La adaptación a las nuevas amenazas implica MEJORAR LAS CAPACIDADES DE VIGILANCIA y diseñar respuestas cada vez más eficaces frente al INCREMENTO constante en el número, sofisticación y complejidad de los ciberataques.
Hay que responder a la necesidad de la ciberseguridad mediante el análisis de la situación, su previsible evolución, y preparar el camino para el futuro adaptándolo como objetivo deseable y posible.
La clave es medir para poder parametrizar el problema, identificar el estado de seguridad de la entidad y así determinar la superficie de exposición en función de las amenazas conocidas, vulnerabilidades de la tecnología y las deficiencias en la implementación.
Para ello, es necesario:
- Determinar y controlar la Superficie de Exposición de los sistemas de la organización haciendo uso de Análisis de Riesgos y el Estudio de los Sistemas.
- Establecer procedimientos de Mejora Continua mediante la Verificación y Auditoría constante de la Implementación de Seguridad.
- Reducir el Tiempo de Respuesta aplicando vigilancia continua con el uso del Cuadros de Mandos.
- Educar al usuario de la tecnología en procedimientos y BUENAS PRÁCTICAS mediante los Planes de capacitación, las guías técnicas de seguridad para crear una cultura de ciberseguridad.
Sección en la que se encuentran todos los datos de contacto del CCN-CERT.
Emails de contacto directo con el personal del CCN destinado a apoyar a los organismos y a resolver dudas.
- Acreditaciones de Seguridad: acreditacion.ccn@cni.es
- Herramienta AMPARO: amparo@ccn-cert.cni.es
- Herramienta CLARA: clara@ccn-cert.cni.es
- Herramienta ROCIO: rocio@ccn-cert.cni.es
- Formación y Capacitación: formacion.ccn@cni.es
Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT.
El grueso de las Series está especialmente dirigido al personal de las Administraciones Públicas y empresas y organizaciones de interés estratégico y otras de difusión pública para todos los usuarios. De igual modo, algunas de las series están clasificadas como Difusión Limitada (DL) o Confidencial (C) y, por tanto, es necesaria su solicitud al CCN-CERT, con la condición imprescindible de estar registrado en la parte privada del portal.
Una de las funciones del CCN es la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC. Dicha función se materializa en las denominadas Guías CCN-STIC, un conjunto de documentos ampliados y actualizados continuamente que se componen de diez series, en función de su temática: políticas, procedimientos, normas, instrucciones técnicas, guías generales, entornos Windows, otros entornos, Esquema Nacional de Seguridad, informes técnicos y procedimientos de empleo seguro.
Series CCN-STIC
- Guías CCN-STIC de acceso público
- 000 Políticas
- 100 Procedimientos
- 200 Normas
- 300 Instrucciones técnicas
- 400 Guías generales
- 500 Entornos Windows
- 600 Otros entornos
- 800 Esquema Nacional de Seguridad
- 900 Informes Técnicos
- 1000 Procedimientos de empleo seguro
- 2000 Organismo de Certificación
- Guías sin soporte
El Centro Criptológico nacional publica Informes de Buenas Prácticas con recomendaciones sobre el uso correcto y la configuración de seguridad adecuada de las tecnologías más utilizadas, para garantizar la seguridad en el empleo de las mismas.
Para lograr un ciberespacio seguro, en el que los riesgos puedan mitigarse hasta un margen asumible, es fundamental concienciar y sensibilizar a la sociedad; pues solo a través de una capacitación continua se pueden prevenir, y tratar de manera oportuna, los incidentes de ciberseguridad.
El CCN ofrece varias modalidades de cursos online en función del perfil del usuario.
Cada semestre el CCN-CERT ofrece acciones formativas en materia de Seguridad de las Tecnologías de la Información y Comunicaciones.
El Plan de Formación del Centro Criptológico Nacional ofrece un amplio programa de cursos formativos, adaptado a las necesidades planteadas por su comunidad de referencia. La oferta formativa del CCN, con un diseño curricular y flexible, se ha elaborado para dar una respuesta eficaz a los retos del siglo XXI.
El Plan de Formación del Centro Criptológico Nacional se ha diseñado atendiendo a la necesidad de capacitar, tanto presencialmente como a distancia, a profesionales cualificados, que disponen de distinto perfil y nivel de formación. Por este motivo, se ha establecido una formación BÁSICA que, a través del Curso STIC, introduce al alumno en el ámbito de la Seguridad de las Tecnologías de la Información y la Comunicación.
VANESA es una solución del CCN-CERT para facilitar la tarea de formación y sensibilización con toda su comunidad de referencia. A través de esta plataforma de retransmisión de vídeo en directo, se pretende reducir los desplazamientos, tanto en los cursos de formación, como en las reuniones de seguimiento de cualquier proyecto.
