El CCN-CERT obliga a notificar los incidentes de ciberseguridad
Los incidentes relacionados con la seguridad del sector público deberán ser notificados obligatoriamente al CCN-CERT para que sean clasificados y determinar su nivel de impacto Alto, Muy Alto o Crítico.
Una Instrucción Técnica de Seguridad (ITS) publicada el pasado 19 de abril en el BOE y prevista en el Esquema Nacional de Seguridad señala la obligatoriedad de notificar cualquier incidente de seguridad con niveles Alto, Muy Alto y Crítico en función de la información manejada o los servicios prestados. En concreto, la ITS señala que una vez detectado un incidente, la entidad deberá clasificarlo y recopilar evidencias del mismos, documentadas y custodiadas con garantía, tal y como se indica en la Guía CCN-STIC 817 del CCN.
El CCN ha desarrollado la herramienta conocida como LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) con el propósito de facilitar a las empresas los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad, la cual se mantendrá permanentemente actualizada.
La Instrucción señala que una vez detectado un incidente se utilizará la Guía comentada para clasificarlo y, en el caso de aquellos con un impacto Alto, Muy Alto o Crítico, deberán notificarse a la Capacidad de Respuesta a Incidentes del CCN-CERT. Los criterios de determinación del Nivel del impacto están contemplados en la Guía en función del tipo de sistemas a los que afecta el ataque, así como al número de equipos afectados.
Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.
El fin de la obligatoriedad de la notificación es conseguir un ciberespacio más seguro y confiable, preservando la información clasificada y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto y aplicando políticas y procedimientos de seguridad que resulten ser más adecuadas y efectivas.
