CCN: promover la cultura en ciberseguridad

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha publicado su Memoria de Actividades 2019, en la que recoge todas las acciones llevadas a cabo a lo largo de este periodo en materia de ciberseguridad y promoción y desarrollo de productos de seguridad TIC, así como todas aquellas iniciativas encaminadas a la adopción de buenas prácticas y formación de los usuarios.

CCN

En el documento se hace balance de un año muy especial, pues en 2019 el CCN celebró su decimoquinto aniversario, el tiempo transcurrido desde la publicación en el Boletín Oficial del Estado (BOE) del Real Decreto 421/2004, de 12 de marzo, que regulaba este Organismo. Y desde entonces, el CCN «siempre ha tenido el firme propósito de fortalecer la ciberseguridad nacional, promoviendo el desarrollo, certificación y uso de productos y tecnologías seguras y velando por la protección de la información clasificada», tal como señala en la carta introductoria la Secretaria de Estado Directora del CNI, Paz Esteban López.

En este sentido, de especial interés ha sido la labor realizada por el CCN para promover la cultura en ciberseguridad, reforzando y ampliando sus iniciativas de concienciación y sensibilización. Ejemplo de ello fue la publicación de seis nuevos Informes de Buenas Prácticas  y la incorporación en su portal web de una nueva sección: «Ciberconsejos», dedicada a recomendaciones para prevenir y detectar contratiempos en la utilización diaria de las nuevas tecnologías.

Hasta un total de ocho «ciberconsejos» en forma de informes, infografías y píldoras multimedia se publicaron a lo largo de este año, distribuidos en cuatro subsecciones (Amenazas, Desinformación, Redes Sociales y Empleo de la tecnología), sobre temas tan relevantes como cryptojacking, phishing o seguridad en perfiles corporativos. Todas ellas gozaron de una gran acogida por parte de los usuarios, con un gran índice de visualizaciones y más de 7.000 descargas.

En línea con este objetivo, el CCN ha continuado desarrollando su misión por formar a los usuarios. De este modo, en el Informe quedan reflejadas las principales acciones formativas que se impartieron, en las que destacan sus Cursos STIC, que durante 2019 contaron con un total de 600 alumnos. Del mismo modo, más de 4.000 usuarios se inscribieron a los cursos online que se organizaron a través de VANESA, la plataforma de streaming del CCN.

Otra de las principales labores realizadas por el Organismo son las auditorías de seguridad, las cuales son llevadas a cabo por su Capacidad de Respuesta a incidentes de Seguridad de la Información (CCN-CERT) mediante el uso de metodologías reconocidas. Y durante este periodo, ha sido capaz de gestionar y medir de manera continua la evolución de los activos auditados respecto a niveles de seguridad y riesgos definidos, posibilitando la capacidad de reacción y mitigación ante posibles defectos de configuración y vulnerabilidades detectadas.

En cuanto a las iniciativas en las que ha colaborado y ha prestado su apoyo destaca por su relevancia la creación, el pasado 15 de febrero de 2019, tras la aprobación del Consejo de Ministros, del Centro de Operaciones de Ciberseguridad, como instrumento de la Administración General del Estado (AGE) y sus organismos públicos vinculados o dependientes (SOC AGE).

Asimismo, durante 2019 el CCN ha seguido teniendo un papel clave en el desarrollo, implantación y seguimiento del Esquema Nacional de Seguridad (ENS), tanto en el sector público como en las empresas que proporcionan servicios al mismo. En este sentido, el pasado año trabajó, en colaboración con el Ministerio de Política Territorial y Función Pública, en la revisión de su alcance, de forma que estuviera adaptado a las nuevas normativas publicadas en materia de Seguridad de las TIC, como la Estrategia Nacional de Ciberseguridad, publicada en abril de 2019.

Por otro lado, el Informe recoge la importante labor desempeñada durante este año por el CCN-CERT en materia de gestión de ciberincidentes, destacando su papel activo frente a EMOTET, el ransomware protagonista de este último año que atacó de forma muy agresiva a numerosos organismos públicos y empresas. Como respuesta a las diferentes campañas que lo emplearon, el CCN-CERT desarrolló una vacuna, desplegó equipos en las sedes de algunos de los organismos afectados y mantuvo en todo momento informada a su comunidad.

Junto a ello, la creación de soluciones y herramientas de ciberseguridad, a disposición de los organismos que las necesiten. En 2019 el Organismo trabajó considerablemente en este sentido, actualizando y mejorando algunas de estas soluciones, al igual que desarrollando otras nuevas, como son AMPARO (estudio simplificado de sistemas), ANA (Automatización y Normalización de Auditorías), ELISA (Observatorio Digital) y EMMA (control de acceso a las infraestructuras de red).

Por último, es necesario destacar el trabajo desempeñado por el CCN, junto a la Federación Española de Municipios y Provincias (FEMP), en la implementación de los primeros Centros de Operaciones de Seguridad virtuales (vSOC) en Entidades Locales, cuya misión no es otra que conseguir que estas obtengan mayor visibilidad e información sobre vulnerabilidades, fallos de configuración e incidentes, capacidad de despliegue, protección y actuación.

 

Imágenes: Rawpixel/Envato