Garantizar e implantar seguridad en el ciberespacio, al tiempo que se respeta la privacidad y la libertad, se ha convertido en una de las prioridades estratégicas de los países más desarrollados, debido a su impacto directo en la seguridad nacional, en la competitividad de las empresas, y en la prosperidad de la sociedad en su conjunto. El mundo ciber exige un compromiso constante ante la evolución tecnológica y la creciente sofisticación de los ataques.
La adaptación a este escenario implica mejorar las capacidades de prevención y vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Asimismo, requiere de un mayor grado de coordinación y cooperación a nivel nacional e internacional.
El Centro Criptológico Nacional ha realizado una aproximación al desarrollo, implantación y mejora de un esquema general de Ciberseguridad Nacional para facilitar esta tarea
El CCN-CERT tiene entre sus funciones la promoción en nuestro país de la cultura de la ciberseguridad, a través de iniciativas de intercambio de conocimientos entre todos los actores implicados. Para ello acomete un gran número de acciones de información y sensibilización, al tiempo que promueve diferentes Jornadas de ciberseguridad. Del mismo modo, mantiene una fuerte presencia en medios de comunicación y una actividad importante en distintas redes sociales.
La Estrategia Nacional de Ciberseguridad, aprobada el 30 de abril de 2019, desarrolla las previsiones de la Estrategia de Seguridad Nacional de 2017 en el ámbito de la ciberseguridad. Considerando los objetivos generales, el objetivo del ámbito y las líneas de acción establecidas para conseguirlo, el documento se estructura en cinco capítulos:
- El ciberespacio
- Las amenazas y desafíos en el ciberespacio
- Propósito, principios y objetivos para la ciberseguridad
- La ciberseguridad en el Sistema de Seguridad Nacional
El Consejo de Ciberseguridad Nacional es el órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional.
Es el encargado de reforzar las relaciones de coordinación, colaboración y cooperación entre las distintas Administraciones Públicas con competencias en materia de ciberseguridad, así como entre los sectores públicos y privados, y facilita la toma de decisiones del propio Consejo mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional.
La concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación(TIC). Es necesario, por ello, que los usuarios incorporen buenas prácticas en su día a día que protejan la información que manejan en cualquier dispositivo y en todo tipo de aplicaciones o servicios.
Recopilamos en esta sección algunos de los principales consejos que pueden darse a la hora de concienciar y facilitar el uso seguro de las TIC.
La MEJORA CONTINUA permite optimizar progresivamente el estado de la seguridad de los sistemas en base a compromisos e hitos adoptados por todos los actores involucrados.
Si se conocen las potenciales vías de explotación - las vulnerabilidades y deficiencias de configuración de los sistemas, las carencias y potenciales amenazas - es posible predecir el ciberataque y establecer una hoja de ruta para adelantarse al problema y gestionarlo, a priori, ante el menor indicio de materialización.
Se logra complementando la implementación de las medidas de seguridad con un incremento de la vigilancia realizando las siguientes acciones:
- Implementar seguridad y no limitarse a realizar análisis de riesgos y documentación procedimientos.
- Anticiparse y buscar soluciones.
- Mejora basada en cumplimiento de requisitos consensuados.
- Analizar medidas compensatorias.
- Lograr estándares de seguridad acreditables de acuerdo a las inspecciones STIC llevadas a cabo.
- Incluir un Sistema complementario de vigilancia.
Cuadro de Mandos que permite acceder en tiempo real a problemas, localizarlos, reproducirlos y seguir su evolución en el tiempo.
Para facilitar el acceso a la información, el módulo de Inteligencia de ANA ofrece además las siguientes posibilidades:
- Generar dinámicamente informes del estado real de la entidad por departamento, servidor, aplicación o cualquier activo definido.
- Organizar la información proporcionando múltiples vistas/cuadro de mandos a los usuarios.
- Centralizar y normalizar todas las inspecciones de seguridad realizadas.
- Visualizar los eventos de alerta temprana mediante interacción directa y detallada de las incidencias encontradas, permitiendo una notificación oportuna sin dilación indebida.
LUCIA es una herramienta desarrollada por el CCN-CERT para la Gestión de Ciberincidentes en las entidades del ámbito de aplicación del Esquema Nacional de Seguridad. Con ella se pretende mejorar la coordinación entre el CERT Gubernamental Nacional y los distintos organismos y organizaciones con las que colabora.
ANA es una solución desarrollada por el Centro Criptológico Nacional que proporciona un Cuadro de Mando y Estado de seguridad del organismo mediante la navegación por activos.
Es una aplicación para la gestión y evolución de los niveles de exposición a los que se encuentra sometida una entidad. De este modo, proporciona la capacidad de medir estos niveles, ayudando a reducir las probabilidades de aprovechamiento de vulnerabilidades por un agente externo.
Además, permite realizar el seguimiento y evolución de auditorías y pruebas de análisis, así como llevar a cabo el Procedimiento de Mejora Continua:
- Anticiparse y buscar soluciones
- Planificación de auditorías TIC
- Cumplimiento de Plazos
La evolución de la superficie de exposición, ante deficiencias de tipo técnico, humano, procedimental y/o legislativo, hace necesaria la realización de auditorías de forma regular que verifiquen el cumplimiento de los requerimientos establecidos por la política de seguridad del Sistema.
