Creada hace tres años como enlace entre los CSIRTS y la Secretaría de Estado de Seguridad, la Oficina de Coordinación Cibernética (OCC) realiza una labor fundamental en la protección de infraestructuras críticas. Su responsable, Miguel Ángel Abad, repasa la labor de este organismo y defiende la importancia de la formación como clave para luchar contra las amenazas y vulnerabilidades.
—Más de tres años después de la puesta en marcha de la Oficina de Coordinación Cibernética (OCC), ¿qué papel cumple este organismo a la hora de coordinar y evaluar la seguridad en las infraestructuras críticas?
—La Oficina de Coordinación Cibernética se creó con vocación de servir de canal específico de comunicación entre los Centros de Respuesta a Incidentes Cibernéticos (CSIRTS) nacionales de referencia y la Secretaría de Estado de Seguridad (SES) desempeñando además la coordinación técnica en materia de ciberseguridad entre la SES y sus organismos dependientes, especialmente con las Fuerzas y Cuerpos de Seguridad del Estado.
Un año después vio ampliadas sus competencias al ser identificada la OCC como punto de contacto nacional de coordinación operativa para el intercambio de información con la Comisión Europea y los Estados Miembros en el marco de lo establecido en la Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información.
De este modo, la OCC se afianzó como órgano de referencia en materia de coordinación de ciberseguridad a nivel interno (Secretaría de Estado de Seguridad y órganos dependientes), y a nivel externo en lo que se refiere a las necesarias relaciones con otros organismos tanto del sector público como del sector privado.
Entre estos últimos, cabe destacar la potenciación de las relaciones con los operadores críticos nacionales (alrededor de 150 de 12 sectores estratégicos), con los que se trabaja de manera permanente para garantizar la seguridad y la provisión de servicios esenciales a la sociedad.
La materialización de esta relación con los operadores de infraestructuras críticas se refleja de manera específica en la gestión de incidentes de ciberseguridad, desde un punto de vista técnico, con las capacidades de CSIRT, y desde un punto de vista institucional y normativo, con la valoración del impacto y, llegado el caso, la activación de los mecanismos previstos en la Ley PIC.
Sin embargo, si bien la gestión de incidentes de ciberseguridad ocupa buena parte de las capacidades de la OCC, los operadores ven en esta Oficina una herramienta preventiva, por ejemplo, mediante la difusión de informes y comunicaciones sobre amenazas, y otras acciones que cubren todo el espectro de la ciberseguridad, mediante las convocatorias de ciberejercicios, evaluaciones de madurez o un próximo programa de certificación PIC para operadores críticos.
–¿Cuáles son los incidentes que más habitualmente se atienden desde la OCC y cuál es el protocolo para tratarlo?
—Según su taxonomía, los incidentes que más se atienden en esta OCC son programas maliciosos, seguidos de vulnerabilidades, obtenciones de información y ataques contra la disponibilidad de los servicios.
El procedimiento de cara al operador crítico es muy simple, basta con que notifique que está teniendo un incidente de ciberseguridad a través del medio previamente acordado. De esta manera y en función de la titularidad del operador (si es público verá su apoyo plasmado en el CCN-CERT y si es privado en el CERTSI), la OCC realiza el seguimiento y la evaluación del impacto del incidente.
Una vez restablecido el servicio, en caso de haber sido afectado, es el momento de analizar el incidente en profundidad para obtener información de cara a que éste no vuelva a darse mediante la difusión de los datos necesarios entre la comunidad PIC para prevenirlo.
Lea la entrevista íntegra en Cuadernos de Seguridad.
