El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas preventivas, reactivas y de gestión de la seguridad con el objetivo de mitigar el riesgo de ataques contra las redes y sistemas de la comunidad a la que se proporciona el servicio y ofrecer soluciones para la mitigación de cualquier incidente y sus efectos, en el menor tiempo posible. También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team) y tiene muchas similitudes con el Centro de Operaciones de Seguridad (SOC, en inglés).
El primer CERT se creó en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada y que autorizó al CCN-CERT a utilizarla), y desde entonces han ido creándose este tipo de Equipos en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc.).
Asimismo, han ido surgiendo distintos foros y organizaciones que coordinan a los diferentes CSIRTs de todo el mundo, compartiendo información sobre vulnerabilidades y ataques a nivel global y divulgando medidas tecnológicas que mitiguen el riesgo de ataques a sistemas y usuarios conectados a Internet, que dan servicio a sus respectivas comunidades.
Entre estas organizaciones, destacan el FIRST (Forum of Incident Response and Security Teams), con miembros de todo el mundo; y, a nivel europeo, el Trusted Introducer de TERENA (Asociación Transeuropea de Investigación y Educación de Redes) y el EGC Group (European Government CERTs) que reúne a los principales CERTs gubernamentales en Europa. El CCN-CERT es miembro de pleno derecho de estos tres foros.
Es la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia. Sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad.
Del mismo modo, la Estrategia de Ciberseguridad Nacional confiere al CCN-CERT un papel central en el desarrollo de su Línea de Acción 2: Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas, como actor imprescindible en la garantía de la plena implantación del ENS, mediante el refuerzo de las capacidades de inteligencia, detección, análisis y respuesta del CCN-CERT y de sus Sistemas de Detección y Alerta Temprana.
El CCN-CERT, en un primer momento, fijó su actividad en los sistemas de las distintas Administraciones (general, autonómica y local) para, posteriormente, ampliar esta responsabilidad a los ciberataques sobre sistemas de empresas pertenecientes a sectores de interés estratégico para la seguridad nacional y para el conjunto de la economía del país.
El CCN-CERT y el Centro Criptológico Nacional han venido estableciendo las necesarias relaciones y firmado los acuerdos pertinentes, tanto en el ámbito nacional como en el internacional, para el óptimo desempeño de todas sus funciones.
En el año 2006, en el seno del Centro Criptológico Nacional, y ante la necesidad de incrementar las capacidades de prevención, detección, análisis, respuesta y coordinación ante las ciberamenazas sufridas por las Administraciones Públicas y los sistemas clasificados.
¿Cuál es la misión de CCN-CERT?
El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país (aquellos que son esenciales para la seguridad nacional y para el conjunto de la economía española).
Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.
Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, evitando la interrupción de servicios, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin.
¿Qué servicios ofrece CCN-CERT?
Todos aquellos recogidos en la distinta normativa y los que el estado de la ciberseguridad requiere en cada momento, con una constante actualización en función de las nuevas amenazas y los riesgos emergentes.
+ información: Servicios CCN-CERT
¿A qué Comunidad ofrece sus servicios CCN-CERT?
Administraciones Públicas, sistemas clasificados y empresas de interés estratégico para el país. No obstante buena parte de sus servicios (formación, informes, guías, herramientas, etc.) están publicados en este portal y son de libre disposición para cualquier persona.
¿Por qué es necesario notificar un incidente?
Incluso la mejor infraestructura de seguridad no puede garantizar que una intrusión no acabe por afectar a un equipo. De hecho, cuando se produce cualquier incidente de seguridad o ciberincidente es crítico para una organización contar con un protocolo eficaz de respuesta que ayude a los equipos de seguridad responsables a minimizar la pérdida o exfiltración de información o la interrupción de los servicios. La velocidad con la cual se reconozca, analice y responda a este incidente limitará el daño y bajará el coste de la recuperación.
La capacidad del CCN-CERT de coordinar e intercambiar información con los organismos adecuados puede fortalecer la capacidad de la organización para responder con eficacia a los ciberincidentes. Del mismo modo, se puede requerir el uso de herramientas que pueden no estar disponibles para un solo organismo, sobre todo si se trata de un organismo pequeño o mediano y sí del CERT Gubernamental Nacional.
Otro de sus beneficios es la posibilidad de utilizar la información obtenida durante la gestión del ciberincidente para preparar mejor la respuesta a incidentes de seguridad futuros y, en su consecuencia, proporcionar una mayor y mejor protección a los sistemas.
En este portal se pueden obtener las directrices para notificar incidentes al CCN-CERT, que podrá proporcionarle asistencia técnica para responder al mismo o le pondrá en contacto con otros sitios involucrados en el mismo incidente.
¿Se mantienen la confidencialidad de la información aportada al CCN-CERT?
Sí. La política del CCN-CERT es mantener siempre la confidencialidad sobre cualquier información específica del organismo u organización solicitante de ayuda. De hecho, la relación de este equipo con el resto de organizaciones será siempre de colaboración, salvo en el caso de la información clasificada, que se actuará de oficio.
¿Cuáles son los incidentes prioritarios para CCN-CERT?
