NECESIDADES Y DIFICULTADES DE COMUNICACIÓN DE...

NECESIDADES_Y_DIFICULTADES_DE_COMUNICACIÓNDE_INCIDENTES_DE_CIBERSEGURIDADENTRE_LAS_EMPRESAS

La p

rese

nte

publ

icac

ión

pert

enec

e a

la F

unda

ción

Em

pres

a, S

egur

idad

y S

ocie

dad

(ES

YS

) y e

stá

bajo

una

lice

ncia

Rec

onoc

imie

nto-

No

com

erci

al-S

inO

braD

eriv

ada

3.0

Unp

orte

d E

spañ

a de

Cre

ativ

e C

omm

ons,

y p

or e

llo e

sta

perm

itido

co

piar

, dis

trib

uir

y co

mun

icar

púb

licam

ente

est

a ob

ra b

ajo

las

cond

icio

nes

sigu

ient

es:

•Rec

onoc

imiento:Elc

ontenido

dees

tein

form

ese

pue

derep

rodu

cirtotalo

parcialmen

teporterce

ros,cita

ndosu

proce

denc

iayhac

iend

oreferenc

iaexp

resa

tan

toaFun

dación

ESYScom

oasu

sitioWeb

:www.fu

ndac

ione

sys.co

m.

Dicho

reco

nocimientono

pod

ráenning

úncas

osu

gerirque

ESYSprestaap

oyoadich

otercerooap

oyaeluso

que

hac

ede

suob

ra.

•Uso

NoCom

ercial:E

lmaterialo

riginalylo

strab

ajos

derivad

ospue

dense

rdistrib

uido

s,cop

iado

syex

hibido

smientrassu

uso

noteng

afines

com

erciales

.•

SinO

braDerivad

a:Laau

torizac

iónpa

raexp

lotarlaobrano

incluy

elatran

sformac

iónpa

racrearuna

obrade

rivad

a.Alreu

tilizarodistribuirlaobra,tiene

que

dejarbienclarolostérm

inos

delalice

nciadees

taobra.Algun

ade

estas

con

dicion

espue

denoap

licarse

siseob

tiene

elp

ermisode

ESYScom

otitulardelosde

rech

osdeau

tor.Nad

aen

esta

licen

ciamen

osca

baores

tringe

losde

rech

osm

orales

deESYS.

n e c e s i d a d e s y d i f i c u l t a d e s d e c o m u n i c a c i ó n

D E i N C i D E N t E S D E C i b E R S E g U R i D a D

E N t R E L a S E m p R E S a S

2 0 1 4

R E S U M E N E J E C U T I V O

9

NECESIDADES Y DIFICULTADES DE COMUNICACIÓN DE INCIDENTES DE CIBERSEGURIDAD ENTRE LAS EMPRESAS

R E S U M E N E J E C U T I V O

La Fundación ESYShaelaboradoesteestudioconelfindeconocerlasnecesidadesydificultades

decomunicacióndeincidentesdeCiberseguridadentrelasempresasytambiénentreéstasylos

organismos implicados en la Ciberseguridad. a partir del conocimiento de la situación se propone

unconjuntodeaccionesarealizarporlaAdministraciónylasempresas.

1

Estado de la cuestión

ElusomasivodelasTecnologíasdelaInformaciónylasComunicaciones(TIC)esyaunarealidady

suincorporaciónentodoslosámbitos:políticos,económicosypersonales,hacenecesarioabordar

su impacto sobre las personas, las instituciones y, por supuesto, sobre las empresas.

Unadelascuestionesquemáspreocupanalasempresaseslaseguridadentodotipodecomu-

nicación,informaciónotransacciónatravésdelared.Poreso,esfundamentalbuscarsoluciones

quegaranticenlaseguridaddelossistemasTICpara,porejemplo:prevenirincidencias,disponer

de sistemas de denuncia, implementar capacidades de corrección de vulnerabilidades, disponer

de sistemas de comunicación de incidentes y proporcionar a los responsables de la Seguridad del

Estadoydelasempresaslosmediosjurídicosytécnicosparadenunciaryperseguirlosdelitosya

losdelincuentes.Laamenazadelaciberdelincuenciao,másengeneral,delosciberataquesesreal

yestápresenteenEspaña,afectandoalasinfraestructurasinformáticasydetelecomunicaciones,

tanto a las de la administración pública como a las de las empresas y los ciudadanos.

Desde la perspectiva de las empresas, visión prioritaria de la Fundación ESYS, la situación es muy

preocupante,debidoalavelocidadalaqueaparecenycambianlosnuevosescenarios.

10


En este sentido, están sin resolver las siguientes necesidades:

la legislación actual no está adaptada a los nuevos ciberdelitos.

la administración no dispone de recursos eficaces ni una capacidad de respuesta

suficiente ante los continuos (y en constante incremento) incidentes debidos a

ciberataques.

existe una necesidad de expertos en ciberseguridad, no satisfecha ni por la for-

mación pública ni por la privada.

Estas carencias están generando una situación en las empresas (e incluso en los ciudadanos en general)

desensacióndeindefensiónantelasnuevasamenazas,quehaderivadoen:

>Ausenciadecomunicacióndelosincidentesqueseproducen.

>Imposibilidadenlapersecucióneficazdelosciberdelicuentes.

>LaexistenciadeserviciosprivadosdeCiberseguridadprestadosporempresas

españolasyextranjerassinregulación,encontrasteconlalegislacióndeSeguridad

privada Física.

teniendo en cuenta, por un lado, el impacto en la economía española de los daños a las empresas (de

difícilevaluación,perosindudaalgunacreciente),yporotro,elriesgorealdequeseproduzcanimpactos

importantes en la prestación de servicios esenciales, desde la Fundación ESYS consideramosquela

administración debe actuar con urgencia ante estas necesidades.

11


2

Situación actual: respuesta de la Administración

Espreciso reconocerque laAdministraciónhadadopasos importantesen respuestaa lasnuevas

amenazas:

• LaaprobacióndeLaestrategiadeseguridadnacionaL.

• LaaprobacióndeLaestrategiadeciberseguridadnacionaL.

• LaaprobacióndeLegisLaciónespecíficaparaLaprotecciónde

infraestructurascríticas.

• LacreacióndeLMandoconjuntodeciberdefensadeLasfuerzasarMadas.

• LacreacióndeLadireccióndeseguridadnacionaL

(dependiente de la presidencia del gobierno).

• la creación del cert1 (equipo de respuesta ante emergencias informáticas) de

seguridad e industria (dependiente de los ministerios de interior y de industria,

energíayturisMo).

• LacreacióndeLaoficinadecoordinacióncibernética(dependientedeL

secretario de estado del ministerio del interior).

Endefinitiva,variadasiniciativasquepresentanunacomplejaestructuracon,aveces,duplicaciónde

misiones o competencias (CERt del Centro Criptológico Nacional2paraempresas“estratégicas”,CERT

deSeguridadeIndustria,paraempresas“críticas”,CERT’sdealgunasComunidadesAutónomas),yla

percepcióndelanoexistenciadeunmandoúnicocoordinador.

1 CERT’s:SonequiposdeRespuestaanteEmergenciaInformáticas.Ensussiglaseninglés:ComputerEmergencyResponseTeam. Susservicios(noreguladosenEspaña)sonderecepciónyenvíodeinformaciónrelativaaincidentesyamenazasdeSeguridad. Noactúan,soloinforman.2 CCN - El Centro Criptológico Nacional eselOrganismoresponsabledecoordinarlaaccióndelosdiferentesorganismosdelaAd-

ministraciónqueutilicenmediosoprocedimientosdecifra,garantizarlaseguridaddelasTecnologíasdelaInformacióneneseámbito,informar sobre la adquisición coordinadadelmaterial cifrado y formar al personal de la Administración especialista en este campo.

El CCNfuecreadoenelaño2004,atravésdelRealDecreto421/2004,adscritoalCentroNacionaldeInteligencia(CNI).Dehecho,enlaLey11/2002,de6demayo,reguladoradelCNI,seencomiendaadichoCentroelejerciciodelasfuncionesrelativasalaseguridaddelasTecnologíasdelaInformaciónydeproteccióndelainformaciónclasificada,alavezqueseconfiereasuSecretariodeEstadoDirectorlares-ponsabilidad de dirigir el Centro Criptológico Nacional. por ello, el CCN comparte con el CNi medios, procedimientos, normativa y recursos.

12


En paralelo, la actual legislación penal, los procedimientos procesales y la Ley de protección de Datos

Personales,planteanimportantesdificultadesparalapersecucióndedelitos,tantoporqueseproducen

aunavelocidadmuydiferentealostradicionales,comoporsuposibleorigentransfronterizo.

En el caso concreto de la Ley de protección de Datos personales, su aplicación según su redacción

actual genera:

• unobstácuLoparaLacoMunicacióndeincidentes,aLpodersercausadeLaaper-

tura de un expediente sancionador contra la empresa que comunique algunos de

los mismos.

• unasituacióndedesiguaLdaddetratoaLosciudadanossegúnrecibanservicios

de empresas españolas, a las que se aplica el peso de la ley, y los que lo reciben

deeMpresasextranjeras(LaMayoríadeLosserviciosderedessociaLes,porejeM-

plo). estas empresas de reconocido prestigio internacional, y ubicuidad mundial,

utiLizanabiertaMente, incLusorefLejándoLoen suscontratos, condicionesde

ManejodeLosdatospersonaLesdeLoscLientes(ciudadanosespañoLes)absoLu-

tamente contrarias a la citada ley española.

• unaiMportanteLiMitaciónaLaactuacióninMediataparaevitarLacoMisióndeci-

berdelitos flagrantes.

Porotraparte,lanuevaLeydeSeguridadPrivada(Ley5/2014,de4deabril,deSeguridadPri-

vada)nohadesarrolladoparlamentariamentelaregulacióndelosnuevosserviciosdeSeguridad,

incluidoslosdeCiberseguridad;porloquedejaallibremercadoysinregulaciónelestablecimiento

deempresasprestadorasdeserviciosdeCiberseguridadlascualespuedennosereficacesenla

resolución de problemas e incluso introducir nuevos riesgos. Es preciso el desarrollo de esta regu-

lación cuanto antes.

13


3

La necesidad del estudio de intercambio de información

de incidentes de Ciberseguridad

La Fundación ESYShaelaborado,alolargodeestosúltimosaños,variosinformesacercadelaSe-

guridadennuestropaís.Enconcreto,enelámbitodelaCiberseguridadlasconclusionesalasquese

hallegadotrasdiversosanálisiselaboradosportécnicosmuycualificadosdegrandesempresas,es

queesteasuntohayqueabordarlodesdemúltiplesperspectivasyconlamáximaceleridad.Elrápido

desarrollodelasTICnopermiteaplicarfórmulasdeanálisisyrespuestaclásicas.Entodoslospaísesde

nuestro entorno ya se está trabajando en este sentido, tomando decisiones para acometer sistemas de

defensadelosinteresespúblicosyprivados.

por tanto, parece necesario y urgente abordar en España este proceso con criterio, coordinación y

eficacia.LaFundación ESYS haelaboradoesteestudioconelfindeconocerlasnecesidadesydifi-

cultadesdecomunicacióndeincidentesdeCiberseguridadentrelasempresasytambiénentreéstasy

losorganismosimplicadosenlaCiberseguridad.Lapertinenciadesurealizaciónrespondefundamen-

talmenteacuatrofactores:

• Lafalta de informaciónrealistasobrelosincidentesdeCiberseguridadquesufrenlas

empresas en España.

• Laslíneas de trabajo previstas en la Estrategia de Ciberseguridad Nacional y las medi-

dasquesedescriben,entrelasqueseencuentraladepotenciarlacolaboraciónconlas

empresas,especialmentelasqueatiendeninfraestructurascríticas,paraladeteccióny

respuesta a los incidentes de Ciberseguridad.

• Lanecesidaddedesarrollar los procedimientos y mecanismos de intercambio de

información de Ciberseguridad entre todos los agentes implicados: empresas, SOC´s y

CERT’spúblicosyprivados.

• Apoyar las iniciativaseuropeasenmarcha:PlataformaNISyENISA.

14


Elestudioseharealizadoapartirdelasencuestasenviadasaunimportanteyrepresentativogrupode

grandesempresasenEspaña.Eldiseñodelasencuestasyelanálisisdelosresultadossehallevadoa

caboporelgrupodeexpertosqueconstituyenelThink Tank de la Fundación ESYS.

4

Acciones necesarias

Dadalarápidaevolucióndelasamenazasdescritas,yteniendoencuentalasopinionesdelasprincipa-

lesempresasespañolas,seprecisanunaseriedeaccionesdesdelaAdministracióndeformaurgente

yenérgica.Lasmásimportantesson:

• Conlalegislaciónactual,lasaccionesmaliciosascibernéticastienengran-

desventajas,fundamentalmenteentérminosdetiempodereacción.Se

precisancambiosodesarrollos“adhoc”enlalegislacióndeenjuiciamien-

to,deproteccióndedatosydeseguridadprivadaparaunamayoreficacia

en la persecución de los delitos. asimismo, se debería revisar el Código

Penalparaquedeterminadasconductasfraudulentassecalifiquenade-

cuadamente.

• Enestesentido,sedebedesarrollarlaOficinadeDenunciasCibernéticas

parafavorecerladenunciadelosdelitos,publicitandoelmododeacceso

alamismaysusfunciones.

• Encualquiercaso,sedebedesarrollarlalegislaciónnecesariaparadefinir

estructurasquepermitanabordarlosciberataques,desdeunaperspecti-

vaoperativaquepuedausarseparaplanificardeformamásadecuadala

capacidad preventiva y de respuesta nacional.