El Centro Criptológico Nacional lleva a cabo inspecciones de seguridad que permiten verificar la seguridad implementada en un Sistema.
El Estudio Simplificado de la Seguridad permite predecir incidencias de seguridad mediante el análisis y profundización de las brechas de seguridad.
Para llevarlo a cabo, se realizan las siguientes acciones:
- Se estructuran y representan sistemas, servicios y activos.
- Gestión de activos tecnológicos y no tecnológicos y generación de alertas sobre el estado de seguridad. Los activos presentan una criticidad en base a su relación con el sistema.
- Integración y hallazgos desde distintas soluciones CCN-CERT.
- Se comprueba el origen del riesgo y se determina la posible mitigación.
AMPARO una solución desarrollada por el Centro Criptológico Nacional para facilitar y agilizar el proceso de cumplimiento de sistemas a través del estudio simplificado de la seguridad. Proporciona asistencia para generar la documentación de seguridad requerida en un sistema y facilita la creación de un análisis de riesgos mediante el uso de modelos predefinidos de riesgo.
Adicionalmente, ofrece la posibilidad de realizar análisis de impacto EIPD simplificados para evaluar la privacidad de los datos alojados en el sistema, todo ello con una interfaz sencilla e intuitiva que reduce la curva de aprendizaje de los usuarios.
ASSI-RGPD es una aplicación que permite, mediante una serie de cuestionarios cuidadosamente confeccionados:
- Mantener un Registro de Actividades de Tratamiento de Datos Personales
- Facilitar el cumplimiento del resto de obligaciones del Reglamento General de Protección de Datos
(RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (LOPD-GDD), incluyendo:
- La realización de análisis de riesgos del tratamiento para los derechos y libertades de las personas físicas
- La evaluación del impacto de las operaciones de tratamiento en la protección de datos personales
El análisis de riesgos es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la Dirección.
Los riesgos, una vez identificados, deberán ser tratados siguiendo alguna de las múltipleas formas que exiten: evitando las circustancias que lo provocan, reduciendo las posibilidades que ocurra, acotar sus consecuencias, compartirlo con otra organizacion, o incluso, aceptando que pueda ocurrir y previendo recursos para actuar cuando sea necesario.
PILAR es una herramienta de Análisis y Gestión de Riesgos, en la que se pueden identificar los riesgos y tratarlos con las propuestas que ofrece
- salvaguardas (o contramedidas)
- normas de seguridad
- procedimientos de seguridad
µPILAR es una herramienta de Análisis y Gestión de Riesgos. µPILAR es PILAR reducida a la mínima expresión para realizar análisis de riesgos muy rápidos.
INES-AR es una herramienta de Análisis de Riesgos basada en PILAR e integrada en INES para realizar análisis de riesgos mediante un asistente y con catálogos específicos al ámbito de su organización.
- Determinar la Superficie de Exposición a amenazas de los sistemas de la organización
- Gestionar y medir de manera continua la implementación de seguridad sobre los activos de la organización respecto estándares de seguridad y riesgos predefinidos.
- Identificar desviaciones de configuración y posibles vulnerabilidades de seguridad ayudando a reducir la superficie de exposición de los activos de la Organización.
- Facilitar la ejecución de inspecciones STIC o Auditorías técnicas de seguridad periódicas, con el objetivo de acreditar una conformidad con la normativa vigente
- Auditoría de seguridad sobre configuraciones de equipos de comunicaciones.
- Solución para la automatización de las tareas básicas de auditoría de seguridad sobre equipos de comunicaciones: enrutadores, conmutadores y cortafuegos para verificar el nivel de seguridad de dichos equipos.
- Elabora estadísticas y un histórico de uso.
- Genera informes de evolución del estado de seguridad de los elementos de comunicaciones del sistema.
- Facilita la creación de configuraciones que cumplan las diferentes políticas de seguridad y normativas.
- Solución para la automatización del proceso de análisis de seguridad de los sistemas de la Organización
- Verificación del cumplimiento de estándares y normativas vigentes
- Interfaz intuitiva y personalizable
- Adaptación a diferentes entornos y entidades
- Resultados fiables y facilidades para el análisis y la interpretación
- Generación automática de informes
- Cuadro de mandos con presentación de resultados
- Solución de seguridad para redes corporativas (tanto IT como OT) que permite a las organizaciones tener de manera centralizada la visibilidad, contexto, control y verificación del nivel de seguridad de todos los activos que se conectan a la red (Wifi, Cableada y VPN), desde dispositivos de usuarios a electrónica de red.
- Disminuye el riesgo y el impacto de los ataques disruptivos y responde ante requisitos regulatorios.
- Su capacidad puede incrementarse conforme madura la postura de seguridad de la Organización.
- Agregación de datos sobre activos, dispositivos, usuarios, eventos, accesos etc.