“El Sistema PIC se basa en el concepto de colaboración público-privada”

“Es imprescindible hacer llegar a los ciudadanos la cultura de ciberseguridad, y su incorporación en su vida y conducta diaria”, señala Fernando J. Sánchez, director del Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad, quien además explica a Cuadernos de Seguridad los retos de futuro del CNPIC, así como, bajo su visión profesional, el nivel de implantación de la cultura de ciberseguridad en el entramado empresarial español, entre otros aspectos.

Fernando Sánchez. Director del CNPIC Sistema PIC
Fernando Sánchez. Director del CNPIC

—Con más de 10 años de andadura el CNPIC ha ido potenciando sus capacidades logísticas y profesionales, actualizando planes, creando órganos, etc. ¿Qué retos de futuro se plantean actualmente?

—A lo largo de los últimos años el CNPIC ha conseguido realizar importantes avances en lo que respecta al desarrollo e implantación del Sistema de Protección de Infraestructuras Críticas emanado de la Ley 8/2011. Íntimamente ligada a éste, se ha identificado a la ciberseguridad como uno de los procesos clave para garantizar la seguridad nacional y, en consecuencia, a partir de la Estrategia de Ciberseguridad Nacional, nuestro país ha dado numerosos e importantes pasos en este sentido. En todo este esquema, el CNPIC está apoyando al Ministerio del Interior a ser una de sus piezas centrales, contribuyendo a edificar y a coordinar un complejo escenario que es parte integrante de un nuevo modelo de seguridad, que está rápidamente evolucionando como consecuencia del cambio tecnológico de la sociedad y de las nuevas tipologías de amenazas a las que nos enfrentamos.

La culminación del proceso de cambio a este nuevo modelo de seguridad, que debe estar adaptado a las necesidades actuales de nuestra sociedad, y donde el Ministerio del Interior está llamado a ser, o a continuar siendo, un actor principal, debe producirse en los próximos años; por una parte, con la implantación definitiva del Sistema de Protección de Infraestructuras Críticas, que conlleva la finalización del proceso de planificación y la puesta en funcionamiento del sistema de control del proceso; y, por otra parte, con la configuración de una Estructura Nacional de Ciberseguridad, donde el Ministerio del Interior tenga el protagonismo y liderazgo que por competencias merece.

La tecnificación de nuestras estructuras organizativas, con la emisión de una norma de certificación PIC, la actualización de la normativa sobre PIC y el aumento de capacidades técnicas, materiales y humanas, son algunos de los pasos que debemos dar en un futuro próximo, una vez que nuestras misiones han ido evolucionando y el propio Centro ha ido adquiriendo mayores responsabilidades.

—Hace más de un año, la Directiva NIS se traspuso al ordenamiento jurídico español a través del Real Decreto-Ley 12//2018 de Seguridad de las Redes y Sistemas de Información. ¿Cómo se está llevando a cabo la adaptación de la normativa en relación a las Infraestructuras Críticas?

—Como ya es conocido el Ministerio del Interior, a través del CNPIC, ha tenido una participación muy activa en el Grupo de trabajo (liderado por MINECO) que transpuso la Directiva 2016/1148/UE, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS). Ello fue materializado finalmente con la aprobación del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, y se está actualmente finalizando el proyecto de reglamento de desarrollo de dicho RDL.

A día de hoy, existen más de 170 operadores de servicios esenciales identificados (mandato del RDL) que a su vez son ya operadores críticos, de todos los cuales la autoridad competente para su seguridad cibernética es la Secretaría de Estado de Seguridad, del Ministerio del Interior.

El procedimiento de identificación seguido por España, a partir del modelo de protección de infraestructuras críticas, ha hecho posible la transposición de la Directiva NIS de una manera rápida y sencilla al haberse utilizado los mismos procedimientos y el conocimiento acumulado. España es en esto una referencia internacional. Tanto es así que ENISA (Agencia de la Unión Europea para la Seguridad de las Redes y de la Información) se ha mostrado especialmente interesada en la metodología utilizada por nuestro país para la identificación de los Operadores de Servicios Esenciales, con la intención de que sirva como base para la elaboración de una metodología europea.

—Durante estos últimos años se han ido aprobando los planes estratégicos de diferentes sectores: Energía, Transportes, Alimentación, Agua, Salud…. ¿Cuándo está previsto que se aprueben los dos últimos: Sector de la Administración y de la Investigación?

—Esperamos que el sector de la Investigación esté finalizado a lo largo de este otoño. Para el sector de la Administración habrá que esperar hasta 2020. En todo caso, nos hallamos ya muy próximos a completar el Sistema.

—El pasado mes de febrero el Consejo de Ciberseguridad Nacional aprobó la Guía de Notificación de Incidentes de Ciberseguridad, en la que se recoge un apartado concreto a las IC, ¿cuáles son el objetivo, contenidos y elementos clave de este documento?