[ i ]

cambios y evolución

de la legislación

existente

15


3 SOC:SecurityOperationCenters:sonCentrosdeOperacionesdeSeguridadque,atravésdeunacentraldeseguridadinformá-tica,previenen,monitoreanycontrolanlaseguridadenlasredesyenInternet.AlgunasdesusfuncionessesolapanconlasdelosCERT’s,perolagrandiferenciaesquelosSOC’sactúansobreactivosdesusclientes,reaccionandoalosciberataques.Susserviciossefacturan,normalmentedesdeentidadesprivadas.

• Engeneral,sedebeaclarar laclasificacióndeCERTydeSOC3, como

serviciosdiferenciadosqueson,deformaqueseestablezcaunregistro

específicodelosmismos,deacuerdoconcriteriosclaros.Enelcasode

losCERT’spúblicossedebenestablecerlascompetenciasdecadauno

delosexistentesdeformaprecisa.

• Esnecesario,enloquerespectaalaCiberseguridaddelasempresas,que

seestablezcadeformadefinitivalafiguradeunCERTnacional.Eneste

sentido,esteCERTdebierarecogerlainformacióndelosCERT’sySOC’s

privadosqueprestanservicioalasempresas,ytambiéndebieravehicular-

leslasalertaseinformacionespertinentesparasusclientes.

• Paraunamayoreficacia,sedebenestandarizarlosprocedimientosypro-

tocolos de comunicación de incidentes entre todos los agentes implica-

dos:empresas,SOC’syCERT’spúblicosyprivados.Losprocedimientos

yherramientasdeberíanrecoger,enlamedidadeloposible,lasnecesida-

desexpresadasenelestudio:

• Garantíade laconfidencialidadyde la integridadde la información

intercambiada •Garantíadelorigendelainformación• intercambio de

lainformacióndeformaestructurada•Controldeusodelainformación.

• Enestesentido,lafaltaactualdecontrolsobrelainformaciónquemanejan

losCERT’sdelosincidentesconfieregranimportanciaaladeterminación

delapropiedaddelainformacióntrasmitida,quehaderespetarlavolun-

tad del origen de la misma.

• Esprecisorealizarunaurgentearmonizacióndeestosprocedimientosy

herramientascomomínimoaniveleuropeo,dada lafluidezde la infor-

mación internacional. En la elaboración de los procedimientos deberían

participar las empresas.

[ ii ]

clarificación

y desarrollo

de los organismos

coordinadores

de ciberseguridad

16


• La reciente publicación en 2014 de la Ley de Seguridad privada dejó para

un posible desarrollo posterior la regulación de las actividades de Ciberse-

guridad. Es de gran importancia la elaboración de una Ley de Cibersegu-

ridadqueregulelosaspectosrelacionadosconlasempresasqueprestan

estosserviciosdeformaprivada,incluidoslosCERT’s,ylasobligaciones

delasempresasenloreferenteamedidasdeCiberseguridad,comunica-

ción de incidentes, etc.

• EnparaleloalalegislacióndeSeguridadPrivada“física”enloquerespecta

alasCentralesReceptorasdeAlarma,parecelógicoqueseestablecierala

obligacióndequelosCERT’sySOC’squeprestanserviciosprivadosalas

empresas trasladaran sus incidentes de Ciberseguridad al CERt nacional

descrito en la Línea de trabajo 2 de este documento. Esta Ley deberá

redactarsecomotrasposicióndelaDirectivaeuropeaNIS(Networkand

InformationSecurity),enborradorenlaactualidadypendientedecomen-

tarios por parte del Consejo Europeo.

• La carencia de expertos tanto para la Administración, las empresas y

lasempresasdeCiberseguridadesunhechoentodaEuropa.Ejemplos

comoeldelGobiernoBritánicoestableciendounafuerzadereservistas

entretécnicosdeempresasseestánproduciendoentodoelmundo.La

masacríticadeingenierosespecializadossolosepuedeconseguirdesde

unesfuerzodeadaptacióndelasUniversidadesespañolasaestanecesi-

dad. Es urgente impulsar estudios de grado y de maestría en Ciberseguri-

dad,asícomodeFormaciónProfesional.

[ iii ]

LegisLaciónespecífica

de ciberseguridad

[ iv ]

formación de expertos

en ciberseguridad

17


S I N O P S I S

La Fundación ESYShaelaboradoesteestudioconelfindeconocerlasnecesidadesydificultades

decomunicacióndeincidentesdeCiberseguridadentrelasempresasytambiénentreéstasylos

organismos implicados en la Ciberseguridad. a partir del conocimiento de la situación se propone

unconjuntodeaccionesarealizarporlaAdministraciónylasempresas.

Lapertinenciadesurealizaciónrespondefundamentalmenteacuatrofactores:

la falta de información realista sobre los incidentes de ciberseguridad que su-

fren las empresas en españa.

LasLíneasdetrabajoprevistasenLaestrategiadeciberseguridadnacionaLyLas

medidas que se describen, entre las que se encuentra la de potenciar la colabo-

ración con las empresas,especiaLMenteLasqueatiendeninfraestructurascríti-

cas, para la detección y respuesta a los incidentes de ciberseguridad.

la necesidad de desarrollar los procedimientos y mecanismos de intercambio de

información de ciberseguridad entre todos los agentes implicados: empresas,

soc´s y cert´s públicos y privados.

apoyar las iniciativas europeas en marcha: plataforma nis y enisa.

Elestudioseharealizadoapartirdelasencuestasenviadasaunimportanteyrepresentativogrupo

degrandesempresasenEspaña.Eldiseñodelasencuestasyelanálisisdelosresultadosseha

llevadoacaboporelgrupodeexpertosqueconstituyenelThinkTankde laFundación ESYS.

18


El estudio consta de los siguientes capítulos:

capítuLo1

En este capítulo se recogen lasConclusiones yPropuestas elaboradas por el Think Tank de la

Fundación ESYSapartirdelainformaciónrecogida.Entrelasprincipalesconclusionesdelestudio

cabe destacar las siguientes:

conclusiones

• LasempresasdeseanrecibirinformaciónestructuradasobrelosincidentesdeCiber-

seguridadrelevantesdelosquetenganconocimientoSOC´syCERT´spúblicosypri-

vadosconlosqueserelacionen.

• Lainformaciónarecibirsedeseaconunascaracterísticasdeinmediatezycalidadmuy

altas.

• Lasempresasplanteanunaseriedecausasporlasquenocomunicansusincidentes,

relacionadassobre todocon lapérdidade imagenycon las reclamacionesdesus

clientes, y en menor medida con las posibles sanciones de la administración.

• Secreenecesariolaarticulacióndeunprotocolodecomunicaciónformalmentees-

tablecido,unificadoyacordado,arealizartraslacategorizacióninternadelosinci-

dentes.

• Losprocedimientosdecomunicacióndebengarantizarlaconfidencialidad,laintegri-

dad de las incidencias comunicadas y, en la medida de lo posible, la disociación del

origen de las mismas.

• Sereclamalaexistenciadeunaoficinacibernéticadedenunciasdedelitosinformáti-

cosqueseaágilyaglutinetrasdesílacoordinaciónconlasentidadesPúblico-Priva-

dasquepudieranestarinvolucradas,tantoparaperseguireldelitocomoparaayudar

adecidiryarticularunarespuesta,deserestratégicamentenecesario.

19


• SeránecesarialacoordinacióndelCentrodeCoordinacióndeIncidentesdeCiberse-

guridad español con los del resto de la UE, así como con los centros análogos de los

quedisponganotrospaíses.

• Sesolicitancambioslegislativos,principalmenteenmateriadeProteccióndeDatos,

CódigoPenaleInfraestructurasCríticas.

• LaEstrategiadeSeguridadNacionalespotestaddelEstado.Dadoelmarcoestratégi-

coenelquenosdesenvolvemos,granpartedelosgastospararealizarelintercambio

deinformacióndeberíanserasumidosporelEstado.

• ParareforzarlaParticipaciónPúblico-Privada,seríainteresantearticularlaparticipación

de las empresas en la gestión, asignación y posible aportación en determinadas cir-

cunstancias a los costes del Centro de Coordinación.

propuestas

Se concretan en cuatro líneas de trabajo a desarrollar:

1DESaRROLLO DE pROCEDimiENtOS Y

HERRamiENtaS DE iNtERCambiO DE iN-

FORMACIONENTREEMPRESASYCERT’s.

2CLaRiFiCaCiÓN Y DESaRROLLO DE

LOS ORgaNiSmOS COORDiNaDORES

DE La CibERSEgURiDaD.

3CambiOS Y EVOLUCiÓN EN La LEgiS-

LaCiÓN EXiStENtE.

4LEgiSLaCiÓN ESpECÍFiCa DE CibERSE-

gURiDaD.

20


capítuLo2

Describe los aspectos generales del estudio: sus objetivos, sus antecedentes, la metodología utili-

zadaylapropiaestructuradelestudio.

capítuLo3

incluye las respuestas relacionadas con las necesidades de las empresas en cuanto a recepción de

información.Destaca lacasiunanimidadquemanifiestan losencuestadosenaspectoscomolas

necesidades de recibir, entre otras:

• Informacióndecualquiertipodeincidentes(68%delamuestra)

• Informaciónentiemporeal(65%)

• Informaciónadicionalalacomunicacióndelincidente(76%)

• Informaciónespecíficasobrevulnerabilidadesdelasinfraestructuraspropias(95%)

• Tendenciasdetectadasenlosciberataques(86%)

• Incidenteseninstalacionessimilares(86%)

• Incidentesenproveedores(62%)

capítuLo4

Reflejalascondicionesqueproponenlasempresasparacompartirsuinformaciónsobrelosinci-

dentesquesufren.Esquizá lapartemás interesantedelestudio,dada la faltadecomunicación

existente,yaquepermitededucir lascausasdeestacarenciayofrece indicacionessobrecómo

minimizarlas.Delosresultadosobtenidosenesteapartadosepuedendestacarlossiguientes:

• Causasdenocomunicacióndelosincidentes:

o Pérdidadeimagenyclientes(71%)

o Reclamacionesdeclientes(62%)

o Sancionesadministrativas(52%)

• Necesidaddedisponerdeunprotocoloacordadodecomunicación(91%)

• Informaciónqueseestaríadispuestoacompartirsobreciberincidentes:

21


o Recomendacionessobreprevenciónyrespuestasanteincidentessimilares(81%)

o Infraestructuraspropias(76%)

o Instalacionesesenciales(67%)

• Comunicaciónsolotrasvalidacióninternadelaempresa(68%)

• Necesidadderegulaciónespecíficadecomunicacióndeincidentes(86%)

capítuLo5

Tratalascaracterísticastécnicasdel intercambiodeinformaciónquedesearíanlasempresas:

• Seconsideraporunanimidadqueesimprescindiblelagarantíadelaconfidencialidad

ydelaintegridaddelainformaciónintercambiada.

• Seconsideraporunamayoríacualificadaquetienequehabergarantíadelorigendela

informaciónyqueelsistemadeberíafacilitarlainformacióndeformaestructurada.

• Noexisteunacuerdo(dispersióndeopiniones)encuantoalprotocoloconcretotécnico

delintercambiodeinformación,siendolamásconcurrentelaeleccióndelformatode

intercambiomediantelatecnologíaIRMdecifradoycontroldeusoendestino(59%).

capítuLo6

Se recogen las opiniones de las empresas sobre las características deseadas respecto a la res-

puesta de la administración en el caso de comunicación de incidentes de Ciberseguridad. Son de

destacar las siguientes respuestas agregadas:

• LaAdministracióndebieratratarlosincidentesdeCiberseguridadcomoenelcasode

otrosdelitosmedianteunorganismoespecializado(52%)

• Debierainstituirseunaoficinacibernéticaespecíficadedenunciadedelitosinformáti-

cos(81%)

• Seprecisaríancambioslegislativosen:

o ProteccióndeDatos(67%)

o CódigoPenal(57%)

o InfraestructurasCríticas(57%)

006 resuMenejecutivo

017 SiNOpSiS

029 conclusiones y propuestas

029 1.1 CONCLUSiONES

031 1.2 pROpUEStaS

035 introducción

035 2.1 ObjEtiVOS

037 2.2 aNtECEDENtES

040 2.3 mEtODOLOgÍa

041 2.4 EStRUCtURa DEL EStUDiO

043 necesidades de las empresas

049 condiciones para la comunicación de incidentes

061 característicascoMunesdeLintercaMbiodeinforMacióndeincidentes

069 respuestadeseadadeLasfuerzasycuerposdeseguridad

087 anexo 1:

ENCUESta ENViaDa a LaS EmpRESaS

103 anexo 2:

SitUaCiÓN iNtERNaCiONaL DEL iNtERCambiO DE iNFORmaCiÓN

DE iNCiDENtES DE CibERSEgURiDaD

C O N C L U S I O N E S Y P R O P U E S T A S

29


1

conclusiones y propuestas

1.1

Conclusiones

Acontinuaciónserecogen lasConclusionesextraídaspor laComisiónTécnicade laFundación

ESYSapartirdelainformaciónrecogidaenlasencuestas.

• Lasempresasdeseanrecibir información estructurada sobre

los incidentesdeCiberseguridadrelevantesde losquetengan

conocimientoSOC´syCERT´spúblicosyprivadosconlosque

se relacionen.

• Lainformaciónarecibirsedeseacon unas características de

inmediatez y calidad muy altas.

• Lasempresasplanteanunaseriedecausas por las que no co-

munican sus incidentes, relacionadas sobre todo con la pérdi-

da de imagen y con las reclamaciones de sus clientes, y en

menor medida con las posibles sanciones de la administración.

