Tema 2: Diseño de sistemas de cumplimiento normativo PDF
Document Details
Uploaded by ProtectiveThallium
Universidad Internacional de La Rioja
Tags
Summary
This document is part of a course on cybersecurity, specifically focusing on national strategies . It discusses the factors contributing to cybercrime and the importance of national cybersecurity strategies, such as the 2013 National Cybersecurity strategy, in the context of protecting digital assets and services.
Full Transcript
Tema 2. Diseño de sistemas de cumplimiento normativo 2.2. Las estrategias nacionales de ciberseguridad Las estrategias de ciberseguridad Como señalábamos en la Unidad Formativa precedente, el uso de las Tecnolog...
Tema 2. Diseño de sistemas de cumplimiento normativo 2.2. Las estrategias nacionales de ciberseguridad Las estrategias de ciberseguridad Como señalábamos en la Unidad Formativa precedente, el uso de las Tecnologías de la Información y de la Comunicación se ha incorporado de forma general a la vida cotidiana de todas las naciones desarrolladas. Este nuevo escenario facilita un desarrollo sin precedentes en el intercambio de información y comunicaciones, pero, al mismo tiempo, conlleva serios riesgos y amenazas que pueden afectar a la seguridad de los países, de sus instituciones y de sus ciudadanos. Como nos recordó la Estrategia Nacional de Ciberseguridad del 2013, varios son los factores que contribuyen a la proliferación de acciones delictivas en el ciberespacio. La rentabilidad que ofrece su explotación en términos económicos, políticos o de otro tipo, la facilidad y el bajo coste de empleo de las herramientas utilizadas para la consecución de ataques, y la facilidad de ocultación del atacante hacen posible que estas actividades se lleven a cabo de forma anónima y desde cualquier lugar del mundo, con impactos transversales sobre los sectores público y privado y los propios ciudadanos. Los distintos perfiles de atacantes que explotan las vulnerabilidades tecnológicas con el objeto de recabar información, sustraer activos de gran valor y amenazar los servicios básicos, pueden afectar al normal funcionamiento de nuestro país. El disfrute pacífico de ciertos derechos fundamentales y en el ordenamiento jurídico internacional puede verse seriamente comprometido como consecuencia de este tipo de acciones. Programa Profesional en Ciberseguridad 41 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Plenamente consciente de la importancia de la cuestión y comprometido con el desarrollo de la Sociedad Digital, el Consejo de Seguridad Nacional, en nuestro país, ha venido impulsado la elaboración de las Estrategias de Ciberseguridad Nacionales con el fin de dar respuesta al enorme desafío que supone la preservación del ciberespacio de los riesgos y amenazas que se ciernen sobre él. La Estrategia Nacional de Ciberseguridad de 2013 La Estrategia Nacional de Ciberseguridad de 2013 (ENCS13) se adoptó al amparo y alineada con la Estrategia de Seguridad Nacional de 2013, que contempla la ciberseguridad dentro de sus doce ámbitos de actuación. Su aprobación del documento, de carácter estratégico, puso de manifiesto las capacidades colectivas y el compromiso de una nación que apuesta en firme por garantizar su seguridad en el ciberespacio. Para España, los avances en el ámbito de la ciberseguridad contribuyen además a incrementar nuestro potencial económico, ya que promueven un entorno más seguro para la inversión, la generación de empleo y la competitividad. La ENCS13 fue el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía. Asimismo, dado el carácter transnacional de la ciberseguridad, la cooperación con la Unión Europea y con otros organismos de ámbito internacional o regional con competencias en la materia, formó parte esencial de este modelo. Para el logro de sus objetivos, la ENCS13 creó una estructura orgánica que se integra en el marco del Sistema de Seguridad Nacional. Esta estructura habrá de servir para articular la acción única del Estado conforme a unos principios compartidos por los actores concernidos y en un marco institucional adecuado. Programa Profesional en Ciberseguridad 42 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo La ENCS13 arrancó por mandato de la Comisión Delegada del Gobierno para Asuntos de Inteligencia (CDGAI), definida en la Ley 11/2002, reguladora del CNI. En su reunión del 1 de marzo de 2012, la CDGAI, presidida aquel día por la Vicepresidenta del Gobierno, encomendó al CNI, por medio del Centro Criptológico Nacional: ► La responsabilidad de elaborar, en tres meses, el borrador de la que debería ser la primera ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD. ► Circular el borrador a todas las partes interesadas y su remisión a los organismos implicados en su aplicación, buscando aportaciones, comentarios y sugerencias. La génesis de la ENCS13 se fundamentó, por un lado, en lo contenido en la Estrategia Europea de Ciberseguridad y, lógicamente, en la Estrategia de Seguridad Nacional, de ese mismo año, tomando en consideración