Análisis de la Guía Nacional de Notificación y Gestión de Ciberincidentes

Entendemos por ciberincidentetodo hecho que pueda tener efectos adversos reales en la seguridad de las redes y sistemas de información.” Por ende, la gestión de ciberincidentes engloba todos los procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante éste.

En nuestro país, el Gobierno atribuye a diversos organismos de carácter público las competencias en materia de ciberseguridad relativas al conocimiento, gestión y respuesta de incidentes de ciberseguridad acaecidos en las diversas redes de información y comunicación del país; existiendo una serie de organismos de referencia, conocidos con el nombre de Equipo de Respuesta ante Emergencias Informáticas (CSIRT):

  • Centro Criptológico Nacional del Centro Nacional de Inteligencia (CCN-CERT), con un ámbito competencial en el Sector Público.
  • Instituto Nacional de Ciberseguridad de España (INCIBE – CERT), con un ámbito competencial en la ciudadanía y el sector privado.
  • Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), con un ámbito competencial en las infraestructuras y operadores críticos, cuyas capacidades de respuesta técnica se materializan a través de los CSIRT de referencia.
  • ESP-DEF-CERT del Mando Conjunto de Ciberdefensa, con un ámbito competencial en las redes y sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que afecten a la Defensa Nacional.

En el presente artículo vamos a analizar la Guía de notificación y gestión de ciberincidentes (En adelante, la Guía), aprobada por el Consejo Nacional de Ciberseguridad en el año 2020, la cual se ha consolidado ya como una referencia de mínimos en el que toda entidad, pública o privada, ciudadano u organismo, puede encontrar la orientación precisa acerca de a quién y cómo debe reportar un incidente de ciberseguridad acaecido en su ámbito, incluyendo la implantación de una serie de criterios mínimos exigibles y de obligaciones de reporte en aquellos casos que así determine la legislación vigente.

En palabras del CCN-CERT, “La notificación de incidentes, es clave para la seguridad nacional”, queriendo incluso resaltar su importancia a modo de infografía (ver aquí), enmarcada dentro de la solución LUCÍA, que es una herramienta desarrollada al efecto de la notificación de incidentes, donde detalla la importancia de la cultura de la notificación en el campo de ciberseguridad.

Fomentar la cultura de la notificación de incidentes no solo es necesario por imperativo legal, sino que puede contribuir a evitar que afecte a otros organismos e instituciones o a preparar una respuesta rápida y efectiva para minimizar su efecto.

Pero ¿esto afecta a todo tipo de entidades u organismos? ¿Y de qué forma? Vamos a pararnos en este punto, donde cabe diferenciar:

  • NOTIFICACIÓN EN EL ÁMBITO DEL SECTOR PÚBLICO

Los organismos del Sector Público notificarán los incidentes según especifica la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad y la Guía CCN-STIC 817 de Gestión de Ciberincidentes.

Concretamente, las notificaciones efectuadas por las entidades del ámbito de aplicación de la citada Instrucción se realizarán en los términos indicados en los artículos 36 y 37 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

Se han de notificar los incidentes de seguridad que tengan un impacto significativo en la seguridad de la información o los servicios prestados en relación con la categoría del sistema, determinada de acuerdo con lo dispuesto en los artículos 43, 44 y Anexo I del ENS.

En todo caso, serán de obligatoria notificación al CCN en el momento en que se produzcan, los incidentes de seguridad que por su nivel de impacto sean calificados con el nivel de CRÍTICO, MUY ALTO o ALTO, mediante el empleo de la herramienta LUCIA.

  • NOTIFICACIÓN EN EL ÁMBITO DEL SECTOR PRIVADO

Las entidades de derecho privado notificarán los ciberincidentes a INCIBE-CERT según se recoge en el artículo 11 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Asimismo, INCIBE será, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en el mismo artículo 11.1, pudiendo utilizar los canales y herramientas que INCIBE-CERT facilite.

En este sentido, INCIBE también ha publicado una Guía para la gestión de los casos, bajo el nombre “Procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía» (ver aquí).

Las entidades del sector privado obligadas a notificar un ciberincidente, deberán notificar aquellos ciberincidentes acaecidos en su infraestructura tecnológica que se encuadren dentro del alcance de la norma; pudiendo también reportar otros ciberincidentes o ciberamenazas que consideren oportuno, atendiendo a si hay necesidad de contar con el apoyo del CSIRT de referencia para la investigación o resolución de ciberincidentes y/o si son de interés general para la seguridad del conjunto de la comunidad de ciberseguridad, así como para el aumento de la toma de consciencia situacional del estado de la ciberseguridad a nivel estatal.

En relación con los ciudadanos y entidades no incluidos en el ámbito de protección de infraestructuras críticas, o del sector público, o del Real Decreto-ley 12/2018, la notificación de incidentes de ciberseguridad tendrá, en todo caso, un carácter potestativo y voluntario en base a una cultura de buenas prácticas.