• Unaspectoatenerencuentaseríaelsesgo unidireccional en

el que las empresas envían información, pero no reciben de

los organismos competentes un feedback alimentado y madura-

doporelanálisismásprofundodesdeunaperspectivaglobaly

otroscriteriosdedefensaconjunta.

depuración

ynorMaLización

de la información

intercambio

dinámico de información

estructurada

30


• Seconsideranecesariolaarticulacióndeunprotocolodecomunica-

ciónformalmenteestablecido,unificadoyacordado,arealizartras la

categorizacióninternadelosincidentes.

• Losprocedimientosdecomunicacióndebengarantizarlaconfidencia-

lidad, la integridad de las incidencias comunicadas y, en la medida de

lo posible, la disociación del origen de los mismos.

• Sereclamalaexistenciadeunaoficina(cibernéticaonosegúnlalegis-

lación)dedenunciasdedelitosinformáticosqueseaágilyaglutinetras

desílacoordinaciónconlasentidadesPúblico-Privadasquepudieran

estar involucradas tanto para perseguir el delito, como para ayudar a

decidiryarticularunarespuestadeserestratégicamentenecesario.

• SeránecesarialacoordinacióndelCentrodeCoordinacióndeInciden-

tes de Ciberseguridad español con los del resto de la UE, así como con

loscentrosanálogosdelosquedisponganotrospaíses.

• Sesolicitancambiosodesarrollos legislativosprincipalmenteenma-

teriadeProteccióndeDatos,CódigoPenaleInfraestructurasCríticas

paraunamayoreficaciaenlapersecucióndelosdelitos.

• La Estrategia de SeguridadNacional es potestad del Estado. Dado

elmarcoestratégicoenelquenosdesenvolvemos,granpartedelos

gastospararealizarelintercambiodeinformacióndeberíanserasumi-

dos por el Estado.

• ParareforzarlaParticipaciónPúblico-Privada,seríainteresantearticular

la participación de las empresas en la gestión, asignación y posible

aportación en determinadas circunstancias a los costes del Centro de

Coordinación.

protocolo

de comunicación

oficina central

de coordinación

(112 para incidencias

cibernéticas)

cambios legislativos

costes del centro

de coordinación

31


1.2

Propuestas

Se agrupan las propuestas en las siguientes líneas de trabajo:

línea de trabajo

1

desarrollo de procedimientos y herramientas de intercambio

de informacion entre empresas y cert’s

línea de trabajo

2

clarificación y desarrollo de los organismos coordinadores

de la ciberseguridad

línea de trabajo

3

cambios y evolución en la legislación existente

línea de trabajo

4

LegisLaciónespecíficadeciberseguridad

32


desarrollo de procedimientos

y herramientas de intercambio de

informacion entre empresas y cert’s

Para una mayor eficacia, se deben estandari-

zar los procedimientos y protocolos de comu-

nicación de incidentes entre todos los agen-

tes implicados: empresas, SOC´s y CERT’s

públicos y privados.

Los procedimientos y herramientas deberían

recoger, en la medida de lo posible, las nece-

sidades expresadas en el estudio:

• Garantíadelaconfidencialidadydelaintegri-

dad de la información intercambiada.

• Garantíadelorigendelainformación.

• Intercambio de la informaciónde formaes-

tructurada.

• Controldeusodelainformación.

En este sentido, la falta actual de control so-

bre la información que manejan los CERT’s de

los incidentes confiere gran importancia a la

determinación de la propiedad de la informa-

ción trasmitida, que ha de respetar la volun-

tad del origen de la misma.

Es preciso realizar una urgente armoniza-

ción de estos procedimientos y herramientas

como mínimo a nivel europeo, dada la fluidez

de la información internacional.

clarificación y desarrollo

de los organismos coordinadores

de la ciberseguridad

En general, se debe aclarar la clasificación de

CERT y de SOC, como servicios diferenciados

que son, de forma que se establezca un re-

gistro específico de los mismos, de acuerdo

con criterios claros.

En el caso de los CERT’s públicos se deben

establecer las competencias de cada uno de

los existentes de forma clara.

Es necesario, en lo que respecta a la Ciber-

seguridad de las empresas, que se establez-

ca de forma definitiva la figura de un CERT

nacional. En este sentido, este CERT debiera

recoger la información de los CERT’s y SOC’s

privados que prestan servicio a las empresas

y también debiera vehicular las alertas e in-

formaciones pertinentes para sus clientes.

LínEA dE trAbAjo 1 LínEA dE trAbAjo 2

33


cambios y evolución

en la

legislación existente

Con la legislación actual las acciones mali-

ciosas cibernéticas tienen grandes ventajas,

fundamentalmente en términos de tiempo de

reacción.

Se precisan cambios o desarrollos ad hoc

en la legislación de enjuiciamiento, de pro-

tección de datos y de seguridad privada para

una mayor eficacia en la persecución de los

delitos.

Asimismo se debería revisar el Código Pe-

nal para que determinadas conductas frau-

dulentas se califiquen adecuadamente. En

este sentido, se debe desarrollar la Oficina

de Denuncias Cibernéticas para favorecer la

denuncia de los delitos, publicitando el modo

de acceso a la misma y sus funciones.

En cualquier caso, se debe desarrollar la le-

gislación necesaria para definir estructuras

que permitan abordar los ciberataques desde

una perspectiva operativa que pueda usarse

para planificar de forma más adecuada la ca-

pacidad preventiva y de respuesta nacional.

legislación

específica

de ciberseguridad

Como resultado de las carencias del modelo,

señaladas por los encuestados en las res-

puestas de las encuestas, y de forma cohe-

rente con el estudio “Seguridad Privada en

España. Estado de la cuestión 2012” de la

Fundación ESYS y con la reciente publicación

en 2014 de la Ley de Seguridad Privada, es de

gran importancia la elaboración de una Ley

de Ciberseguridad que regule los aspectos

relacionados con las empresas que prestan

estos servicios de forma privada, incluidos los

CERT’s, y las obligaciones de las empresas en

lo referente a medidas, comunicación de in-

cidentes, etc.

En paralelo a la legislación de Seguridad Pri-

vada “física” en lo que respecta a las Cen-

trales Receptoras de Alarma, parece lógico

que se estableciera la obligación de que los

CERT’s y SOC’s que prestan servicios privados

a las empresas trasladaran sus incidentes de

Ciberseguridad al CERT nacional descrito en

la Línea de Trabajo 2 de este documento.

Esta Ley deberá redactarse como trasposi-

cióndelaDirectivaeuropeaNIS(Networkand

Information Security), en borrador en la ac-

tualidad y pendiente de comentarios por parte

del Consejo Europeo.

LínEA dE trAbAjo 3 LínEA dE trAbAjo 4

35


2

introducción

2.1

objetivos

Estasnecesidadesdeconocimientosonreiterativasen losdiferentesestudios internacionalesen

marcha,mientrasqueseconsolidalafaltadeinformaciónsobrelosincidentesrealesdeCibersegu-

ridad en las empresas, tanto en España como a nivel internacional.

1. Conocer la necesidadquetienenlosresponsablesdesegu-

ridad de las empresas de disponer de información actua-

lizada y en tiempo real de incidentes4 de Ciberseguridad

similaresalosquepuedenafectarasuempresa,asícomolas

característicasdeesarecepcióndeinformación.

2. Conocer las condiciones, formales y legales,quepropo-

nen las empresas para la comunicación a la Administra-

cióndelospropiosincidentesdeCiberseguridadquesufran.

3. Conocercuáldesearíanlasempresasquefueralarespuesta

de la Administración tras la comunicación de los incidentes,

tantoencontenidocomoenforma.

4. tras el análisis de los datos anteriores, proponer unas líneas

de trabajo a seguir enelfuturo,yaseadesdelapropiaFun-

dación ESYS o desde los organismos implicados.

Objetivos del Estudio:

4 PorincidentedeCiberseguridadseentiendeloexpresadoporelGrupodetrabajo2delNIS:“ciberincidentesdenaturalezadiversa: fallostécnicos,erroreshumanos,accidentesnaturales,ataquesdeliberados,amenazasyvulnerabilidades”

36


• LafaltadeinformaciónrealistasobrelosincidentesdeCiberse-

guridadquesufrenlasempresasenEspaña.

• Las líneas de trabajo previstas en la Estrategia de Ciberseguri-

dadNacionalylasmedidasquesedescriben,entrelasqueestá

la de potenciar la colaboración con las empresas, especialmente

lasqueatiendeninfraestructurascríticas,paraladetecciónyres-

puesta a los incidentes de Ciberseguridad.

• La necesidad de desarrollar los procedimientos y mecanismos

de intercambio de información deCiberseguridad entre todos

los agentes implicados: empresas, SOC´s y CERt´s públicos y

privados.

El estudio está impulsado

fundamentalmente

por tres necesidades

de conocimiento

relacionadas con:

Porotraparte,nosetratadeunesfuerzoúnicoonoprevistoenotrosámbitos.Aniveleuropeosi-

guelasendatrazadaporelSegundoGrupodeTrabajodelostresquecomponenlaPlataformaNIS

(NetworkandInformationSecurity),constituidaporlaComisiónEuropeadentrodelaAgendaDigital

paraEuropa,quetratadelIntercambiodeInformaciónyCoordinacióndeIncidentes.

AnivelnacionalsealineaconlaslíneasestratégicasdetrabajoprevistastantoenlaEstrategiade

Seguridad Nacional como en la Estrategia de Ciberseguridad Nacional, ambas iniciativas del go-

bierno en el año 2013.

37


2.2

Antecedentes

En la Estrategia de Seguridad Nacional desarrollada por el gobierno se relacionan doce ámbitos

prioritarios de actuación, siendo el tercero el de la Ciberseguridad Nacional.

Esteámbitotienecomoobjetivoelde“Garantizarunusosegurodelasredesysistemasdeinfor-

maciónatravésdelfortalecimientodenuestrascapacidadesdeprevención,detecciónyrespuesta

alosciberataques”.

Coherentementeconesteobjetivo,elGobiernohadesarrolladoasimismo laEstrategiadeCiber-

seguridadNacionaldondemásconcretamenteseexponenunaseriedelíneasdeacciónaseguir,

entrelasquesondestacablesaefectosdeesteestudiolassiguientes:

l í n e a d e a c c i ó n

1

Capacidad de persecución, respuesta y recuperación

antelasciberamenazas.


4

Capacidad de investigación y persecución

del ciberterrorismo y la ciberdelincuencia.


5

Seguridad y resiliencia de las tiC en el sector privado.

38


En este sentido, la seguridad de las empresas cuenta con variosCERT’s y SOC’s privados, así

como con el CERt público de Seguridad e industria, resultado del acuerdo entre la Secretaría de

Estado de Seguridad y de la Secretaría de Estado de telecomunicaciones y para la Seguridad de

la Información, a través de dos de sus respectivos organismos, el CentroNacional para la Pro-

tecciónde las InfraestructurasCríticas(CNPIC)yel InstitutoNacionaldeCiberseguridad(INCIBE).

El CERt de Seguridad e industria tiene como misión la respuesta a incidentes de Ciberseguridad a

lasinfraestructurascríticasenEspañaydelasempresasengeneral.

Además,seacabadecrearlaOficinadeCoordinaciónCibernéticadependientedelMinisteriodel

Interiorquetieneporobjetivocentralizartodaslasactividadesrelacionadasconlacibercriminalidad,

elciberterrorismoylaproteccióndelasinfraestructurascríticas.Estaoficinaservirádeenlaceentre

lasFuerzasyCuerposdeSeguridaddelEstadoyelCentrodeRespuestaaIncidentesdeSeguridad

Cibernética(CERT),ubicadoenLeón.

Losresultadosdelestudiosepretendequesirvandeorientaciónalosprocedimientosymecanis-

mosdeintercambiodeinformacióndelosCERT’sySOC’spúblicosyprivados,ensurelacióncon

sus clientes y usuarios.

Por otraparte, laComisiónde laUniónEuropea (UE) estádesarrollando laPlataformaNetwork

InformationSecurity(NISPlatformoNISP)paraapoyar laEstrategiadeCiberseguridaddelaUE.

LaPlataformaNIS,decarácterpúblico/privado,tienecomoobjetivogenerarrecomendacionesala

Comisión Europea para el desarrollo de legislación y acciones tendentes a la mejora de la Ciberse-

guridad en las empresas y administraciones de los países miembros.

39


LaPlataformaNIStienetresGruposdeTrabajo:

1. Wg1 GestióndelRiesgo:identificaciónyrevisióndelosmétodosdegestióndelriesgo,

marcos y modelos de competencia maduros.

2. Wg2 NotificacióndeIncidentesyComparticióndeInformación.Tienetressubgrupos:

•SG1>IniciativasExistentes;

•SG2>NotificacióndeIncidentesyGestióndelaInformación;

•SG3>Protocolos.

3. Wg3 investigación e innovación.

El Segundo grupo de trabajo es el antecedente directo del presente estudio y sus actividades se

hantenidoenconsideraciónparaavanzarenelanálisisdelasNecesidadesySolucionesdeComu-

nicación de incidentes de Ciberseguridad de las grandes Empresas españolas.

LaPlataformaNIStieneensuplandetrabajoocholíneasdeactuacióninmediatas,derealizaciónde

respuestas a la Comisión Europea. Entre ellas destacan las siguientes:

3.Voluntaryinformationsharing

4. incident response

5.Mandatoryincidentnotification

Elpresenteestudioobviamentepuedeaportarinformaciónvaliosaaestasiniciativas.

40


2.3

Metodología

Elestudiosehabasadoenconocerlaopinióndelasprincipalesempresasespañolasalrespecto.

Paraello,sehaelaboradounaencuestaespecíficaquesehadivididoentresapartadosequivalen-

tesalosobjetivosdelestudio,másunapartadoadicionalreferidoalascaracterísticascomunesal

intercambiodeinformaciónenambossentidos.

