En Enero de este mismo año, el Gobierno de España aprobó una guía nacional de notificación y gestión de ciberincidentes.
Dicha guía es una referencia de mínimos en el que toda entidad, encuentre un esquema y la orientación precisa acerca de a quién y cómo debe reportar un incidente de ciberseguridad.
¿A quíen debemos notificar?
Tenemos a nuestra diposición una serie de organismos de referencia, en los cuales se fundamenta la capacidad de respuesta a incidentes de Ciberseguridad (CSIRT) del Gobierno de España:
- CCN-CERT, del Centro Criptológico Nacional del Centro Nacional de Inteligencia, con un ámbito competencial en el Sector Público local, autonómico y nacional.
- INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, con un ámbito competencial en los ciudadanos, empresas, operadores de servicios esenciales e instituciones afiliadas a RedIRIS, la red académica y de investigación española. INCIBE-CERT será operado conjuntamente por INCIBE y el CNPIC en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos.
- CNPIC, Centro Nacional de Protección de Infraestructuras y Ciberseguridad, con un ámbito competencial en las infraestructuras críticas y operadores críticos, cuyas capacidades de respuesta técnica se materializan a través de los CSIRT de referencia. Es asimismo autoridad competente para aquellos operadores de servicios esenciales que son además críticos, siendo en ese caso la Oficina de Coordinación Cibernética la responsable de coordinar las actividades de los CSIRT de referencia.
- ESPDEF-CERT del Mando Conjunto de Ciberdefensa, con un ámbito competencial en las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional, apoyando a los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.
En la guía se explica detalladamente como debemos reportar el incidente a cada una de estas instituciones.
La guía contiene 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, y acompañados por descripciones y ejemplos prácticos.