La Guía Nacional de Notificación y Gestión de Ciberincidentes es un documento técnico que establece una referencia en el ámbito de la notificación y gestión de incidentes de ciberseguridad en territorio español. Proporciona a los Responsables de seguridad de la Información directrices para reportar incidentes de ciberseguridad en las administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-ley 12/2018 sobre Seguridad de las Redes y Sistemas de Información.

La Guía, que consta de ocho capítulos y cuatro anexos, establece un detallado esquema de notificación a partir de una serie de criterios de impacto recogidos en el documento, y cataloga los incidentes en cinco niveles de peligrosidad: crítico, muy alto, alto, medio y bajo. Como uno de sus principales avances, plantea un sistema de «ventanilla única» para la notificación de estos incidentes, con el propósito de aumentar la eficiencia en el tratamiento de la información y optimizar los resultados.

El aspecto más innovador de la Guía es la presentación de una clasificación única de incidentes, en un ejercicio de concreción técnica, colaboración público-privada y coordinación entre múltiples actores. Concretamente, el documento relaciona 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberincidente.

Sobre este marco común, la Guía posibilita la existencia de otros casos especiales, en función de la existencia de normas jurídicas que puedan exigir un esfuerzo extra a las organizaciones dentro de su ámbito de aplicación. Es el caso de aquellos operadores designados como «críticos» en aplicación de la Ley 8/2011, PIC, a quienes se añaden una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar, o ventana temporal de reporte.

Esta Guía integra todos los aspectos comunes requeridos técnicamente por los CSIRT nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas.

Este documento es la base de la futura Instrucción de Notificación de Incidentes de Ciberseguridad que aprobará el reglamento de desarrollo del RDL 12/2018 en las próximas fechas, y que será de obligado cumplimiento para todos los operadores de servicios esenciales, y documento de referencia para el resto de actores que quieran notificar un ciberincidente en España.

Por el momento, la guía es precisamente eso, una referencia que ha sido adelantada a la comunidad cibernética española para que vayan acostumbrándose a su uso (no hay que olvidar que en su confección participaron activamente muchos operadores), y que constituye un caso de éxito a nivel internacional, al ser la primera de su clase en Europa.

—¿Adolecen las empresas españolas de una cultura de ciberseguridad?

—Esta pregunta se relaciona directamente con la anterior. Aun reconociendo avances muy importantes en los últimos años, son pocos todavía quienes consideran que la ciberseguridad no es tan sólo un asunto de tecnología que se deba abordar exclusivamente desde la tecnología, sino que afecta a todos los procesos de gestión de una organización (si estamos hablando de Empresa, afecta a todos los procesos de negocio). Y, en vocabulario de Empresa, es el negocio el que debe comprender qué riesgos entraña el uso de las tecnologías. Esto sólo puede hacerse desde una perspectiva holística, donde lo que prime en el término ciberseguridad no sea su prefijo (ciber), sino su sustantivo (seguridad); puesto que no debe olvidarse nunca que la ciberseguridad no es más que una parte de la SEGURIDAD, con mayúsculas.

La ciberseguridad no es una cuestión técnica, no solamente es cuestión de hackers, o de expertos informáticos, y por supuesto no se resuelve instalando el último antivirus, o firewall, o el sistema más sofisticado de inteligencia artificial; todo esto es únicamente una parte, muy importante, sin duda, pero al fin y al cabo una parte más de un sistema que debe ser integral.

Estamos hablando de un riesgo de sistema (en el caso de la Empresa, insisto, hablaríamos de riesgo de negocio), y como riesgo de sistema debe por tanto entenderse y abordarse, adoptando una visión holística y como parte de una estrategia integral de seguridad. Cuando nuestras empresas asuman esto como algo natural podremos decir que existe una verdadera cultura de ciberseguridad.

—¿Cree que los ciudadanos y la sociedad en general perciben el alcance de estos ciberriesgos?

—Según el informe del Foro Económico Mundial sobre Riesgos Globales 2018, por orden de importancia, los ciberataques aparecen como la tercera amenaza más probable, y como la sexta con efectos potenciales más negativos, tan sólo tras amenazas tan graves para la propia humanidad como son las armas de destrucción masiva, los eventos climatológicos extremos, las catástrofes naturales, el cambio climático o las crisis de agua. Esto da idea de la dimensión del problema al que nos enfrentamos.

Es evidente que esta situación no trasciende al ciudadano medio, y tampoco creo que sea buena idea crear un estado de alarma social que no tendría ningún efecto positivo.

Lo que sí es una realidad es que, por ejemplo, los ciberdelitos conocidos por las FCSE ascendieron a más de 110.000 en 2018, y de estos, el 80% se correspondieron con casos de fraude, del cual la principal víctima es precisamente el ciudadano de a pie.

Es imprescindible, en definitiva, hacer llegar a los ciudadanos esa cultura de ciberseguridad de la que hablábamos hace unos momentos para que vean que, sin dramatizar en exceso, la incorporación de la ciberseguridad en su vida y conducta diaria es tan importante como en su día lo fue la seguridad vial o las precauciones que cada uno toma para evitar robos y asaltos a sus domicilios.

Aquí la entrevista completa