Nueva versión de la Guía Nacional de Notificación y Gestión de Ciberincidentes
Esta Guía fue publicada en 2019 con la finalidad de proporcionar a los responsables de seguridad de la información tanto de Administraciones Públicas como del sector privado las directrices a seguir para cumplir con la obligación de notificación de incidentes de ciberseguridad.
El Consejo Nacional de Ciberseguridad ha actualizado la Guía Nacional de Notificación y Gestión de Ciberincidentes. Esta Guía fue publicada en 2019 con la finalidad de proporcionar a los responsables de seguridad de la información tanto de Administraciones Públicas como del sector privado las directrices a seguir para cumplir con la obligación de notificación de incidentes de ciberseguridad. Además, el Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Ciberseguridad (INCIBE-CERT) ha publicado un anexo con el procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía.
Las novedades en la versión actualizada de la Guía Nacional de Notificación y Gestión de Ciberincidentes son la revisión y mejora de la clasificación/taxonomía de los ciberincidentes; los impactos y umbrales de notificación, así como las métricas e indicadores de referencia. Por ejemplo, en cuanto a la clasificación/taxonomía de los ciberincidentes, en el apartado relativo a otros tipos de incidentes se han suprimido el ciberterrorismo y los daños informáticos PIC. Y, en materia de métricas, la nueva versión se refiere a la resolución de ciberincidentes, en lugar de a la eficacia, y a los recursos, en vez de a la eficiencia, aunque mantiene las mismas métricas en ambos casos. Es decir, se trata de un cambio de la terminología empleada.
Por lo que se refiere al procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía, se trata de un anexo cuyo objetivo es ofrecer directrices a estos, así como exponer cuáles son los mecanismos, referencias y canales para la notificación de ciberincidentes al INCIBE-CERT. Al respecto, en el caso de cibercindentes en el sector privado, las empresas notificarán al INCIBE-CERT, sin perjuicio de que si el ciberincidente de seguridad implica una brecha de seguridad que afecte a datos personales tenga que notificar esta a la Agencia Española de Protección de Datos (AEPD).
Lea el artículo completo en este enlace