Las21empresasparticipantes sedistribuyenpor sectoreseconómicosde la siguiente forma:

sector

bancos y cajas de ahorro 14,2%

comercio-distribución 19,0%

construcción 4,8%

energía 23,8%

farmacéutica y biotecnología 4,8%

seguridad 4,8%

seguros 4,8%

tecnologías tic 9,5%

operadores de telecomunicaciones 4,8%

transporte 9,5%

total 100,0%

LosresultadoshansidoanalizadosporexpertosdelThinkTankdelaFundación ESYS para ob-

tener lasConclusiones y lasRecomendaciones. El resultadodel estudio se hadado a conocer

previamenteasupublicaciónalCNPICe INCIBE (InstitutoNacionaldeCiberseguridad)quehan

dadoapoyoentodomomentoasuelaboración,perodelquenosehacenresponsablesdesus

conclusiones ni de sus recomendaciones.

41


2.4

Estructura del estudio

ElestudiohatomadocomobaselaencuestaqueserecogeenelAnexo1pararealizarelanálisisde:

1

Las necesidades de las empresas

dedisponerdeinformacióndeincidentes

deCiberseguridadsimilaresalosquepuedensufrir.

2

Las condiciones,formalesylegales,

queproponenlasempresasparalacomunicación

a la administración de los propios incidentes

deCiberseguridadquesufran.

3

Las características comunes

alintercambiodelainformación

en ambos sentidos.

4

La respuesta deseada

delasFuerzasyCuerposdeSeguridaddelEstado

y de la administración en general.

Lassiguientesseccionessehanestructuradointernamentesegúnlosmismoscuatrocapítulosde

laencuesta,recogiendosusresultadosycomentandolasconclusionesagregadasquesepueden

deducir.

43


3

necesidades de las empresas

Estaprimerapartedelestudio tienecomoobjetivoconocer lanecesidadque tienen los respon-

sablesdeseguridaddelasempresasdedisponerdeinformaciónactualizadayentiemporealde

incidentesdeCiberseguridadsimilaresalosquepuedenafectaralaempresaquedirige,asícomo

lascaracterísticasdedichainformación.

Losresultadosaestapreguntasepresentanenlagráficasiguiente.

9,1% 68,2%

n otros incidentes concretos n incidentes del sector n no tengo necesidad de conocer n cualquier tipo de incidentes

0,0%0,0% 22,7%

• todas las empresas quehanparticipadoenel estudiocon-

siderannecesariodisponerdeinformaciónsobreincidentesde

Ciberseguridad.

• La mayoría, cerca de un 70% del total, considera relevante para

sunegociodisponerdeinformaciónsobrecualquiertipodecibe-

rincidentes.

• Solo una de cada cuatromanifiestalaimportanciadeconocer

únicamente la información relacionada con los ciberincidentes

de su sector económico.

• Las respuestas recogidas en el apartado otros hacenreferenciaa

aquellasempresasqueresaltanlaimportanciadeconocerlosinci-

dentesdeCiberseguridad,haciendohincapiéenquenonecesitan

informacióndelaempresanidelsectorquehasufridoelincidente.

necesidad de información

44


Lagráficasiguienterecogelasopinionesdelasempresasenrelaciónalmomentoenelquelesgus-

taríadisponerdelainformacióndeincidentesdeCiberseguridad.

Sehasugeridoporpartedelasempresasqueseríadeinterésobtenercomparativasenotrospaí-

ses,paísesenconflicto,paísesemergentes,etc.

26,1% 65,2%

n periódicamente n bajo demanda n tiempo real

8,7%

16,0% 76,0%

n solo identificación n estadísticas de incidencias otros n con información adicional

0,0%8,0%

• La mayoría de las empresas quieren obtener los datos de

cada incidente en tiempo real.

• una de cada cuatro empresas desean recibir los datos de inci-

dentes periódicamente.

• Solo una de cada nueveempresasquiererecibirlainformación

de los incidentes cuando ella la demandara.

• La mayoría de las empresas considera importante contar con

datos adicionales como origen, consecuencias, correcciones

realizadas.

• al dieciséis por ciento de las empresas les bastaría con la in-

formaciónsobrelaidentificacióndelincidenteysuocurrencia.

• Únicamente el ocho por ciento de las empresas encuestadas

estarían interesadas en recibir las estadísticas de los incidentes.

disposición

de la información

forma de la información

45


Lagráficarecogeeldesglosedelporcentajedeempresasinteresadasencadatipodeinformación:

95,2%vulnerabilidad de mis infraestructuras

76,2%vulnerabilidad infraestructuras similares

85,7%tendencias de ataques

71,4% incidentes de mis clientes o terceros

85,7% incidentes en instalaciones similares

57,1%incidentes sobre protección de datos

81,0% métodos de respuesta al incidente

38,1% datos de proveedores

47,6%cambios de prestación de servicios

61,9%incidencias de proveedores

4,8% otros

• La mayoría de las empresas encuestadas les gustaría recibir

informaciónde:

nvulnerabilidadesdesusinfraestructurasosimilares.

nataquessufridosporsusclientes.

nmétodosderespuestaalosincidentesocurridos.

• Las empresas otorgan, en general, menor importancia a:

nlosincidentessufridosporsusproveedores.

n relativos a protección de datos.

n por cambios en la prestación de los servicios.

• Lasempresasquehanseleccionadolaopciónotros, ponen de

manifiestoensusrespuestasquelesgustaríadisponerdetodo

tipo de información sobre incidentes, vulnerabilidades y co-

rreccionesquelespuedaayudaraprevenirycorregirincidentes.

información relevante

queLesgustaríarecibir

46


Lasempresasquehanparticipadoenelestudiomanifiestan:

• Lanecesidadylaimportanciaparasunegocioderecibirinformaciónsobrelosinciden-

tes de seguridad.

• Lesgustaríadisponerdelainformacióndelosincidentes:

n en tiempo real,

n con datos relevantes adicionales

nprincipalmentedelasvulnerabilidadesdesusinfraestructurasydelosincidentesde

sus clientes.

conclusiones de este apartado

49


4

condiciones para la comunicación de incidentes

Unfactorfundamentalparadisponerdeunsistemadeinformacióndeincidentesdeseguridadse

relacionaconlascondiciones,formalesylegales,quelasempresasproponenparalacomunicación

a la administración de sus propios incidentes de Ciberseguridad.

LosestudiosquelaFundación ESYSharealizadoenlostresúltimosañossobrelaCiberseguridad

ponendemanifiestoelbajoniveldecomparticióndeinformaciónsobreciberincidentes.Porello,de

caraaponerenmarchaunsistemadeIntercambiodeInformacióndeIncidentesdeCiberseguridad,

sehaconsideradonecesarioconocerlaopinióndelasempresassobreestasituación.

Esimportantetambiéneltemoralaposiblesanciónporpartedelregulador,perosóloalgomásde

lamitaddelasempresasencuestadasloconsiderasignificativo.Porotrolado,seconsideramenos

importantequelosincidentespuedanserutilizadosporloscompetidoresoporlosprestadoresde

servicios de internet.

causasdeLbajoniveLdeinforMacióndeincidentesdeciberseguridad

52,4%

sanción del regulador

61,9%

reclamaciones

clientes

71,4%

pérdida imagen

clientes

38,1%

utilización

competidores

14,3%

utiliz. proveedores internet

Lasrespuestas,quesepresentanenlagráficasiguiente,indican

quelosprincipalesmotivosqueexponenlasempresasparaque

noexistaunacomunicaciónmásfluidasobreestetipodeinci-

dentesserelacionanconlapérdidadeclientesyelaumentode

reclamaciones.

Reconocer ser objeto de un

incidente de Ciberseguridad

se asocia a pérdida

de clientes y/o incremento

de reclamaciones

50


Laencuestahapreguntadosobrelostiposdeincidentesquelasempresasconsiderandebenco-

municaralasFuerzasyCuerposdeSeguridaddelEstado(FCSE).

Solamenteunadecadaveinteempresasqueharespondidoalaencuestaconsideraquesede-

beríancomunicartodoslosincidentes.LasempresasquehanseleccionadolaopciónOtrosestán

conformesconlaopiniónmayoritaria,aunquematizansurespuestaenelsentidodequeelproto-

colodebeajustarsealasregulacionesespecíficasenmateriadeprivacidaddedatos,transparencia

económica,infraestructurascríticas,etc.

Enlagráficasiguientesepresentaelporcentajederespuestasacadaunadelasopcionespropuestas.

4,8% 90,4%

n todos los incidentes n protocolo acordado n otros

4,8%

tipos de incidentes a comunicar

La inmensa mayoría de los encuestados, más del 90%, consi-

deraquesedeberíantrasladarlosincidentesdeCiberseguridad

que se acuerden en unprotocolo previamente establecido

donde se recojan los tipos de incidentes a comunicar en cada

caso.

Preferencia por aplicar

un protocolo

previamente acordado

51


Encuantoa la informaciónque lasempresasestaríandispuestasacompartir,existeunaopinión

mayoritariaafavordelaopciónrelacionadaconlas“Recomendacionesparaprevención,mitigación

yrespuestaaincidentes”,seguidadelosincidentesqueafectenasusinfraestructurasyasusins-

talacionesqueimpliquenaserviciosesencialesofundamentales.

Lamitaddelasempresasconsiderannecesariocompartirinformacióndeincidentesrelacionados

con sus clientes. alrededor de un cuarenta por ciento de las empresas estarían dispuestas a com-

partirinformacióndeincidenciasprevistasyrelacionadasconlaproteccióndedatos.Amenosde

lacuartapartelesinteresacompartirinformaciónrelativaalaatenciónasusclientesocambiosen

laprestacióndesusservicios.Lagráfica recoge los resultadosobtenidosen laencuestaaesta

pregunta.

información a compartir

infraestructuras propias

incidentes a clientes

incidentes instalaciones esenciales

incidentes protección de datos

cambios de prestación de servicios

datos personal atención a clientes

incidencias previstas

recomendaciones prevención y respuesta

76,2%

52,4%

66,7%

42,9%

14,3%

19,0%

38,1%

81,0%

Existeunaopiniónmayoritariaafavordelaopciónrelacionada

con las “Recomendaciones para prevención, mitigación y res-

puestaaincidentes”.

Información

que compartirían

las empresas

52


EnrelaciónalmomentoenqueconsiderandeberíancomunicarsusincidentesalasFuerzasyCuer-

posdeSeguridad,lasempresassemanifiestancoherentementeconlorespondidoalapregunta

sobre cuándo desearían recibir los datos sobre ciberincidentes, es decir, mayoritariamente conside-

ranqueesnecesarialavalidacióndelainformaciónantesdeenviarla.

Laopcióndecomunicarlosincidentesentiemporeal,enelmomentoenelquesetieneconoci-

mientode losmismos,esseleccionadaporunadecadacuatroempresas.Lagráfica recogeel

porcentaje de respuestas.

Aesterespecto,sehaconsideradonecesarioconocerlaexistenciaenlasempresasdeuninter-

locutorconlasFuerzasyCuerposdeSeguridadysidichointerlocutortieneautoridadreconocida

dentrodelaorganización.

Enlasrespuestasseponedemanifiestoquecasi una de cada cinco empresas no dispone de

interlocutor,loquedeberíacorregirseafindequeelsistemadeinformacióndeincidentesdeCi-

berseguridad pudiera implantarse.

El68,2%delasempresasprefierencomunicarunciberincidente

alasFCSEpreviavalidacióndelainformaciónfrentealaopción

de transmitirlo en tiempo real.

Preferencia por comunicar

ciberincidencias

a las FCSE

una vez contrastadas

27,3% 68,2%

n tiempo real n después de validación n otros

4,5%

cuándosedeberíancoMunicarLosincidentesaLasfcse

53


Otrasdificultadesquesepresentanparaunacomunicaciónadecuada,eselhechodequeel in-

terlocutornotengaautoridadreconocida(enunadecadaveinteempresas),asícomoquenoesté

unificadoparacualquiertipodeincidentes(enunadecadacuatroempresas).

Noobstante,seconsideraconvenientequeenlasempresasexistauninterlocutorúnicoconautori-

dadreconocidaparacomunicarcualquiertipodeincidentesdeCiberseguridad.

Lagráficamuestraladistribuciónporcentualdelasrespuestasdelasempresas.

Frenteaesteriesgoseríaconvenientelaformaciónyespeciali-

zacióndeinterlocutoresqueesténentrenadosenlosprotocolos

queagilicenlaintervencióninmediatapararesolvercualquiertipo

de incidencias.

Las empresas suelen

carecer de un interlocutor

especializado para este

tipo de incidencias

23,8% 0,0% 52,4%

n depende del incidente n está identificado en la normativa interna, pero no existe n con autoridad reconocida

n sin autoridad reconocida n no existe

19%4,8%

interlocutor para la información de incidentes

54


Respectoaldepartamentoquelasempresasconsideranquedebeserresponsabledecomunicarla

información,lasrespuestassedividendeformaequitativaentrelosdepartamentosdeSeguridadde

laInformaciónySeguridadCorporativa.Tansólounadecadaonceempresasconsideraquedebe

sersuAsesoríajurídicalaresponsabedelacomunicacióndelainformacióndelincidentedeCiber-

seguridad.EstasrespuestasreflejanlasituacióndelaorganizacióndelaSeguridadenlasempresas.

Lagráficarecogeelporcentajederespuestasdelasempresas.

área informante de los incidentes de seguridad

Cadaempresadeterminaeldepartamentoquecubriráestafun-

ciónquenosiempreestádelegadaenprofesionalesespecializa-

dos en este tipo de riesgos.

Comohavenidomanifestandoenestesentido,consideraque

la Seguridad de las empresas debe estar integrada con un úni-

coresponsabledeSeguridadqueseaelencargadotantodela

Seguridad Física como de la Ciberseguridad y con dependencia

directa del primer ejecutivo de la empresa.