el contexto estratégico mundial en materia de ciberseguridad, y atendiendo a las amenazas y riesgos específicos para España, los intereses nacionales y los compromisos adquiridos por nuestro país a través de los Tratados y Acuerdos Internacionales suscritos por España. Programa Profesional en Ciberseguridad 43 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo De entre las citadas amenazas y riesgos, hay que destacar los siguientes: ► CIBERESPIONAJE. ► CIBERDELINCUENCIA. ► HACKTIVISMO. ► CIBERTERRORISMO. ► CIBERGUERRA. El paso siguiente fue, partiendo de la situación actual, tratar de definir unos Objetivos Nacionales de Ciberseguridad, objetivos que deberían alcanzarse con la utilización de determinados instrumentos, de naturaleza legal, procedimental y tecnológica. Programa Profesional en Ciberseguridad 44 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Programa Profesional en Ciberseguridad 45 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Desarrollamos brevemente los citados Objetivos, tal y como finalmente se redactaron. «OBJETIVO 1: Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia »Buena parte de los sistemas TIC de las Administraciones Públicas españolas, la información contenida en ellos y los servicios que prestan, constituyen activos nacionales estratégicos. »Resulta imprescindible potenciar la implantación de un marco nacional, coherente e integrado, de políticas, procedimientos y normas técnicas que ayuden a garantizar la protección de la información pública, sus sistemas y servicios, así como de las redes que los soportan. Este marco será clave para desarrollar e implantar servicios, cada vez más seguros. »La adaptación de los sistemas de las Administraciones Públicas a esta realidad pasa por implantar servicios de seguridad en las mismas, mejorando y ejercitando su capacidad de prevención, detección y respuesta ante incidentes, desarrollando nuevas herramientas y manteniendo actualizado el ordenamiento jurídico. »Asimismo, además de mejorar las capacidades de los sistemas militares de Defensa y de inteligencia es necesario reforzar la seguridad de los Sistemas de Información y Comunicación estratégicos, adaptándolos a los nuevos riesgos y amenazas del ciberespacio. »Las Administraciones Públicas se involucrarán activamente en un proceso de mejora continua respecto de la protección de sus sistemas TIC. Los poderes públicos están obligados a ser ejemplares en la gestión de la ciberseguridad. »OBJETIVO 11: Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por el sector empresarial en general y los operadores de Infraestructuras Críticas en particular »En aplicación del principio de responsabilidad compartida, las Administraciones Públicas deben mantener estrechas relaciones con las empresas que gestionan los Sistemas de Información y Telecomunicaciones relevantes para los intereses nacionales, intercambiando el conocimiento que permita una adecuada coordinación entre ambos y la mutua comprensión del entorno de la ciberseguridad. Programa Profesional en Ciberseguridad 46 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »En este sentido, merece especial mención las acciones para asegurar la Protección del Patrimonio Tecnológico de España, entendido como aquellos activos materiales o inmateriales que sustentan la propiedad intelectual e industrial del sector empresarial, que conforman nuestro presente y condicionan el desarrollo futuro. »Es de interés también determinar el impacto que para España puede tener una potencial interrupción o destrucción de las redes y sistemas que proporcionan servicios esenciales a la sociedad. Puesto que el sector privado posee la titularidad de buena parte de estos sistemas, las medidas que se adopten en materia de ciberseguridad deberán estar alineadas con los requisitos expresados en la normativa reguladora de Protección de Infraestructuras Críticas, para alcanzar un conjunto integrado de medidas de aplicación a los sectores afectados. »OBJETIVO 111: Potenciar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio »Las TIC constituyen un medio, un fin o una combinación de ambos, utilizado tanto por las organizaciones terroristas como por las delictivas para lograr sus objetivos. A esto debe unirse la posibilidad, cada vez mayor, de utilizar el ciberespacio como un objetivo en sí mismo para la perpetración de ataques contra servicios esenciales o Infraestructuras Críticas. En ambos casos deben potenciarse los mecanismos de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación en torno a estas formas de criminalidad. »La actuación policial y judicial del Estado en materia de ciberseguridad deberá adecuarse a los patrones de conducta y a las modalidades delictivas de los terroristas y delincuentes en el ciberespacio, cuyos objetivos suelen ser coincidentes con los tradicionales, pero no su metodología. »Para afrontar adecuadamente estas amenazas, que traspasan en muchos casos las fronteras de los Estados, es imprescindible el fortalecimiento de la cooperación judicial y policial internacional, articulando los instrumentos adecuados de colaboración e intercambio de información y la armonización de las legislaciones nacionales, con el desarrollo y mantenimiento de una regulación sólida y eficaz. »Igualmente, se hace necesario fomentar la colaboración ciudadana, facilitando los procedimientos de acceso y transmisión de la información de interés policial. Programa Profesional en Ciberseguridad 47 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »El éxito en la lucha contra el terrorismo y la delincuencia en el ciberespacio exige la articulación de los mecanismos necesarios que mejoren las capacidades de las instituciones policiales y los organismos judiciales competentes. »OBJETIVO IV: Sensibilizar a los ciudadanos, profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados del ciberespacio »El Gobierno de España, reconociendo la importancia de construir y mantener la confianza en los Sistemas de Información y Telecomunicaciones que usan los ciudadanos, profesionales, empresas y organismos del sector público, acometerá las acciones de información y sensibilización necesarias para asegurar que todos conocen los riesgos de operar en el ciberespacio y poseen los conocimientos y el acceso a las herramientas que posibilitan su protección. »Al mismo tiempo, las empresas deben ser conscientes de la responsabilidad en la seguridad de sus sistemas, la protección de la información de sus clientes y proveedores y la confiabilidad de los servicios que prestan. Mantener la confianza del consumidor es fundamental para el éxito de la economía digital. Lo mismo cabe decir de las Administraciones Públicas y de sus relaciones con los ciudadanos. »Por tanto, una función esencial es promover una sólida cultura de ciberseguridad, que proporcione a todos los actores la conciencia y la confianza necesarias para maximizar los beneficios de la Sociedad de la Información y reducir al mínimo su exposición a los riesgos del ciberespacio, mediante la adopción de medidas razonables que garanticen la protección de sus datos, así como la conexión segura de sus sistemas y equipos. »La gestión eficaz de los riesgos derivados del ciberespacio debe edificarse sobre una sólida cultura de ciberseguridad. Ello requiere de los usuarios una sensibilización respecto de los riesgos que entraña operar en este medio, así como el conocimiento de las herramientas para la protección de su información, sistemas y servicios. »OBJETIVO V: Alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad »Dada la importancia estratégica de la seguridad en el ciberespacio, es absolutamente prioritario disponer del personal cualificado a todos los niveles: órganos de gobierno, directivo, operativo, técnico y judicial. Programa Profesional en Ciberseguridad 48 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »Es importante, además, fomentar y potenciar las capacidades tecnológicas precisas para disponer de soluciones nacionales confiables que permitan proteger adecuadamente los sistemas frente a las diferentes amenazas. »Para alcanzar esta confianza, se requiere fomentar y mantener una actividad de l+D+i en materia de ciberseguridad de manera efectiva. »Para ello será necesaria una adecuada coordinación del conjunto de agentes implicados en las TIC, facilitando la colaboración entre empresas y organismos públicos de investigación e impulsando proyectos de evaluación y certificación de la seguridad. »La cualificación del personal encargado de la dirección, gestión e implantación de la ciberseguridad se erige en un objetivo fundamental, especialmente en las Administraciones Públicas y las Infraestructuras Estratégicas y Críticas de interés nacional. Además, la utilización de productos con la seguridad verificada constituye un elemento adicional relevante de protección. »OBJETIVO VI: Contribuir a la mejora de la ciberseguridad en el ámbito internacional »Se promoverá y apoyará el desarrollo de una política de ciberseguridad coordinada en la Unión Europea y en las organizaciones internacionales de Seguridad y Defensa en las que participa España, y se colaborará en la capacitación de Estados que lo necesiten, mediante la política de cooperación al desarrollo, ayudándoles a implantar una cultura de la ciberseguridad. »Se fomentará la cooperación en el marco de la UE y con organizaciones internacionales y regionales como, la Agencia Europea de Defensa (EDA), la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), el Centro Europeo de Ciberdelincuencia, adscrito a Europol, la Organización de Naciones Unidas (ONU), la Organización para la Seguridad y la Cooperación en Europa (OSCE), la Organización del Tratado del Atlántico Norte (OTAN) y la Organización para la Cooperación y Desarrollo Económicos (OCDE), entre otras. »Junto a los países de nuestro entorno estratégico, se promoverán los esfuerzos dirigidos a conseguir un ciberespacio seguro y fiable, mediante el refuerzo de la colaboración internacional, creando relaciones de confianza para el intercambio de información y datos esenciales en materia