesta ante emergencias informáticas del Centro Criptológico Nacional). Según reza su introducción, “con este documento se pretende realizar una aproximación al desarrollo, implantación y mejora de un esquema general de Ciberseguridad Nacional, que permita facilitar esta tarea, independientemente del grado de madurez de cada Estado y de los agentes que participen en ella”.

El documento presenta, además, “ un decálogo que emplea como ejemplo los pasos dados por el Centro Criptológico Nacional y su Capacidad de Respuesta a Incidentes”:

1. Establecimiento de la visión, el alcance, los objetivos y las prioridades: Estrategia de Ciberseguridad.
2. Instauración de una estructura de gobierno clara, que identifique e involucre a las partes interesadas: Gobernanza.
3. Hacer un balance de las políticas, regulaciones y capacidades existentes: Desarrollo reglamentario posibilista. Apoyo en un marco jurídico operativo y eficaz.
4. Incremento de la capacidad de prevención, detección y respuesta ante ciberamenazas, creando CSIRT de referencia y por sectores.
5. Desarrollo e implementación de Sistemas de Alerta Temprana. Capacidad de Detección y establecimiento de mecanismos de notificación de incidentes.
6. Incremento de la vigilancia, con un servicio de evaluación continua y cibervigilancia basado en Centros de Operaciones de Ciberseguridad (SOC), que permitan conocer en cada momento la superficie de exposición ante una posible amenaza y así asignar los recursos de manera óptima y priorizada.
7. Fomento, desarrollo y mantenimiento de perfiles profesionales cualificados en todos los niveles (dirección, gestión, implantación y usuarios) para protegerse de las ciberamenazas. La búsqueda de talento se ha convertido en un elemento crítico.
8. Se impulsarán y liderarán acciones destinadas a reforzar la colaboración público-privada y la seguridad y robustez de las redes, productos y servicios de las TIC empleados por el sector industrial. Institucionalizar la cooperación entre los organismos públicos y la empresa privada como clave para construir comunidad.
9. Implementación de mecanismos confiables de intercambio de información entre organismos, públicos y privados, tanto de análisis de ciberamenazas como de notificación de ciberincidentes, para generar confianza.
10. Comunicación y promoción, orientada a la consecución de objetivos estratégicos. Todo ello, conscientes de la necesidad de darse a conocer, difundir servicios hasta alcanzar el reconocimiento y confianza de toda su comunidad, convirtiéndose en punto de referencia en materia de ciberseguridad.