Disparidad de criterio

para determinar

quién informa

La Fundación ESYS

39,1% 39,1%

n seguridad corporativa n seguridad de la información n asesoría jurídica n otros

13%8,8%

55


Unsistemadegestiónde informaciónde incidentesdeCiberseguridadnodisponedeunabase

legalclara,porloquesehaconsideradonecesariorecabarlaopinióndelosresponsablesdeCiber-

seguridad de las grandes empresas encuestadas acerca de la necesidad de una regulación espe-

cíficasobre“lacomunicacióndelosincidentesdeCiberseguridadquegaranticelaconfidencialidad

yrecojaelgradodeobligatoriedad,alahoradelacomunicacióndedeterminadosincidentesde

Ciberseguridad”.

Talcomosemuestraenlagráficasiguiente,lasempresassemanifiestanmayoritariamenteafavor

dequesereguledemaneraespecíficaestaactividad.

necesidaddeunareguLaciónespecífica

en la comunicación de incidentes de ciberseguridad

Existelanecesidadderegularlacomunicacióndelosincidentes

deCiberseguridadquegaranticelaconfidencialidadyrecojael

gradodeobligatoriedad,alahoradelacomunicacióndedeter-

minados incidentes de Ciberseguridad.

Las empresas necesitan

una regulación específica

de comunicación

de ciberincidencias

85,7%

n sí n no

14,3%

56


Enlorelativoalaobligatoriedaddecomunicarlainformación,nosehaobtenidounaopiniónclara-

mentemayoritariaafavordeningunadelasopcionespropuestas.Aunque,comosemuestraenla

gráfica,tresdecadadiezempresashanconsideradoquelacomunicacióndebeservoluntaria,la

valoracióndelasrespuestashayquerealizarlaconjuntamente.

Portanto,habríaqueconsiderarqueelresto,esdecirmásdelamitad,consideraquelasempresas

deberíanestarobligadasainformar,aunquesematicesidebensertodaslasempresas,enfunción

desutamañoosectorosolosison infraestructurascríticas, talcomoserecogeenelapartado

“Otros”.

Lagráficarecogeelporcentajederespuestasdelasempresas.

obligatoriedad de comunicación de incidentes

Existegrandisparidadalrespecto,sobretodoalahoradeva-

lorar si esa comunicación de incidencias se restringiría solo a

infraestructurascríticasosiseampliaríaaotrosperfiles.

Posturas divergentes

33,3%

19,0%

23,8%

33,3%

23,8%

para todas las empresas

en función del tamaño

en función del sector económico

debe ser voluntaria

otros

57


Extendiendolapreguntaalanecesidaddeestablecerlaobligatoriedaddeinformacióndeinciden-

tesdeCiberseguridadalosEstadosdelaUE,sehaobtenidounarespuestaligeramenteinferioren

cuantoalavoluntariedad,talcomosemuestraenlagráficasiguiente,optandodeformaligeramente

superiorporrealizarlacomunicaciónenfuncióndeltipodeincidente.

Talcomosemuestraenlagráficasiguiente,lasempresassemanifiestanmayoritariamenteafavor

dequesereguledemaneraespecíficaestaactividad.

obligatoriedad para los estados miembros de la ue

El tipo de incidente es el criterio más elegido como criterio de

comunicación.

En el entorno de la UE

23,8%

42,9%

28,6%

9,5%

siempre

en función del incidente

voluntario

otros

58


Deesteapartadosepuedeconcluirquelas empresas no informan habitualmente

de sus incidentes de Ciberseguridad,principalmenteporlaposiblepérdidadesus

clientes y por sus posibles reclamaciones.

Sobrelascondicionesquelasempresasdesearíandisponerpararealizarlainforma-

ción de sus incidentes de Ciberseguridad, se considera necesario establecer un

Protocolo acordado entre la Administración y las empresas, y la información a

compartir sería principalmente sobre recomendación y prevención de inciden-

tes,asícomolarelacionadaconsusinfraestructuras.

En relación a la voluntariedad de comunicar la información de incidentes de Ci-

berseguridad,losencuestadossemanifiestanmayoritariamentefavorablesalaobli-

gatoriedad tanto a nivel nacional como comunitario, pero con matices sobre si debe

serparatodaslasempresasosoloparaaquellasquetenganunacriticidadespecial

paraelfuncionamientosocialoeconómicodelpaís.

Se destaca queexiste una deficiencia en relación a un interlocutor único con

autoridad reconocida por la empresa para comunicar los incidentes, al mismo

tiempoqueseponedemanifiestoquelaorganizacióndelaSeguridadFísicaydela

Informacióndelaempresanoestátodavíaintegrada,niesconsideradaconlaimpor-

tanciaquetieneparalagestióneconómicadelaempresa.

Porúltimo,seponedemanifiestolaopiniónmayoritariaporpartedelasempresasde

la necesidad de una regulación específica sobre la Información de incidentes de

Ciberseguridad.


61


5

característicascoMunesdeLintercaMbiodeinforMacióndeincidentes

Enesteapartadoserecoge laopiniónde lasempresassobre lascaracterísticasquedebetener

unsistemadeintercambiodeinformaciónsobrealertaseincidentesdeCiberseguridad.Selesha

pedidoquevalorendeceroacincocadaunadelascaracterísticasquepodríacontenerunsistema

como el propuesto.

Latabladevaloressobrelosquelasempresashanconsideradocadaunadelasopcionespropues-

tashasidolasiguiente:

Las características valoradas son:

confidencialidad Lainformaciónnopuedeseraccedida(nientransmisión,nienalmacenamiento,

nimientrasseprocesa)porpersonasoprocesosnoautorizadosporlafuente.

integridad Mantenerconexactitudlainformacióntalcualfuegenerada,sinsermanipulada

oalteradaporpersonasoprocesosnoautorizados.

disponibilidad Accesoalainformaciónyalossistemasporpersonasautorizadasenelmomen-

toqueasílorequiera.

control de uso Lafuentedeinformaciónpuedeconcederyrevocardinámicamenteeindividual-

en destino mentederechosdeusoalasentidadesreceptoras.

0

irrelevante

1

muy poco

necesario

2

algo

necesario

3

bastante

necesario

4

muy

necesario

5

imprescindible

62


control de la La fuentede informaciónpuededecidiryconocer lasentidadesa lasqueha

difusión llegadosuinformación.

garantía de origen Unaterceraparteconfiablecertificaelorigengenuinodelainformación,perono

revelarálafuente.

anonimato Unaterceraparteconfiableejercefuncióndeintermediario(proxy)paraeliminar

de origen losmetadatosqueidentificanalafuentedelainformación.

arbitraje Losparticipantessesometenvoluntariamenteaunaautoridadreconocidaque

auditalaconformidaddecadaunodeellosconelsistemayarbitralasposibles

disfunciones.

regulación Laautoridadnacionalestablecepordecretoel sistemay regulasu funciona-

miento aplicando sanciones administrativas en caso necesario.

centralización Unúnicorepositoriocentraladministradoporunaterceraparteconfiableque

registra todos los eventos del sistema.

descentralización Noexisteunrepositoriocentralcontodalainformación,sinoquecadapartici

pantemantieneelsuyoconlaqueélharecibidoyleresultarelevante.

sindicación Soloseinvitaráaparticipantesqueesténdispuestosaintercambiarinformación.

voluntariedad Losparticipantesseadhierenyabandonanvoluntariamenteelsistemadeinter-

cambio.

obligatoriedad Unaautoridadreguladoraidentificaalosparticipantesyobligalegalmenteasu

participación en el sistema.

relevancia Elsistemapermitiráclasificarlainformaciónporsurelevanciaenfuncióndesu

importancia y utilidad para las entidades receptoras.

estructuración Elsistemafacilitarálainformacióndeformaestructuradaparaevitarlaambigüe-

dad en su interpretación por las entidades receptoras.

63


[5]confidencialidad

[5]integridad

[4] disponibilidad

[4] control de uso en destino

[4] control de la difusión

[4] garantía de origen

[4] anonimato de origen

[3] voluntariedad

5,00%

4,81%

3,86%

3,71%

3,90%

4,29%

3,86%

3,38%

[3] arbitraje

[3] regulación

[3] centralización

2,95%

3,00%

3,43%

[1] ninguna1,52%

[4] sindicación3,71%

[2] obligatoriedad y descentralización2,48%

[4] relevancia

[4] estructuración

3,57%

4,10%

característicasdeLsisteMadeintercaMbiodeinforMacióndeincidentes

Deacuerdoalosresultadosobtenidosdelasencuestas,queserecogenenlagráficaanterior,se

consideran características:

imprescindibles[5]ConfidencialidadeIntegridad

muy necesarias [4] garantía de Origen, Disponibilidad, Estructuración, anonimato de Origen,

ControldelaDifusión,Sindicación,ControldeUsoenDestinoyRelevancia

bastante necesarias [3]Voluntariedad,Centralización,RegulaciónyArbitraje

algo necesarias [2] ObligatoriedadyDescentralización

muy poco necesarias [1] Ninguna

64


protocolo de comunicación de incidentes

smtp

http

https

ftp

sftp

protocolo propio

ssh

cms

otros

8,3%

8,3%

29,2%

0,0%

8,3%

0,0%

16,7%

8,3%

20,8%

Encuantoalprotocolodecomunicaciónqueseconsideramásadecuadoparaelintercambiode

informacióndeincidentes,lasempresasnosehanmanifestadomayoritariamenteporunoencon-

creto,talcomosemuestraenlagráficasiguiente.

El protocolo que ha tenido más apoyo es el https,aunquesepuedeconsiderarquelaopinión

de todas lasempresassedirigea lautilizacióndeunprotocolodecomunicaciónquegarantice

laconfidencialidaddela informaciónintercambiadaentre laspartes,sinpreferenciaespecíficade

ninguno.

Porlagarantíadeconfidencialidaddelosdatostransmitidos,no

existepreferenciaporningúnotroenparticular.

Preferencia

por el protocolo HTTPS

65


formato de protección de la información de incidentes

Encuantoacómodeberíaestarprotegidalainformaciónintercambiada,independientementedel

protocolodecomunicación,laopiniónmayoritariaeselcifradoycontroldeusodelainformaciónen

destino(tecnologíaIRM).Losresultadossemuestranenlagráficasiguiente:

22,7%

n cifrado sin control de uso (pgp,s/mime, etc) n firmado electrónicamente

n cifrado y control de uso de la información en destino (tecnología irm) n otros

59,2% 13,6% 4,5%

Medidaspreferidasparalaprotecciónfrenteaciberincidencias.Cifrado + control de uso

66


Como conclusión, las características imprescindiblesquelasempresasconside-

ranquedebetenerunsistemadeintercambiodeinformacióndeincidentesdeCiber-

seguridad son la confidencialidad y la integridad de la información.

además, se consideran características muy necesarias la garantía de Origen, la Dis-

ponibilidad, la Estructuración, elControl de laDifusión, el Anonimato deOrigen, el

Control de Uso en Destino y la Sindicación.

Han sido valoradas como de menor importancia el resto de las características pro-

puestas:Voluntariedad,Centralización,Regulación,Arbitraje,ObligatorieddyDescen-

tralizacion.

Encuantoalprotocolodecomunicación,seaceptaríacualquieraquegaranticelacon-

fidencialidadde la información intercambiada entre laspartes y conun formatode

cifradoycontroldeusodelainformaciónendestino(tecnologíaIRM).


69


6

respuestadeseadadeLasfuerzasycuerposdeseguridad

EnesteapartadoseanalizalarespuestaquelasempresasdeseantenerdelasFuerzasyCuerpos

de Seguridad y de las administraciones a la comunicación de un incidente de Ciberseguridad.

Apesardequelapreguntaadmiteunarespuestamúltiple,laopciónmayoritariaesquelaAdmi-

nistraciónGeneraldelEstado(AGE)debeactuardelamismaformaqueparaelrestodelosdelitos

tipificados,aunqueparaelloseanecesariolacreacióndeunorganismodeintervenciónespecial.

Lasrespuestassemuestranenlagráfica.

forma de intervención de la age para la respuesta a incidentes

52,4%

igual para todos los delitos

52,4%

mediante organismo especializado

4,8%

disponer de información y actuar después

de la denuncia

14,3%

otros

Las empresas estiman necesaria la participación de la agE para

queregulelalegislaciónqueafectealosciberincidentesycon-

sidera necesaria la creación de un organismo de intervención

especial.

Mismo tratamiento legal

que otro delito pero

gestionado por un

organismo especializado

70


unaoficinacibernéticadedenuncias de incidentes ayudaríaaagiLizarsuresoLución

unaoficinacibernéticadedenuncias de delitos informáticos

ayudaríaaagiLizarsuresoLución

ParaprofundizarsobrelaformaenquedebeintervenirlaAdministraciónfrentealosincidentesde

Ciberseguridad,sehapreguntadosobrelaopinióndelasempresasenrelaciónasiconsideranque

unaoficinacibernéticadedenunciasdeincidentesagilizaríasuresolución.Enestesentido,hayuna

mayoríaampliadeempresasqueloconsideranconvenientepero,comosepuedeverenlagráfica,

la respuesta no es unánime.

Másapoyosehaobtenidoencuantoaquelasempresasconsideranqueunaoficinacibernéticade

denunciasdedelitosinformáticosayudaríaalaagilizaciónpararesolverlosincidentes,talcomose

muestraenlagráfica.

71,4%

81,0%

n sí n no

n sí n no

28,6%

19,0%

Lasempresasestándeacuerdoenlanecesidaddeunaoficina

cibernéticaquegestioneestetipodedelitos,sibiendifierenen

su denominación.

