El CCN-CERT impulsará la implantación de HTTPS en las sedes electrónicas del Sector Público

  • Así se expuso en la VII Jornada SAT celebrada en Madrid e inaugurada por el secretario de Estado director del CNI, Félix Sanz Roldán.
  • El Informe Nacional del Estado de Seguridad, INES, de los organismos públicos y su nivel de cumplimiento del Esquema Nacional de Seguridad (ENS), así como el trabajo conjunto que se está realizando con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) para la gestión de ciberincidentes fueron otros de los temas abordados en la Jornada.
  • Los 215 asistentes al evento también pudieron conocer los principales ataques detectados en 2016 relacionados con ciberespionaje y cibercrimen, así como las conclusiones más relevantes del Sistema de Alerta Temprana en Internet, SAT-INET, y en la Red SARA, SAT-SARA, junto con el SAT-ICS para sistemas de control industrial de operadores críticos del Sector Público.

El pasado 9 de marzo, se celebró en la sede de la Fábrica Nacional de la Moneda y Timbre, FNMT, la VII Jornada del Sistema de Alerta Temprana, SAT, del CCN-CERT. El evento, inaugurado por el secretario de Estado director del CNI, Félix Sanz Roldán y por el secretario general de Administración Digital, Domingo Molina, contó con la asistencia de 215 personas, provenientes principalmente de los organismos adheridos a alguno de los dos SAT: SAT-INET y SAT-SARA.

La primera de las ponencias se centró en el estudio realizado sobre la implantación del HTTPS en Sedes electrónicas del Sector público. Se presentaron los resultados preliminares, constatando un nivel de implantación muy bajo. Por ello, el CCN-CERT adelantó la realización de informes periódicos para impulsar su implantación sobre todas las sedes electrónicas que lo soliciten y la realización de un documento de buenas prácticas que ayude a los organismos a establecer este protocolo seguro de transferencia de datos.

Informe Nacional del Estado de Seguridad, INES

Otro capítulo importante de la Jornada fue el relativo al Esquema Nacional de Seguridad (ENS), su implantación y su cumplimiento. Así, se presentaron los resultados provisionales del Informe Nacional del Estado de Seguridad, INES1 correspondiente a 2016. En él se destacó el incremento en el número de organismos del Sector Público que ofrecieron sus datos (Administración General del Estado, Comunidades Autónomas, Entidades Locales y Universidades), pasando de 355 en 2015 a los 648 de 2016. No obstante, el nivel de cumplimiento detectado es bajo (63%) por lo que se considera necesario tomar ciertas medidas: concienciación/formación de usuarios, incrementar los recursos (no es suficiente la figura del responsable de seguridad, se necesita de un equipo), aumentar las tareas de vigilancia en la red, fomentar la certificación a través de la realización de auditorías independientes, promover plataformas de servicios en Nube e impulsar la aprobación de las Instrucciones Técnicas de Seguridad (ITS).

Colaboración con CNPIC y SAT de Control Industrial

Otro de los aspectos que se abordaron en el transcurso de la Jornada fue la coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) en todo lo relacionado con la gestión de ciberincidentes, de tal forma que el CCN-CERT es el Esquipo de Respuesta a Incidentes de referencia para el Sector Público y, en el caso de los Operadores Críticos (OC), se realizará en coordinación con el propio CNPIC.

Por último, también se presentaron los primeros pasos del Servicio de Alerta Temprana para la seguridad de los sistemas industriales (SAT-ICS), pensado para monitorizar la actividad en los sistemas de control industrial y SCADA de los Organismos, integrándolos en el servicio de gestión de alertas de ciberseguridad.

Otros de los temas abordados en la Jornada fueron un resumen de los incidentes más relevantes detectados en 2016 relacionados con ciberespionaje y cibercrimen (las tendencias de extracción de información apuntan al uso de comunicaciones cifradas) y una exposición de las diferentes herramientas desarrolladas por el CCN-CERT (resaltando el esfuerzo de integración de las herramientas de auditoría y la posibilidad de integrar LUCIA, REYES y CARMEN para hacer más eficiente el trabajo del analista).


1 El Esquema Nacional de Seguridad (ENS) establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas por parte de las Administraciones Públicas, de ahí el desarrollo por parte del CCN-CERT de su herramienta INES.

CCN-CERT (15/03/2017)

Acceso a Ponencias

 

Ministerio de Defensa
CNI
CCN
CCN-CERT