SISTEMA DE VENTANILLA ÚNICA

La información solicitada en cada caso deberá ser remitida de acuerdo con el cauce establecido por su autoridad competente o CSIRT de referencia. La metodología de reporte será, en todo caso, a través del sistema de ventanilla única:

  1. El sujeto afectado enviará un correo electrónico (o ticket) al CSIRT de referencia (INCIBE-CERT o CCN-CERT) notificando el incidente.
  2. Para reportar los incidentes al CCN-CERT, se realizará como canal preferente a través de la aplicación LUCIA, y subsidiariamente a través del email incidentes@ccn-cert.cni.es.
  3. Para reportar los incidentes a INCIBE se realiza través de un usuario que, como afectado final o como punto de contacto por la entidad afectada, accede al servicio de respuesta a través de los medios proporcionados por este CERT, y subsidiariamente a través del email incidencias@incibe-cert.es.
  4. El CSIRT de referencia, dependiendo del incidente, pone en conocimiento del mismo al organismo receptor implicado o a la autoridad nacional competente. Por ejemplo, si afecta al RGPD, a la AEPD.
  5. El organismo receptor implicado o Autoridad Nacional competente se pone en contacto con el afectado para recabar información.
  6. El sujeto afectado comunica los datos necesarios al organismo receptor implicado o Autoridad Nacional competente.
  7. Si procede, desde la Oficina de Coordinación Cibernética (CNPIC), se pone la información a disposición de las Fuerzas y Cuerpos de Seguridad del Estado y Ministerio Fiscal para iniciar la investigación policial y judicial (art. 14.3 RD Ley 12/2018).

De acuerdo con el artículo 11.2 del RD Ley 12/2018, en los supuestos de especial gravedad que se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT.

CLASIFICACIÓN DE LOS CIBERINCIDENTES

Ya que no todos los ciberincidentes tienen las mismas características ni implicaciones, es necesario disponer de una clasificación común de los posibles incidentes que se registren, en base a dos criterios:

  • Nivel de peligrosidad: determina la potencial amenaza que supondría la materialización de un incidente en los sistemas del ente afectado, así como para los servicios prestados o la continuidad de negocio en caso de haberla. Este indicador se fundamenta en las características intrínsecas a la tipología de amenaza y su comportamiento.

En todo caso, cuando un determinado suceso pueda asociarse a más de un tipo de incidente, éste se asocia a aquel que tiene un nivel de peligrosidad superior.

En la Guía, podemos encontrar una tabla que recoge los distintos criterios de determinación del nivel de peligrosidad de un ciberincidente, tendiendo en cuenta los niveles de peligrosidad CRÍTICO, MUY ALTO, ALTO, MEDIO, BAJO.

  • Impacto del ciberincidente: se determinará evaluando las consecuencias que tal ciberincidente ha tenido en las funciones y actividades de la entidad afectada, en sus activos o en los individuos afectados.

Igualmente, los incidentes se asociarán a alguno de estos niveles de impacto: CRÍTICO, MUY ALTO, ALTO, MEDIO, BAJO o SIN IMPACTO.

Por tanto, los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos, teniendo en cuenta la obligatoriedad de notificación de todos aquellos que se categoricen con un nivel CRÍTICO, MUY ALTO O ALTO para todos aquellos sujetos obligados a los que les sea aplicable normativa específica de acuerdo con lo contemplado en esta Guía.

GESTIÓN DE LOS INCIDENTES DE CIBERSEGURIDAD

El proceso de gestión de incidentes consta de varias fases y, aunque todas son necesarias, algunas pueden estar incluidas como parte de otras o realizarse simultáneamente:

PREPARACIÓN

Una buena anticipación y entrenamiento previo es clave para realizar una gestión eficaz de un incidente, para lo que hace falta tener en cuenta a las personas (formar al equipo humano, disponer de la información de contacto, etc.), los procedimientos (mantener las políticas y los procedimientos actualizados, realizar análisis de riesgos, etc.) y la tecnología (disponer de las herramientas necesarias).

IDENTIFICACIÓN

El objetivo es tener la capacidad de identificar o detectar cualquier ciberincidente lo antes posible, para lo cual es importante realizar una monitorización completa.

No obstante, no todas las alertas de ciberseguridad son ciberincidentes. Una correcta identificación o detección consiste en registrar y monitorizar los eventos de las redes, sistemas y aplicaciones, recolectar información situacional que permita detectar anomalías, o recopilar y almacenar de forma segura todas las evidencias.

CONTENCIÓN

En el momento que se ha identificado un ciberincidente la máxima prioridad es evitar lo antes posible la propagación a otros sistemas o redes evitando un impacto mayor.

Ésta suele ser la fase en la que se realiza el triaje, que consiste en evaluar toda la información disponible en ese momento, realizar una clasificación y priorización del ciberincidente en función del tipo y de la criticidad de la información y sistemas afectados, y a mayores identificar posibles impactos en el negocio, trabajando en la toma de decisiones con los responsables de los servicios potencialmente afectados.

MITIGACIÓN

Las medidas de mitigación dependerán del tipo de ciberincidente, ya que en algunos casos será necesario contar con apoyo de proveedores de servicios, como en el caso de un ataque de denegación de servicio distribuido (DDoS), y en otros ciberincidentes puede suponer hasta el borrado completo de los sistemas afectados y recuperación desde una copia de seguridad.

RECUPERACIÓN

Consiste en devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad. Es importante no precipitarse en la puesta en producción de sistemas que se han visto implicados y buscar cualquier signo de actividad sospechosa.

ACTUACIONES POST – INCIDENTE

Una vez que el ciberincidente está controlado y todo ha vuelto a la normalidad, es momento de pararse a reflexionar sobre las causas del problema, cómo se ha desarrollado la actividad durante la gestión del ciberincidente y todos los problemas asociados a la misma.

Se trata de aprender de lo sucedido y que se puedan tomar medidas adecuadas para evitar que una situación similar se pueda volver a repetir, además de mejorar los procedimientos.

Por último, se ha de realizar un informe del ciberincidente, que detalle la causa del ciberincidente, el coste (especialmente, en términos de compromiso de información o de impacto en los servicios prestados), y las medidas que la entidad debe tomar para prevenir futuros ciberincidentes de naturaleza similar.