<delito informático>

término preferido

frente a

<ciberincidente>

71


organismo de coordinación

en función de los resultados obtenidos en las preguntas anteriores, parece

queseríaconvenienteLaexistenciadeunsistema de coordinación de inciden-

tes con la intervención de la administración.

Apartirdeaquíesnecesarioconocereltipodeorganismoqueseconsideramásadecuadopara

coordinarlacomparticióndelainformacióndelosincidentes.Lamayoríadelasempresassemues-

tranpartidariasdequeseaunorganismopúblico.Noobstante,unadecadacincoempresasconsi-

deraquedeberíaserunorganismoprivado,bienindependienteocontroladoporlasempresasque

compartenlainformación.LasempresasquehancontestadolaopciónOtrossehanmanifestado

conmaticesafavordeunorganismopúblico,porloqueestaopciónestárespaldadapordosde

cadatresempresas.Ladistribucióndelasrespuestasserecogeenlagráficasiguiente.

8,3%

n otros n público n privado independiente n privado controlado

62,6% 8,3% 20,8%

• Compartición de datos con carácter bidireccional.

• Capacidad para establecer estándares claros iguales para todos.

• mayor visibilidad de incidentes y del entorno global.

• Garantizar laequidad, independencia,confidencialidad, riguro-

sidad yobjetividad, así comoel control de la información y la

preponderancia del bien común.

• Garantizar lascaracterísticasdemandadasparael intercambio

deinformacióndeincidentes.

• gratuidad o mínimo coste.

Preferencia por un

organismo de

coordinación

de carácter público

72


tipo de coordinador del servicio

momento en que se deben comunicar los incidentes

Paraconseguirestosbeneficios,lasempresasencuestadashanconsideradoqueeltipodeperfiles

orolesdelosrecursoshumanosdelorganismocoordinadordebeserpreferentementemultidiscipli-

nar,talcomoserecogeenlagráficaquepresentaporcentualmentelasrespuestas.

La comunicación de los incidentes de Ciberseguridad del sistema coordinador a las empresas de-

beríahacersetrasunanálisisprevioperoconuntiempomáximoregulado.Estarespuestasecorres-

pondeconlarecogidaenrelaciónaltiempoenquelasempresasdeberíancomunicarsusincidentes

al centro coordinador.

5,0% 10,0%

n técnico n gestor n multidisciplinar

85,0%

Lamayoríadelasempresasencuestadasseinclinanporperfiles

versátiles.

Preferencia

por perfil multidisciplinar

Las empresas estiman conveniente asignar un tiempo de res-

puesta al protocolo de actuación.

Necesidad de regular un

<tiempo de respuesta>

73


Tambiénaestapregunta,unadecadacincoempresas,talcomosemuestraenlagráfica,conside-

ranquedeberíanrecibirlainformaciónentiemporeal.LosquehancontestadolaopciónOtros,han

matizadoquedependeríadeltipodeincidente.

Las respuestas no muestran una tendencia mayoritaria clara sobre si los ciberdelitos deben ser tras-

ladadosdirectamentealasFuerzasyCuerposdeSeguridadodebenserpreviamentecentralizados

enunCentroCoordinadorquetrasladeaquellosqueseconsiderenperseguibleseninstanciaspe-

nales,aunquesedecantanligeramenteporestaúltimaopción.

coMunicacióndeLosciberdeLitosaLasfuerzasycuerposdeseguridaddeLestado(fcse)

57,1%

n centralizados previamente n traslado directo a fcse

42,9%

21,7% 65,3%

n en tiempo real n análisis previo con tiempo regulado

n análisis previo sin tiempo regulado n otros (especificar)

4,3% 8,7%

El carácter delictivo, o no, del ciberincidente plantea dudas res-

pectoalprotocolodeactuaciónquehadeseguirseparasure-

solución.

Existeunaligerapreferenciaporlacentralizaciónprevia.

Disparidad de criterio

respecto a

cómo y cuándo se debe

comunicar una incidencia

74


comunicación fluida con fcse

dispone de canal con las fcse

Larespuestaanteriorpuededeberseaque,porunlado,lagranmayoríadelasgrandesempresas

manifiestanquetienenunacomunicaciónfluidaconlasFuerzasyCuerposdeSeguridad.Lospor-

centajes de respuestas se muestran a continuación.

Porotro lado,elestablecimientodeuncanalbiendefinidodecomunicación institucionalcon las

FuerzasyCuerposdeSeguridadestábastanteimplantado,(enmásdelsetentaporcientodelas

empresas)peronoalcanzaelmismoporcentajequeenlapreguntaanterior.

85,7%

71,4%

n sí n no

n sí n no

14,3%

28,6%

Lamayoríadelasempresasencuestadasmanifiestanteneruna

buena comunicación con FCSE, si bien no todas tienen esta-

blecidouncanalespecíficodecomunicación,segúnsepuede

contrastarenlosgráficosdeestapágina.

No todas las empresas

disponen de un canal con

FCSE, si bien declaran

tener buena comunicación

75


dispone de procedimientos internos de relación con las fcse

departamento que debe mantener contacto con las fcse

La mayoría de las empresas tienen además recogido en sus procedimientos internos un protocolo

derelaciónconlasFuerzasyCuerposdeSeguridad.Losporcentajesderespuestassemuestrana

continuación.

Llaman la atención las respuestas recibidasen relaciónalDepartamento/Áreaqueseconsidera

quedeberíamanteneroejercerdePuntodeContactoconlasFuerzasyCuerposdeSeguridad.Al

compararlasconlasrecibidascuandosehapreguntadosobreeldepartamentoquelasempresas

consideranquedebeserresponsabledecomunicarlainformación,enesecaso,lasrespuestasse

distribuíandemanerasimilarentrelaSeguridadCorporativaylaSeguridaddelaInformación.

El porcentaje de respuestas a esta pregunta se muestra a continuación.

76,2% 23,8%

n sí n no

63,6% 18,2%

n seguridad corporativa n seguridad de la información

tecnología n asesoría jurídica n otros

0,0% 9,1% 9,1%

Debidoaque,obienlasempresasseencuentranenunproceso

de revisión de las responsabilidades de seguridad, o que sus

responsablesconsideranquedeberevisarse.

Área de Seguridad

Corporativa

En cuanto a los aspectos que las empresas desearían me-

jorar en su relación con las Fuerzas y Cuerpos de Seguridad

se pueden resumir en los siguientes:

• Coordinación entre las distintas Fuerzas y Cuerpos de Se-

guridad con la creación de un punto único oficial entre to-

dos los Cuerpos de Seguridad.

• La creación de un canal de comunicación, procedi-

mientos, interlocutores, protocolos, etc. que formalicen la

relación entre las Fuerzas y Cuerpos de Seguridad y las em-

presas para aprovechar mejor sus servicios.

• Colaboración en la persecución de incidentes que afec-

tan a las empresas y el desenlace de las investigaciones.

propuestasparaMejorar

la comunicación

empresas / fcse

77


¿desearíarecibirinforMacióndeserviciosespeciaLizadosdeLasfcse?

necesidad de un marco regulador para el centro coordinador

Porello,lasempresasmanifiestanunánimementequedesearíanrecibirinformacióndeinteligencia

provenientedelosserviciosespecializadosdelasFuerzasyCuerposdeSeguridad,aunquepuede

sermatizadoenfuncióndelaplataformaosistemaafectado.Lagráficamuestraelporcentajede

respuestas.

ParaconseguirunamayoreficaciadelsistemadecoordinacióndeincidentesdeCiberseguridad,las

empresas se muestran partidarias mayoritariamente sobre la necesidad de un marco regulador o de

certificaciónadecuadoparaelCentroquelleveacabolasfuncionesdecoordinacióndeincidentes

deCiberseguridad,talcomoserecogeenlagráficasiguiente.

61,9%

85,7%

38,1%0,0%

14,3%

n en todo caso nunca y otros n en función del sistema afectado

n sí n no

Necesidaddeunmarcoreguladorquelleveacabolasfunciones

de coordinación y solución de ciberincidentes.

Información de la FCSE

+ marco regulador

78


necesidad de un nuevo organismo como centro coordinador

tipo de organismo coordinador

Con objeto de llevar a cabo este sistema de coordinación de incidentes, se debe conocer la opi-

nióndelasempresassobrelanecesidaddecreacióndeunnuevoorganismoquepuedaayudara

mejorarlascapacidadesdecoordinaciónyresolucióndeincidentes.Paraestapreguntanohayuna

respuesta unánime. Los resultados porcentuales se muestran a continuación.

Laopiniónsobreeltipodeorganismoqueseconsiderapodríaserelcoordinadordelosincidentes

deCiberseguridad,se inclinahaciaqueseapúblico,aunque lasrespuestasparecenseñalarque

seríaconvenientelaparticipaciónprivadaenél,dealgunaforma.Lasrespuestasserecogenenla

gráficasiguiente.

55,0%

54,6%

45,0%

18,2% 13,6%0,0% 13,6%

n sí n no

n público n público-privado ninguno n privado n otros

Las empresas coinciden en la necesidad de regulación y que

éstaestéregidaporelEstado.

Nuevo

organismo regulador

de carácter público

79


necesidad de definir un plan de implantación

financiación del sistema de intercambio de información de incidentes

Máscontundentessonlasrespuestassobrecómosedebedefinirunplandeimplantacióndelsiste-

madecomunicacióndeincidentes.LaopiniónmayoritariaesqueseaacordadoporunaComisión

público–privada.

Este sistema de coordinación de incidentes de Ciberseguridad tiene unos costes, bien para su

puestaenmarcha,sisedecidequedebecrearsenuevo,oparaadaptarlo,asícomounoscostes

de mantenimiento.

Sehapreguntadolaopinióndelasempresassobrecómodesearíanquesecubrieranesoscostes

ylarespuestamayoritariaesquesealaAutoridadNacionalquesecreeosedesignelaquefinancie

loscostes.Noobstante,unadecadadiezempresasconsideraquecadaparticipantedebehacerse

cargodeunapartedeloscostesdepuestaenmarchadelsistemayaportarsupartealícuotaenlos

costesdemantenimientoyotroporcentajesimilaroptaporunsistemadecuotasfijas.

66,7% 33,3%0,0%

n acordado por una comisión público-privada n definido por el gobierno

realizado por empresas privadas / no / otros (especificar)

La autoridad Nacional asumiría los costes de creación del

organismo y su posterior mantenimiento.

Financiación

81,0% 9,5%9,5%0,0%

n autoridad nacional n sistema proporcional sistema de compensación n cuotas fijas

80


cómo cubrir los costes del servicio

Encoherenciaconlafinanciacióndelsistema,lasempresasconsideranmayoritariamente,másdel

ochentaporciento,quesuscostesdeberíancubrirseacargodelosPresupuestosdelEstado.

Elveinteporcientorestantesedistribuyedeformaigualitariaentrelasdemásopcionespropuestas

paracubrirloscostesdelsistema:unacuotaanualquepodríaserfijaoenfuncióndeltamañodela

empresa,elsectoroeltipodeinformaciónrecibida.

Lasrespuestasaestapreguntahansidolasrecogidasenlagráficasiguiente.

80,8% 4,8%4,8%4,8%4,8%

n presupuestos del estado n cuota por información recibida n cuota anual en función del sector

n cuota anual fija por empresa n cuota anual en función del tamaño

Las empresas solo consideran asumir determinados costes para

el mantenimiento de este servicio

El organismo regulador ha

de pertenecer al Estado

81


disponibilidad para asumir costes de mantenimiento del centro coordinador

disponibilidad para asumir costes de proyectos especiales del centro coordinador

Estaopiniónserefuerzaconlasrespuestasrecibidasalapreguntasobresilasempresasestarían

dispuestas a asumir costes de creación o mantenimiento del centro coordinador de recepción de

incidentesdeCiberseguridad.Tambiénenestecaso,unamayoríamuyamplianoestaríadispuesta

aasumircostesdemantenimiento,talcomosemuestraenlagráfica.

No obstante, casi la mitad de las empresas estarían dispuestas a asumir costes en lo relativo a

aquellosproyectosoejerciciosdiseñadosporelCentroCoordinadorqueayudenamejorar sus

capacidadesresilientes,talcomosemuestraenlagráfica.

81,0%

57,1%

19,0%

42,9%

n no n sí

n no n sí

82


necesidad de cambio legislativo

Porúltimo,enesteapartadosehapreguntadoalasempresassuopiniónsobrelalegislaciónque

seríanecesariomodificarparahacermáseficazaunsistemacoordinadordeincidentesdeCiber-

seguridad.

Susrespuestashansido:

> LamayoríaconsideraquedebemodificarselaLeydeProteccióndeDatos.

> LamitadcreenquesedebenadaptarlalegislaciónrelativaaCódigoPenal,

InfraestructurasCríticasyPrestacióndeServiciosdeTelecomunicaciones.

> MenosdeunterciocreentambiénnecesarialamodificacióndelaLegislación

administrativa.

LasrespuestasrecogidasenelapartadoOtrossedirigenareforzarlaopinióndecambiarlalegisla-

ciónqueseconsiderenecesaria.

Elgráficomuestraladistribucióndelasrespuestas.

66,7%

protección

de datos

57,1%

código penal

47,6%

servicios

telecomunicaciones

28,6%

legislación administrativa

23,8%

otros

57,1%

infraestructuras críticas

83


Como conclusión de las respuestas obtenidas en este apartado, se puede afirmar

quelasempresasconsideranquelaAdministracióndebeintervenirpararesolverlos

incidentesdeCiberseguridad,delamismaformaquelohacepararesolverelrestode

tipos de incidentes de seguridad.

para ello, se considera necesario por parte de las empresas la creación de un sistema

de seguridad basado en un centro de coordinación, principalmente público, pero

conlaconvenienciadequeexistaparticipaciónprivadaenelmismo.Elcentrodebe

disponerdeunpersonalmultidisciplinarylasempresasdefiniruncanalclarodecomu-

nicaciónconautoridadsuficiente.

