La nueva guía de ciberseguridad: conceptos básicos de un documento fundamental

La nueva guía de ciberseguridadEl día 9 de enero de este mismo año, el Consejo Nacional de Ciberseguridad del Departamento Nacional de Seguridad del Gabinete de la Presidencia del Gobierno, aprobó un documento de importancia crucial para ejercer de orientador para nuestra seguridad informática. Se trata de la Guía Nacional de Notificación y Gestión de Ciberincidentes.

El objetivo es proporcionar un manual eficaz de gestión de ciberincidentes a todos los que operan online con las Administraciones Públicas y a todos los actores implicados por el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Estos sujetos afectados son:

  • Los servicios esenciales dependientes de las redes y sistemas de información de los sectores estratégicos de la economía: Administración, Espacio, Industria Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la Información y de las Comunicaciones (TIC), Transporte, Alimentación, y Sistema Financiero y Tributario. Estos sectores, de importancia primordial para la economía nacional, se hallan bajo el paraguas común de una ley especial de seguridad: la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Se trata, así, de proteger aquellas estructuras económicas, que, de verse, gravemente comprometidas o colapsadas por un atentado (incluido un ciberatentado) pueden arrastrar consigo la seguridad y estabilidad de todo el país.
  • Los proveedores de servicios digitales con sede social en España y establecimiento en la Unión Europea.

Sin embargo, aquellos que no sean considerados operadores críticos (es decir, englobados en los sectores económicos estratégicos) según la Ley 8/2011, no serán objeto de aplicación de ese Real Decreto-ley.

Tampoco se verán afectados los proveedores de servicios digitales, cuando se trate de microempresas o pymes, según las definiciones de la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

Una guía útil para todos

Como puede apreciarse, la importancia de la Guía Nacional de Notificación y Gestión de Ciberincidentes es fundamental para aquellos que trabajan con los sectores esenciales o estratégicos de la economía del país. Estos sectores, tal como hemos visto, abarcan un amplísimo espectro de actividades. Todo ello se encuadra dentro de la Estrategia Nacional de Ciberseguridad desarrollada por nuestro país desde 2013.

Sin embargo, en realidad también el resto de empresas, operadores y proveedores, que han de trabajar diariamente con sistemas informáticos e Internet, pueden encontrar esta guía extremadamente útil. Y así se afirma en la propia Introducción de la Guía: “este documento se consolida como una referencia de mínimos en el que toda entidad, pública o privada, ciudadano u organismo, encuentre un esquema y la orientación precisa acerca de a quién y cómo debe reportar un incidente de ciberseguridad acaecido en el seno de su ámbito de influencia.”

La Guía está disponible online en pdf, y puede ser consultada gratuitamente por todo el que lo desee.

La Guía se dirige especialmente a determinados profesionales y cargos de las empresas e instituciones:

  • Responsables delegados de Seguridad de la Información.
  • Equipos de respuesta a ciberincidentes internos a la organización de que se trate, y los llamados equipos CSIRT (Computer Security Incident Response Team).
  • Administradores de Sistemas de Información y/o Comunicación.
  • Personal de Seguridad.
  • Personal de apoyo técnico.
  • Gestores de ciberseguridad.

Clasificación de ciberincidentes en la Guía

La Guía ha establecido una rica clasificación de ciberincidentes, para poder identificarlos y afrontarlos adecuadamente. Hay 10 tipologías esenciales:

  1. Contenido abusivo: spam, delito de odio (ciberacoso, racismo, amenazas a personas o colectivos), pornografía infantil, contenido sexual o violento, apología de la violencia.
  2. Contenido dañino: infección con malware, conexión con servidor de Mando y Control mediante malware,
  3. Obtención de información: alojamiento de ficheros de malware (por ejemplo, ataque de webinject mediante troyano), malware de dominio DGA (mediante Algoritmo de Generación de Dominio, para conectar con un servidor de Mando y Control), escaneo de redes o scanning (para detectar determinadas debilidades de un sistema, encontrar información de cuentas, alojamientos o servicios), análisis de paquetes o sniffing (observación y grabación del tráfico de redes), ingeniería social (recopilación de información mediante sobornos, chantaje, amenazas, etc).
  4. Intento de intrusión: explotación de vulnerabilidades conocidas, intento de acceso con vulneración de credenciales, ataque desconocido (empleando un exploit desconocido).
  5. Intrusión: compromiso de cuenta con privilegios (una cuenta resulta comprometida por el intruso, y este posee privilegios al respecto), compromiso de cuenta sin privilegios, compromiso de aplicaciones.
  6. Disponibilidad: robo (intrusión física, por ejemplo, en un Centro de Proceso de Datos), ataque de denegación de servicio (envío de peticiones a una aplicación que provoca la interrupción o ralentización de la prestación del servicio), ataque de denegación distribuida de servicio, sabotaje (el cometido físicamente: corte de cableados, incendios provocados, etc),
  7. Compromiso de la información: interrupciones por causas ajenas, acceso no autorizado a información, modificación no autorizada de información por parte de un atacante, pérdida de datos (por fallo de disco duro o robo físico).
  8. Fraude: uso no autorizado de recursos (por ejemplo, del correo electrónico ajeno para fines fraudulentos), ofrecimiento o instalación de software sin licencia para ello o de otro material protegido por derechos de autor, suplantación de una entidad por otra,
  9. Vulnerable: Phishing (suplantación de una entidad para conseguir las credenciales privadas de una determinada persona), criptografía débil, amplificador DDoS (servicios accesibles públicamente que puedan servir para amplificar ataques de denegación de servicio), servicios con acceso potencial no deseado, revelación de información (acceso público a servicios en los que potencialmente pueda revelarse información sensible), sistema vulnerable (mala configuración de proxy en el cliente –WPAD-, versiones desfasadas del sistema).
  10.  Otros: todo aquel incidente que no tenga cabida en ninguna de las categorías anteriores, y también: APT (ataques contra organizaciones concretas, sustentados en el anonimato, y empleando métodos, a menudo de ingeniería social), ciberterrorismo (uso de redes o de sistemas de información con fines de carácter terrorista), daños informáticos PIC (borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica, y también conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial).

Niveles de peligrosidad

Asimismo, cada ciberincidente previamente clasificado posee un nivel de peligrosidad que también queda claramente delimitado en la Guía:

  • Bajo: contenido abusivo (spam), obtención de información (scanning y sniffing), intrusión (sólo el compromiso de cuenta sin privilegios), y otros.
  • Medio: contenido abusivo (sólo discurso de odio), obtención de información por ingeniería social, intento de intrusión (excepto compromiso de aplicaciones), intrusión, fraude (de derechos de autor y de suplantación) y vulnerable.
  • Alto: contenido abusivo (pornografía infantil, contenido sexual o violento inadecuado), código dañino, intento de intrusión (por compromiso de aplicaciones), disponibilidad, compromiso de información y fraude (sólo phishing).
  • Muy alto: Código dañino (configuración y distribución de malware), intento de intrusión por ataque desconocido, intrusión por robo y sabotaje, interrupciones.
  • Crítico: Otros (APT, ciberterrorismo, daños informáticos PIC).

La importancia de un buen certificado de seguridad

Un certificado de seguridad homologado es fundamental como garantía de que podremos afrontar las ciberamenazas y no nos vamos a convertir en vehículo de ellas.

Así por ejemplo, All Cloud Consulting gestiona la adquisición y asesora sobre los estándares y certificados de calidad internacionales, como la certificación ISO 27001. Se trata de un certificado que aporta orientaciones sobre el uso, objetivos, y formas de gestión de la información de la manera más segura posible.

Como hemos visto, los compromisos de información y la pérdida de esta por culpa de ciberataques son fenómenos harto frecuentes, y toda empresa debe contar con un buen escudo para proteger sus intereses. La información es el nuevo petróleo, como se dice a menudo en estos tiempos de la revolución digital o Revolución Industrial 4.0.

El ISO 27001 es de alta utilidad para la minimización de riesgos, la planificación del control, y para asegurar la información en poder de la empresa. Este certificado comporta múltiples beneficios:

  • Incorpora medidas de control para garantizar la seguridad de la información de una empresa.
  • Protege la imagen corporativa y la reputación de la empresa.
  • Permite detectar de manera rápida y oportuna las debilidades y brechas en la seguridad de la empresa.
  • Es útil para concienciar a los empleados de la elevada importancia de la información en una empresa.
  • Permite actuar con toda normalidad y eficiencia ante las ciberincidencias que se puedan producir.
  • Proporciona un mayor grado de competitividad y un mejor posicionamiento en el mercado internacional. También facilita el que la empresa destaque entre la competencia, y le confiere evidentes ventajas con respecto a esta.
  • Permite cumplir de manera constante la legislación de ciberseguridad de cada país.

Es necesario proteger algo tan valioso como es a día de hoy la información. Gracias a las orientaciones de la nueva Guía y al trabajo de diagnóstico, diseño de implantación e implantación personalizada –según los problemas específicos de cada empresa- de un certificado internacional por parte de una compañía con conocimiento y experiencia, es fácil conseguir un buen sistema de seguridad.

 

Comparte esta información: Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *