ANIMSA

Pablo López, jefe del área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional . Jesús Hellín / Europa Press. 28/9/2022

1.  La pandemia, el aumento del teletrabajo, miles de conexiones en remoto… son algunas de las causas por las que se han disparado los ciberataques en los dos últimos años. Y no parece que la tendencia vaya a cambiar. Muy al contrario, el crecimiento de los ciberdelitos sigue siendo exponencial.

La transformación digital nos obliga cada vez más a ser competitivos en un mundo tan dependiente del dato y consumir tecnología con un volumen creciente de dispositivos conectados a internet. Todo ello condiciona un ecosistema marcado por la dependencia tecnológica y en el que el cibercrimen ha encontrado un caldo de cultivo ideal favorecido por un modelo de mercado “as a service” para los cibercriminales, donde todo se puede comercializar. En este contexto actual en los que ciberdelitos de toda índole se encuentran en crecimiento constante, el ransomware se ha ganado el apelativo de “la otra pandemia” como tendencia y gran protagonista.

2.  Según varios informes de diferentes empresas de ciberseguridad, el sector público es uno de los principales objetivos de los ciberdelincuentes. ¿Son más vulnerables las administraciones públicas que el resto de entidades?

En ciberseguridad el reto pasa por tener una postura de seguridad adaptada a la potencial amenaza, donde el conocimiento propio (diagnósticos de seguridad), el contexto (cibervigilancia), junto con el análisis de la situación (ciberinteligencia), determinan las reglas del juego. En este sentido, nuestro sector público está cada vez más implicado y comprometido, disponiendo de medidas de seguridad^[1] y niveles de protección asociados a posturas de seguridad; es decir, cuenta con instrumentos para establecer pautas y estrategias de mejora continua al objeto de evitar  ser  objetivos débiles o atractivos para la amenaza, sea de la índole que sea.

3. Si la protección al 100% no existe y teniendo en cuenta que no podemos evitar ser ciberatacados, ¿qué podemos hacer para minimizar daños?

El primer y principal elemento para evitar ser ciberatacados es no ser un objetivo fácil. Eso se consigue con la adecuación de las infraestructuras y sistemas TIC mediante instrumentos como el Esquema Nacional de Seguridad, que te sirven de guía en las exigencias y niveles de seguridad a implementar y adaptados a la realidad de las organizaciones. El Sector Público debe abandonar la idea de que la ciberseguridad es un gasto, porque no es así. La ciberseguridad  es una inversión (activo esencial), aunque es necesario ayudar a las entidades públicas  y facilitarles este camino a recorrer mediante modelos como µCeENS^[2] que les permiten ser eficientes e innovadores, fidelizando al tiempo un acompañamiento continuo en la implantación de la seguridad acorde a los niveles de madurez, recursos y posibles de las organizaciones.

4. Aunque tienen las mismas obligaciones en materia de ciberseguridad, no tienen los mismos recursos (económicos, técnico y humanos) un Ministerio o un Ayuntamiento como el de Madrid que un Ayuntamiento de menos de 100 habitantes, como muchos de los que tenemos en Navarra. ¿Hasta qué punto son importantes las ayudas, y el acompañamiento por parte de entidades como Gobiernos Forales o Estatales?

La ayuda que las pequeñas entidades pueden recibir de aquellas que tienen más recursos y disponen de una mejor infraestructura es fundamental. Bajo este principio, desde el Centro Criptológico Nacional estamos trabajando muy intensamente en un proyecto muy ambicioso como es la Red Nacional de SOC. A través de esta iniciativa se puede articular una estructura federada de Centros de Operaciones de Ciberseguridad como mecanismo de colaboración e intercambio.

5. El actual eslogan del CCN, Centro Criptológico Nacional, es “Prevención, detección y respuesta”. ¿Cómo está condicionada la fase de “Respuesta” por la prevención y la detección. Es decir, ¿por “hacer los deberes” antes de ser atacados?

En el contexto actual de la ciberamenaza es fundamental dejar de ser reactivos, que supone estar en manos de la amenaza, para ser proactivos. Eso pone en valor las capacidades de prevenir, de hacer prospectiva para adelantarse a la amenaza y a sus intenciones. La prevención proactiva es clave, pero acompañada de una detección efectiva que minimice los falsos positivos y no colapse la capacidad de respuesta. En definitiva, se necesita un equilibrio de capacidades donde la prevención, protección, detección y respuesta estén dimensionados de manera adecuada y se complementen de forma efectiva.

6. El CCN y ANIMSA trabajan conjuntamente en materia de ciberseguridad. ¿Qué destacarías de la experiencia de estos años?, ¿por qué es tan importante la colaboración y participación entre entidades?

La colaboración con ANIMSA ha permitido conocer de primera mano el ecosistema de las Entidades Locales, sus casuísticas, necesidades y limitaciones. No solo es enriquecedor, sino que facilita el tan necesario acompañamiento al poner en marcha iniciativas adaptadas a este marco de referencia mediante proyectos y modelos que den respuesta a la demanda de ciberseguridad por parte de las organizaciones.

El espíritu del Centro Criptológico Nacional es el de la colaboración, siguiendo un modelo de “elemento facilitador” para hacer posible, entre todos, el fortalecimiento de la ciberseguridad de nuestro país. Somos lo que defendemos y tener compañeros de viaje como ANIMSA, auténticos guerreros de la ciberseguridad, es muy gratificante, ya que nos sentimos identificados con su vocación de servicio y su compromiso con la ciudadanía para disponer de un ciberespacio más seguro y confiable.

7. Para terminar, los próximos meses estarán marcados por la implantación del nuevo Esquema Nacional de Seguridad, regulado en el Real Decreto 311/2022, de 3 de mayo, ¿Cuáles son las principales novedades y cómo va a cambiar nuestra manera de actuar?

El nuevo ENS es el instrumento que nos va a guiar en el camino a seguir para mejorar nuestra prevención y adaptación a la realidad inevitable que supone la ciberamenaza, aunando rigurosidad metodológica y científica con “usabilidad”. Las novedades son muchas: destacamos la clarificación de su ámbito de aplicación, que extiende su cobertura a todo el sector público en su conjunto y, también, a las entidades del sector privado que prestan servicios competenciales a dichas entidades públicas. Por otro lado, la capacidad de ajustar los requisitos del ENS para una aplicación más eficaz y eficiente con la introducción del concepto de “perfil de cumplimiento específico”, y también la reestructuración de las medidas de seguridad, buscando la eficacia y la eficiencia.

En definitiva, nuestra forma de actuar debe ser la adecuación al nuevo marco normativo y, desde ese punto, establecer estrategias para que las medidas a adoptar sean de verdad eficaces.

^[1] Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

^[2] μCeENS es un modelo, una metodología que facilita la obtención de una Certificación de Conformidad en el ENS conforme a los Requisitos de Seguridad que están definidos en un Perfil de Cumplimiento Específico.