Elcentrocoordinadorpodríaserunode losexistentescomoelde INCIBE(Instituto

Nacional de Ciberseguridad)-CNpiC con un marco regulador adecuado.

El plan de implantación del sistema deberá ser acordado entre la Administración

y las empresas.

Los costes tanto de implantación del sistema como su mantenimiento debe correr a

cuenta de los presupuestos del Estado. No obstante, se considera la posibilidad de

quelasempresasparticipenenlafinanciacióndeproyectosespecíficosencaminados

a mejorar problemas de Ciberseguridad.

Porúltimo,lasempresasconsideranquesedeberánrealizaradecuacioneslegislativas,

principalmente en la Ley de protección de Datos.


A N E x O S

87


a n e x o i

encuesta enviada a las empresas

LaFundaciónESYSpretendeelaborarunEstudiosobrelasnecesidadesydificultadesdecomuni-

cacióndeincidentesdeCiberseguridadentrelasempresasytambiénentreéstasylosorganismos

implicadosen la ciberseguridad.EsteEstudio sigue la senda trazadaporelSegundoGrupode

TrabajodelostresquecomponenlaPlataformaNIS(NetworkandInformationSecurity)constituida

porlaComisiónEuropeadentrodelaAgendaDigitalparaEuropaquetratadelIntercambiodeInfor-

mación y Coordinación de incidentes.

Como base de este Estudio se estima imprescindible conocer la opinión de las principales empresas

españolas.Paraellosehaelaboradolapresenteencuestaqueseencuentradivididaentresaparta-

dosequivalentesalosobjetivosdelEstudio,másunapartadoadicionalreferidoalascaracterísticas

comunesalintercambiodeinformaciónenambossentidos.

• Conocerlanecesidadquetienenlosresponsablesdeseguridad

de las empresasdedisponerde informaciónactualizada y en

tiemporealdeincidentesdeCiberseguridadsimilaresalosque

puedenafectarasuempresa,así como lascaracterísticasde

esarecepcióndeinformación.

• Conocerlascondiciones,formalesylegales,queproponenlas

empresas para la comunicación a la administración de los pro-

piosincidentesdeCiberseguridadquesufran.

• Conocercuáldesearíanlasempresasquefueralarespuestade

la administración tras la comunicación de los incidentes, tanto

encontenidocomoenforma.

Objetivos del Estudio

88


1. necesidad que tienen los responsables de seguridad de las empresas de disponer

de información actualizada y en tiempo real de incidentes de ciberseguridad simi-

lares a los que pueden afectar a la empresa que dirige y características de dicha

información.

¿Considera necesario disponer de información sobre incidentes de Ciberseguridad?

(respuesta única)

oSi,decualquiertipodeincidenteydecualquiersectoreconómico.

o Sólo de incidentes de empresas de mi sector económico.

o Sólo de tipos concretos de incidentes.

o No tengo necesidad de conocer los incidentes de otras empresas.

oOtros(especificarotrostiposdeincidentes).

¿En qué tiempo le gustaría disponer de información sobre incidentes de

Ciberseguridad?

(respuesta única)

o En tiempo real del incidente.

o bajo demanda.

o periódicamente.

¿En qué forma en que le gustaría disponer de información sobre incidentes de

Ciberseguridad?

(respuesta única)

oIdentificacióndeincidenteyocurrencia.

oConinformaciónadicional:origen,consecuencias,correccionesrealizadas,…

o Estadísticas de los incidentes más numerosos.

oOtros(especificar).

89


¿Qué información relevante a sus infraestructuras y servicios le gustaría recibir

desde fuentes externas? (respuesta múltiple)

o Informaciónsobrevulnerabilidadesoalertasrelativasamisinfraestructurasyservicios

quesondetectadasporterceros.

o Informaciónsobrevulnerabilidadesdeotrasinfraestructurasyserviciosdeterceros,

similares a las de mi organización.

o TendenciasdeataquesenInternet.

o Incidentessufridospormisclientesoterceros.

o Incidenteseninstalacionesqueprestanserviciosesencialesofundamentalessimilares

alasdemiorganización.

o incidentes sobre violaciones de privacidad y LOpD.

oMétodosderemediación,contenciónyrespuestaalincidente.

oDatosdecontactoactualizadosdelpersonalclavedemisproveedorescríticos.

o Cambios en las condiciones de prestación del servicio por parte de mis proveedores

de servicios esenciales.

oAvisossobreincidenciasenlosserviciosquelesprestansusproveedoresdeserviciosesenciales.


2. condiciones, formales y legales, que proponen las empresas para la comunicación

a la administración de los propios incidentes de ciberseguridad que sufran.

¿Qué tipos de incidentes considera que se deberían comunicar a las Fuerzas y Cuer-

pos de Seguridad del Estado? (respuesta única)

o todos los incidentes.

o LosqueseacuerdenenunprotocolodetiposdeincidentesconlasFuerzasyCuerposde

Seguridad del Estado.


90


En el caso de que se garantizaran sus requisitos de confidencialidad y anonimato,

¿qué información estaría dispuesto a compartir con otras organizaciones?

(respuesta múltiple)

o Informaciónsobrevulnerabilidadesdescubiertasporpersonalpropioensusinfraestructuras,

quepuedanponerenalertaaotrassimilares.

o incidentes ocurridos a sus clientes.

o Incidentesensusinstalacionesqueprestanserviciosesencialesofundamentales.

o incidentes sobre violaciones de privacidad y LOpD.

o Cambios en las condiciones de prestación de sus servicios a sus clientes.

oDatosdecontactoactualizadosdelpersonalqueatiendeasusclientes.

o avisos sobre incidencias previstas en sus servicios.

o Recomendaciones para prevención, mitigación y respuesta a incidentes.

¿Cuándo considera que se deberían comunicar a las Fuerzas y Cuerpos de Seguridad

del Estado los tipos de incidentes acordados?

o En tiempo real.

oDespuésdevalidadoelincidente.


¿Existe un interlocutor en su empresa para facilitar información sobre los incidentes?

(respuesta única)

oSíexiste,perodeformainformalosinautoridadformalmentereconocida.

oSíexisteytienelafunciónylaautoridadreconocida.

oExistenvarios,dependiendodeltipodeincidenteelinterlocutorpuedeserunouotro.

oNoexiste.

oEstáidentificadoenlanormativainterna,peronoexiste.

91


¿Cuál debería ser el departamento o área que facilitase información externa sobre

incidentes de Ciberseguridad?

(respuesta única)

oÁreadeseguridadcorporativa.

oÁreadeseguridaddelainformación.

o asesoría jurídica.


¿A qué cree que se debe el bajo nivel de envío hasta la fecha de información sobre

incidentes de Ciberseguridad?


o a una posible reacción sancionadora del regulador.

o a las reclamaciones económicas y legales de los clientes.

oAlapérdidadeclientesporpérdidadeimagen.

oAsuutilizaciónporpartedecompetidoresconfinescomerciales.

oAsuutilizaciónporlosproveedoresdeserviciosdeInternet.


¿Considera necesario una regulación específica sobre la comunicación de los inciden-

tes de Ciberseguridad que garantice la confidencialidad y recoja el grado de obligato-

riedad, a la hora de la comunicación de determinados incidentes de Ciberseguridad?

(respuesta única)

o Sí

o No

92


¿Se debe establecer la obligatoriedad de la comunicación del incidente?


o para todo tipo de empresa.

oEnfuncióndeltamañodelaempresa.

oEnfuncióndelsectoreconómicodelaempresa.

o Debe ser voluntaria.


¿Se debe establecer obligatoriedad para los Estados Miembros de la UE ?


o Siempre.

oEnfuncióndeltipodeincidente.

o Debe ser voluntario.


3. características comunes al intercambio de la información en ambos sentidos.

¿Qué características considera necesarias que aparezcan en un sistema de intercam-

bio de información sobre alertas e incidentes de Ciberseguridad? Puntúe de cero a

cinco cada una de ellas según la siguiente tabla:

[0] irrelevante [1] muy poco necesario [2] algo necesario [3] bastante necesario

[4] muy necesario [5] imprescindible

o Confidencialidad.

Lainformaciónnopuedeseraccedida(nientransmisión,nienalmacenamiento,nimientrasse

procesa)porpersonasoprocesosnoautorizadosporlafuente.

o Integridad.

Mantenerconexactitudlainformacióntalcualfuegenerada,sinsermanipuladaoalteradapor

personasoprocesosnoautorizados.

93


o Disponibilidad.

Accesoalainformaciónyalossistemasporpersonasautorizadasenelmomentoqueasílo

requiera.

o Control de uso en destino.

Lafuentedeinformaciónpuedeconcederyrevocardinámicamenteeindividualmentederechos

de uso a las entidades receptoras.

o Control de la difusión.

Lafuentedeinformaciónpuededecidiryconocerlasentidadesalasquehallegadosuinformación.

o Garantía de origen.

Unaterceraparteconfiablecertificaelorigengenuinodelainformación,peronorevelarálafuente.

o Anonimato de origen.

Unaterceraparteconfiableejercefuncióndeintermediario(proxy)paraeliminarlosmetadatosque

identificanalafuentedelainformación.

o Arbitraje.

Losparticipantessesometenvoluntariamenteaunaautoridadreconocidaqueaudita

laconformidaddecadaunodeellosconelsistemayarbitralasposiblesdisfunciones.

o Regulación.

Laautoridadnacionalestablecepordecretoelsistemayregulasufuncionamientoaplicando

sanciones administrativas en caso necesario.

o Centralización.

Unúnicorepositoriocentraladministradoporunaterceraparteconfiablequeregistratodoslos

eventos del sistema.

o Descentralización.

Noexisteunrepositoriocentralcontodalainformación,sinoquecadaparticipantemantieneel

suyoconlaqueélharecibidoyleesrelevante.

o Sindicación.

Soloseinvitaráaparticipantesqueesténdispuestosaintercambiarinformación.

o Voluntariedad.

Losparticipantesseadhierenyabandonanvoluntariamenteelsistemadeintercambio.

94


o Obligatoriedad.

Unaautoridadreguladoraidentificaalosparticipantesyobligalegalmenteasuparticipaciónenel

sistema.

o Relevancia.

Elsistemapermitiráclasificarlainformaciónporsurelevanciaenfuncióndesuimportanciayutilidad

para las entidades receptoras.

o Estructuración.

Elsistemafacilitarálainformacióndeformaestructuradaparaevitarlaambigüedadensu

interpretación por las entidades receptoras.

¿Qué protocolo de comunicación considera más adecuado para el intercambio?

(respuesta única)

o mediante correo electrónico Smtp.

o MedianteprotocoloHTTP(RSS,SOAP,webservices,etc.)

o mediante protocolo HttpS

o mediante Ftp.

o mediante SFtp

o protocolo propietario.

o mediante SSH

o PlataformaonlinemedianteCMS(Gestordecontenidos)

o Otros(especificar).

¿Cómo considera que debería estar protegida la información intercambiada

independientemente del protocolo de comunicación? (respuesta única)

o Cifradosincontroldeuso(PGP,S/MIME,etc.)

o Cifradoycontroldeusodelainformaciónendestino(tecnologíaIRM).

o Firmado electrónicamente.


95


4. respuesta deseada de las fuerzas y cuerpos de seguridad del estado

y de la administración en general.

¿Qué tipo de organismo estima es el más adecuado para coordinar la compartición de

la información?

(respuesta única)

o público.

o privado independiente.

o Privadoconcontroldelossociosquecomparteninformación.


¿Qué beneficios espera obtener de las capacidades de la institución, por tener el ca-

rácter elegido en la pregunta anterior?

¿Cómo considera que debería estar financiado el sistema de intercambio de informa-

ción de incidentes?

(respuesta única)

o Cada participante corre por su cuenta con sus costes de ingreso al sistema y posteriormente

participaconsupartealícuotaenloscostesdemantenimientoenellargoplazo.

o Laautoridadnacionalfinanciatodoelsistema.

o Medianteunsistemadecompensaciónconcréditosqueseconcedenaaquellosqueaporten,

perotendránqueseradquiridos(mediantepago)portodosaquellosqueconsumenpero

no aportan.

o Mediantecuotasfijasestablecidasporlaautoridadnacionaldeacuerdoacriterios

preestablecidos.

96


¿Cómo se deberían cubrir los costes del servicio prestado por el Servicio de Intercambio

de Información de Incidentes? (respuesta única)

o Cuota anual igual por empresa.

o Cuotaanualenfuncióndeltamañodelaempresa.

o Cuotaanualenfuncióndelsectoreconómicodelaempresa.

o Cuotaporinformaciónrecibida.

o a cargo de los presupuestos del Estado.


¿Qué tipo de perfiles o roles, en lo relativo a recursos humanos, deberían integrar el

organismo coordinador? (respuesta única)

o Técnico.

o gestor.

o multidisciplinar.

¿Considera que la comunicación de los incidentes de Ciberseguridad debe hacerse en

tiempo real o una vez realizado un análisis previo que permita aportar un número mayor

de evidencias?

(respuesta única)

o En tiempo real.

o Despuésdeunanálisisprevio,conuntiempomáximoregulado.

o Despuésdeunanálisisprevio,sintiempomáximoregulado.


¿Cree que una Oficina Cibernética de denuncias de incidentes, ayudaría a la agilización?