- Incidentes que afecten a información clasificada
- Ciberespionaje: APTs, campañas de malware, incidentes especiales
- Interrupción de los Servicios IT
- Exfiltración de datos
- Existencia de algún servicio comprometido
- Toma de control de algún sistema
- Robo y publicación o venta de información sustraído
- Ciberdelito
- Suplantación de identidad
+ Información: Guía CCN-STIC 817
¿Hay incidentes de obligada notificación al CCN-CERT?
Sí. Las Administraciones Públicas y en virtud del cumplimiento del Esquema Nacional de Seguridad, deben notificar al CCN-CERT todos aquellos incidentes que sean catalogados con un nivel de peligrosidad de Alto, Muy Alto y Crítico.
+ Información: Guía CCN-STIC 817
¿Cuáles son los acuerdos y colaboraciones nacionales del CCN-CERT?
En el plano nacional, el CCN-CERT es miembro o colabora con:
◦ Coordinador del grupo que elaboró la Estrategia Nacional de Ciberseguridad
◦ Ministerio de Hacienda y Administraciones Públicas
- Subdirección General del Comité Ejecutivo de la Comisión de Estrategia TIC, encargada de impulsar la transformación digital de la Administración de acuerdo a una Estrategia común en el ámbito de las TIC.
- Acuerdo y colaboración con el Instituto Nacional de Administración Pública (INAP) y secretaría de Estado para la Función Pública para impulsar la seguridad en el ámbito de la Administración Electrónica. En dicho acuerdo se contempla el desarrollo del Esquema Nacional de Seguridad.
- Grupos de trabajo sobre comunicaciones electrónicas seguras; transposición de la directiva europea de medios de pago (SEPA), identificación y autenticación y servicios WEB de la Administración.
- Grupo de Trabajo del Esquema Nacional Seguridad
- Grupo de Trabajo de Seguridad del Comité Sectorial de la Administración Electrónica (CCAA)
◦ Ministerio de Defensa
◦ Ministerio de Industria Turismo y Comercio
- Grupos de trabajo de los proyecto Rescata, Seguridad y Confianza, usabilidad del DNIe
◦ Ministerio del Interior
- Grupo de Trabajo sobre DNI electrónico con la Dirección General de la Policía
- Grupo de Trabajo de Infraestructuras Críticas con la Secretaría de Estado de Seguridad
◦ Federación Española de Municipios y Provincias
- Acuerdo de colaboración en materia de seguridad de la Información en los entidades locales
◦ Junta de Castilla y León: apoyo a su Centro de Operaciones de Seguridad.
◦ Generalitat Valenciana. Convenio firmado y apoyo al CSIRT-CV.
◦ Generalitat de Catalunya: Firma de convenio de colaboración y apoyo al Centro de Seguridad: CESICAT.
◦ Junta de Andalucía: Convenio de colaboración para el Impulso de la Sociedad de la Información y apoyo al AndalucíaCERT.
◦ Otras Comunidades Autónomas y Ayuntamientos (Adhesión al Servicio de Alerta Temprana, SAT, del CCN-CERT).
◦ Miembro de CSIRTes: grupo de trabajo CERT nacionales
◦ AENOR: Subcomités de seguridad TIC e identificación biométrica
◦ Foro ABUSES Grupo de Trabajo con Proveedores de Servicio de Internet (ISP)
¿En qué foros internacionales participa CCN-CERT?
El CCN-CERT participa en las siguientes reuniones y grupos de trabajo internacionales:
• NCIRC de la OTAN (NATO Computer Incident Response Capability), en las que los distintos CERTs de los países miembros de esta Organización analizan y comparten información sobre seguridad de la información.
• Agencia Europea de la Seguridad de las Redes y la Información (ENISA -European Network & Information Security Agency-) de la Unión Europea.
• APWG (Anti-Phishing Working Group), un programa del Consejo de Europa enfocado a eliminar todo tipo fraude y robo de identidad a través del phishing, pharming o correos fantasmas.
• Fórum de Respuesta a Incidentes y Equipos de Seguridad Informática, FIRST (Forum of Incident Response and Security Teams), la primera y más importante de las organizaciones internacionales existentes, con miembros de Europa, América, Asia y Oceanía, procedentes del entorno gubernamental, económico, educativo, empresarial y financiero.
• Trusted Introducer, principal foro europeo de CERTs en el que colaboran, innovan y comparten información los CERTs más destacados del continente, y que forma parte de TERENA, la Asociación Transeuropea de Investigación y Educación de Redes.
• EGC (European Government CERTs) group. Organización que reúne a los principales CERTs gubernamentales en Europa.
En estos foros se comparten objetivos, ideas e información sobre vulnerabilidades y ataques a nivel global.
Asimismo, esta presencia permite al CCN-CERT mantener un contacto directo con otros equipos del resto del mundo para, en caso de ataque, asegurarse de qué fuentes de información son fiables, así como para divulgar medidas tecnológicas que mitiguen el riesgo de ataques a sistemas y usuarios conectados a Internet, que dan servicio a sus respectivas comunidades.