El CCN-CERT obliga a notificar els incidents de ciberseguretat
Els incidents relacionats amb la seguretat del sector públic hauran de ser notificats obligatòriament al CCN-CERT perquè siguin classificats i determinar el seu nivell d’impacte Alt, Molt Alt o Crític.
Una Instrucció Tècnica de Seguretat (ITS) publicada el passat 19 d’abril al BOE i prevista en l’ Esquema Nacional de Seguretat assenyala l’obligatorietat de notificar qualsevol incident de seguretat amb nivells Alt, Molt Alt i Crític en funció de la informació manejada o els serveis prestats. En concret, la ITS assenyala que un cop detectat un incident, l’entitat ha classificar-i recopilar evidències del mateixos, documentades i custodiades amb garantia, tal com s’indica a la Guia CCN-STIC 817 del CCN.
El CCN ha desenvolupat l’eina coneguda com LUCIA (Llistat Unificat de Coordinació d’Incidents i Amenaces) amb el propòsit de facilitar a les empreses els mecanismes de notificació, comunicació i intercanvi d’informació sobre incidents de seguretat, la qual es mantindrà permanentment actualitzada.
La Instrucció assenyala que un cop detectat un incident s’utilitzarà la Guia comentada per classificar-lo i, en el cas d’aquells amb un impacte Alt, Molt Alt o Crític, s’han de notificar a la Capacitat de Resposta a Incidents del CCN-CERT. Els criteris de determinació del Nivell de l’impacte estan contemplats en la Guia en funció del tipus de sistemes als quals afecta l’atac, així com al nombre d’equips afectats.
Aquestes instruccions tècniques entren a regular aspectes concrets que la realitat quotidiana s’ha mostrat especialment significatius, com ara: Informe de l’Estat de la Seguretat; notificació d’incidents de Seguretat; auditoria de la Seguretat; conformitat amb l’Esquema Nacional de Seguretat; adquisició de Productes de Seguretat; criptologia d’ocupació en l’Esquema Nacional de Seguretat; interconnexió en l’Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats, sense perjudici de les propostes que pugui acordar el Comitè Sectorial d’Administració Electrònica, segons el que estableix l’esmentat article 29.
La fi de l’obligatorietat de la notificació és aconseguir un ciberespai més segur i fiable, preservant la informació classificada i la informació sensible, defensant el patrimoni Tecnològic espanyol, formant el personal expert i aplicant polítiques i procediments de seguretat que resultin ser més adequades i efectives.
Etiquetes: CCN-CERT, Ciberseguretat