(respuesta única)

o Sí

o No

97


¿Cree que una Oficina Cibernética de denuncias de delitos informáticos, ayudaría a la

agilización? (respuesta única)

o Sí

o No

¿Considera que los ciberdelitos deben ser trasladados directamente a las Fuerzas y

Cuerpos de Seguridad del Estado, o deben ser previamente centralizados en un Cen-

tro Coordinador que dé traslado de aquellos que se consideren perseguibles en ins-

tancias penales? (respuesta única).

o DebensertrasladadosdirectamentealasFuerzasyCuerposdeSeguridad.

o DebenserpreviamentecentralizadosporelCentroCoordinador.

¿Mantiene actualmente una comunicación fluida con las Fuerzas y Cuerpos de Seguri-

dad del Estado?

(respuesta única)

o Sí

o No

¿Tiene establecido con las Fuerzas y Cuerpos de Seguridad del Estado un canal bien

definido de comunicación institucional?

(respuesta única)

o Sí

o No

¿Tiene usted recogido en sus procedimientos internos un protocolo de relación con las

instituciones como con las Fuerzas y Cuerpos de Seguridad del Estado?

(respuesta única)

o Sí

o No

98


¿Qué Departamento / Área de su Organización considera que debe mantener o ejer-

cer de Punto de Contacto con las Fuerzas y Cuerpos de Seguridad del Estado?

(respuesta única)

oÁreadeseguridadcorporativa.

oÁreadeseguridaddelainformación.

oÁreadetecnología.

o asesoría jurídica.


¿Qué aspectos desearía evaluar o mejorar en su relación con las Fuerzas y Cuerpos de

Seguridad del Estado?

¿Desearía recibir información de inteligencia proveniente de los servicios especializa

dos de las Fuerzas y Cuerpos de Seguridad del Estado?

o Sí, en todo caso.

oSi,enfuncióndelaplataformaosistemaafectado.

o No


¿Considera necesario dotar de un marco regulador o de certificación adecuado, al Cen-

tro que lleve a cabo las funciones coordinación de incidentes de Ciberseguridad?

o Sí

o No

¿Sería necesario la creación de un nuevo organismo que pueda ayudar a mejorar las

capacidades de coordinación y resolución de incidentes?

o Sí

o No

99


¿Se debe modificar la legislación española?


o Ley de protección de Datos.

o Código penal.

o Legislación administrativa.

oLegislacióndeInfraestructurasCríticas.

o Legislación de prestación de Servicios de telecomunicaciones.


¿Se debe establecer un organismo para la implantación del sistema de intercambio de

información de incidentes?

o Si, un organismo público nombrado por el gobierno.

oSi,unorganismopúblico–privadocreadoespecíficamente.

o Si, un organismo privado promovido por las empresas privadas.

o No


¿Se debe definir un plan de implantación?

oDefinidoporelGobierno.

o acordado por una Comisión público –privada.

oRealizadoporempresasprivadas.

o No


¿Estaría dispuesto a asumir costes de creación o mantenimiento del centro de recep

ción de incidentes de Ciberseguridad?

o Sí

o No

100


¿Estaría dispuesto asumir costes en lo relativo a aquellos proyectos o ejercicios diseña

dos por el Centro Coordinador que ayuden a mejorar las capacidades resilientes de

nuestras organizaciones?

o Sí

o No

¿Debe intervenir la Administración General del Estado para responder a los incidentes

de Ciberseguridad? (respuesta múltiple)

oDelamismaformaqueparaelrestodelosdelitostipificados.

o Creando un organismo de intervención especial.

oSedebelimitaradisponerdelainformaciónynoactuarhastaquenoseproduzca

una denuncia.


103


a n e x o i i

situación internacional de intercambio

de información de incidentes

de ciberseguridad

Enel2009serealizóenlaUEunareformaimportantedelmarcolegislativodelascomunicaciones

electrónicasmediantelaDirectiva2009/140/EC.EstaDirectivaensuartículo13aincorporalaobli-

gacióndeinformardelosincidentesdeCiberseguridadalosoperadoresdetelecomunicacionesde

laUEmedianteunaenmiendaalaDirectivaMarco2002/21/EC.Lareformahasidotraspuestaen

todas las legislaciones de los Estados miembros (EEmm) de la UE a mediados de 2011.

Desde2010,laEuropeanUnionAgencyforNetworkandInformationSecurity(ENISA)impulsóre-

unionesparaarmonizarlaimplementacióndelartículo13aentodoslosEEMM.Frutodeestasreu-

nioneseseldocumento“TechnicalGuidelineonIncidentReporting5”quesirvedereferenciaparala

aportación de los incidentes por los operadores de telecomunicaciones, así como para el análisis de

susresultadosyelaboracióndeinformes.

HastaelmomentoENISAhaelaboradotresInformesAnuales6 sobre la comunicación de incidentes

delosOperadoresdeTelecomunicacionesdelosEEMMdelaUE.Elúltimoinforme,presentadoen

septiembrede2014,correspondea2013yenélseponedemanifiestoelimportanteincrementode

incidentesenlascomunicacionesmóvilesdevozydatos.

EstasimportantesactuacionesdeENISAnodejandeserunafuentedeinformacióndeincidentes

delaCiberseguridadqueseconocendespuésdemásdeunañodequesehayanproducido,pero

no constituyen un sistema de respuesta a los incidentes de Ciberseguridad.

5 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/Technical%20Guidelines%20on%20Incident%20Reporting

6 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/annual-reports

104


Noobstante,debidoaléxitode lasanterioresactuaciones,seestá impulsandolarecogidade la

informaciónde incidentesdeCiberseguridadde lasempresasdentrode laDirectivaNIS7quese

encuentraendebateenelsenodelConsejoeuropeo.EneltextodelpresenteDocumentoseha

hechoreferenciaenvariasocasionesalaDirectivaNISyalostrabajosquesehanvenidorealizando

enlostresGruposdeTrabajodesuPlataformaymásconcretamenteenelWG2.Comosehamen-

cionado,losresultadosdelgrupoWG2hansidoescasosy,enciertomodo,hanservidodeestímulo

para desarrollar este Estudio.

LarecogidadelosincidentesdeCiberseguridadsehacehabitualmenteporunosorganismospú-

blicosoprivadosqueseconocencomoCERT(ComputerEmergencyResponseTeam)yqueson

centrosderespuestaaincidentesdeseguridadentecnologíasdelainformación.UnCERTestudia

el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante

incidentesavíctimasdeataquesenlared,publicaalertasrelativasaamenazasyvulnerabilidadesy

ofreceinformaciónqueayudeamejorarlaseguridaddeestossistemas.ElprimerCERTfuecreado

en1988parahacerfrentealoqueseconociócomo“gusanoMorris”.

TambiénsepuedeutilizareltérminoCSIRT(ComputerSecurityIncidentResponseTeam),oEquipo

deRespuestaanteIncidenciasdeSeguridadparareferirsealmismoconcepto.Dehechoeltérmino

CSIRTeselquesesueleusarenEuropaenlugardeltérminoprotegidoCERTyqueenUSAse

conocecomoCERT/CC.

Con independencia de la pertenencia a organizaciones internacionales de reconocido prestigio

comolasindicadasmásadelante,laacreditacióndelosCERTnoserealizaporningúnorganismo

públicosinoporempresasprivadasdedicadasaello,porloquecualquierapuedeponerunCERTy

conectarsealosdemás.Deestamanera,quiengeneraunincidentepodríateneraccesoinmediato

alasestrategiasyaccionesderespuestadelosqueloestántratandodesolucionar.Además,nilos

procedimientosdecontratacióndelpersonalqueatiendelosCERT’s,nilosprocesosdecomunica-

ción de incidentes, disponen de mecanismos de validación.

7 http://europa.eu/rapid/press-release_MEMO-13-71_en.htm

105


TodoelloponedemanifiestolautilidadrelativadelosCERT’sparahacerfrentealasconsecuencias

delosincidentesdeCiberseguridadylanecesidaddeimplantarsolucionesmáseficacesparalas

empresas y los Estados.

Alobjetodesolucionarestasituaciónsehanpuestoenmarchalossiguientesorganismosinterna-

cionales de coordinación de incidentes de Ciberseguridad:

1.

international Watch and Warning network

(iWWn)

Seestablecióen2004parafomentarlacolaboracióninternacionalalahoradeabordarlasamena-

zascibernéticas,ataquesyvulnerabilidades.Proporcionaunmecanismoparaquelospaísesparti-

cipantescompartaninformaciónencaminadoalaconcienciaciónmundialdelasituacióncibernética

yafacilitarlarespuestaaincidentes.

Los países participantes son:

alemania El ministerio Federal del interior (bmi)

LaOficinaFederalparalaSeguridaddelaInformación(BSI)

DFN-CERt

bKa

australia El Departamento del Fiscal general - govCERt.au

Canadá Centro Canadiense de Respuesta a incidentes Ciber (CCiRC)

La Real policía montada de Canadá (RCmp)

EstadosUnidosDivisióndeSeguridadCibernéticaNacional(CNDS)

Computer Emergency Readiness team (CERt) de Estados Unidos (US-CERt)

106


Finlandia CERt-Fi

Francia LaSecretaríaGeneralparalaDefensaNacional(SGDN)

Holanda gOVCERt.NL

El ministerio del interior y de Relaciones del Reino (bZK)

NationalCrimeSquad(KLPD)

Hungría CERt-Hungría

OficinadelPrimerMinistrodeHungría

italia ministerio del interior - postal y del Servicio de policía de Comunicación

Japón CentroNacionaldeSeguridaddelaInformación(INEC)

PolicíaCibernética(@police)

agencia Nacional de policía (Npa)

NuevaZelanda CentroparalaProteccióndeInfraestructurasCríticas(CCIP)

Noruega NorCERt

Reino Unido grupo de Seguridad de Comunicaciones y Electrónica (CESg)

AgenciadeCrimenOrganizadoGrave(SOCA)

CentroparalaProteccióndelaInfraestructuraNacional(IREC)

Suecia agencia de gestión de Emergencias de Suecia (SEma)

Centro de incidentes de ti sueca (SitiC)

post & telestyrelsen (ptS)

Suiza CentrodeAnálisisydeinformesparalaSeguridaddelaInformación(MELANI)

2.

first - forum of incident response and security teams

FIRSTseestablecióen1990.Esunareddeequiposderespuestaaincidentesdeseguridadinfor-

máticaindividualesquetrabajanjuntosdemaneravoluntariaparahacerfrenteaproblemasdesegu-

ridadinformáticaysuprevención.Estosequipossondeorganismostandiversoscomogobiernos,

policías,universidades,empresasprivadasyotrasorganizacionesconinterésjustificablesegúnlo

determinadoporsuComitéDirectivo.

107


Sus objetivos son:

• Promoverprogramasdeprevencióndeincidentescibernéticos.

• Desarrollarycompartirtécnicasdeinformación,herramientas,metodologías,procesosy

mejores prácticas.

• Fomentarypromovereldesarrollodeproductos,políticasyserviciosdeseguridaddecalidad.

• DesarrollarypromulgarlasmejoresprácticasdeCiberseguridad.

• Promoverlacreaciónyampliacióndelosequiposderespuestaaincidentesylacolabora-

cióndeorganizacionesdetodoelmundo.

• Coordinarlosconocimientos,habilidadesyexperienciasdesusmiembrosparapromover

un entorno electrónico mundial más seguro y protegido.

3.

tf-csirt

Los incidentesdeCiberseguridadrequierenrespuestasrápidasyefectivasde lasorganizaciones

interesadas.LosComputerSecurityIncidentResponseTeams(CSIRT’s)sonlosequiposresponsa-

blesderecibiryrevisarlosinformesdeincidentes,yresponderaellossegúnproceda.TF-CSIRTes

ungrupodetrabajoquepromuevelacolaboraciónylacoordinaciónentrelosCSIRT’senEuropay

regionesvecinas,altiempoquesirvedeenlaceconlasorganizacionespertinentesanivelmundial

y en otras regiones. El tF-CSiRt dispone de una secretaría proporcionada por tERENa8 (trans-

EuropeanResearchandEducationNetworking)confondosdelproyectoGN3.

Sus objetivos son:

• OfrecerunforodondelosmiembrosdelacomunidadCSIRTpuedanintercambiarexperien-

ciasyconocimientosenunambientedeconfianzaconelfindemejorarlacooperaciónyla

coordinación.

8 TERENAesunaAsociaciónsinánimodelucroquetienecomoprincipalobjetivolacreacióndeunforodecolaboración,inno-vaciónycomparticióndeconocimientosconelfindefomentareldesarrollodelatecnologíadeInternet,lainfraestructuraylosserviciosparaserutilizadosporlacomunidaddeinvestigaciónyeducación.

108


• MantenerunsistemaderegistroyacreditacióndelosCSIRT’s,asícomolacertificaciónde

los estándares de servicio.

• DesarrollaryofrecerserviciosparalosCSIRT’s.

• Promoverelusodenormasyprocedimientosparaelmanejodeincidentesdeseguridad

comunes.

• Coordinarlasiniciativasconjuntasensucaso.Estoincluyelaformacióndelpersonaldel

CSIRT,yayudarenlacreaciónyeldesarrollodenuevosCSIRT’s.

• ServirdeenlaceconFIRST,ENISA,otrasorganizacionesCSIRT’sregionales,asícomocon

losorganismosdedefensaylasfuerzasdeordenpúblico.

F u n d a c i ó n E S Y S Av e n i d A d e B r A s i l 2 9 , 1 º 2 8 0 2 0 M A d r i d

w w w. f u n d a c i o n e s y s . c o m

cOn La cOLaBORación ESPEciaL dE:

cEntRO naciOnaL PaRa La PROtEccióndE LaS inFRaEStRuctuRaS cRíticaS

inStitutO naciOnaL dE ciBERSEguRidad

NECESIDADES Y DIFICULTADES DE COMUNICACIÓN DE...

Documents

Transcript of NECESIDADES Y DIFICULTADES DE COMUNICACIÓN DE...