de ciberseguridad, y el desarrollo de iniciativas propias de cooperación y desarrollo. Asimismo, se llevarán a cabo actuaciones orientadas a impulsar la adopción de estándares internacionales de ciberseguridad y su elevación progresiva» (Departamento de Seguridad Nacional, 2013). Programa Profesional en Ciberseguridad 49 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Así pues, para alcanzar dichos objetivos, la ENCS13 desarrolló una Líneas de Acción, constituyendo los instrumentos esenciales, a saber: El contenido de dichas Líneas de Acción y los organismos encargados de su acometimiento se muestran seguidamente: Programa Profesional en Ciberseguridad so Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Programa Profesional en Ciberseguridad 51 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Programa Profesional en Ciberseguridad 52 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Programa Profesional en Ciberseguridad 53 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Queda claro pues, que el propósito de la ENCS13 fue fijar las directrices generales del uso seguro del ciberespacio, impulsando una visión integradora cuya aplicación ayude a garantizar a España su seguridad y progreso, a través de la adecuada coordinación y cooperación de todas las Administraciones Públicas entre ellas, con el sector privado y con los ciudadanos. Todo ello dentro del máximo respeto a los principios recogidos en la Constitución; en las disposiciones de la Carta de Naciones Unidas, relativas al mantenimiento de la paz y seguridad internacional; en coherencia con la Estrategia de Seguridad Nacional y con iniciativas desarrolladas en el marco europeo, internacional y regional. Programa Profesional en Ciberseguridad 54 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Efectivamente, la redacción de la ENCS13 tuvo en consideración los Principios Rectores que se muestran en el gráfico: Programa Profesional en Ciberseguridad 55 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo Como hemos dicho, para articular todo ello, se generó una nueva Estructura Organizativa de la Ciberseguridad en España, tal y como se muestra en la figura siguiente. Se estudian seguidamente los consejos mostrados. El Consejo de Seguridad Nacional «El Consejo de Seguridad Nacional, en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, es el órgano al que corresponde asistir al Presidente del Gobierno en la dirección de la política de Seguridad Nacional y del Sistema de Seguridad Nacional, así como ejercer las funciones que se le atribuyan en la Ley de Seguridad Nacional y se le asignen por su reglamento. [...] »2. A propuesta del Presidente del Gobierno, el Consejo de Seguridad Nacional informará al Rey al menos una vez al año. Cuando el Rey asista a las reuniones del Consejo, lo presidirá. Programa Profesional en Ciberseguridad 56 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »3. La composición del Consejo de Seguridad Nacional se determinará conforme a lo previsto en la Ley de Seguridad Nacional. En todo caso, deberán formar parte de dicho Consejo: »a) El Presidente del Gobierno, que lo presidirá. »b) Los Vicepresidentes del Gobierno, si los hubiere. »c) Los Ministros de Asuntos Exteriores, Unión Europea y de Cooperación, de Justicia, de Defensa, de Hacienda, del Interior, de Fomento, de Industria, Comercio y Turismo, de Presidencia, Relaciones con las Cortes e Igualdad, de Economía y Empresa, de Sanidad, Consumo y Bienestar Social. »d) El Director del Gabinete de la Presidencia del Gobierno, el Secretario de Estado de Asuntos Exteriores, el Jefe de Estado Mayor de la Defensa, el Secretario de Estado de Seguridad y el Secretario de Estado-Director del Centro Nacional de Inteligencia. »4. El Director del Departamento de Seguridad Nacional será convocado a las reuniones del Consejo de Seguridad Nacional. »5. También podrán formar parte del Consejo, cuando sean convocados en función de los asuntos a tratar, los titulares de los demás departamentos ministeriales y las autoridades autonómicas afectadas en la toma de decisiones y actuaciones a desarrollar por parte del Consejo. »[... ] los titulares de los órganos superiores y directivos de la Administración General del Estado, de los organismos públicos, de las Comunidades Autónomas y de las ciudades con Estatuto de Autonomía, así como las autoridades de la Administración Local, serán convocados a las reuniones del Consejo cuando su contribución se considere necesaria, y en todo caso cuando los asuntos a tratar afecten a sus respectivas competencias. ,,Igualmente podrán ser convocadas aquellas personas físicas o jurídicas cuya contribución se considere relevante a la vista de los asuntos a tratar en el orden del día. »Mediante real decreto acordado en Consejo de Ministros, a propuesta del Presidente del Gobierno, se desarrollará la concreta composición, organización y funciones del Consejo de Seguridad Nacional, en el marco de lo dispuesto en esta ley» (Ley 36/2015, de 28 de septiembre, de Seguridad Nacional). «1. Corresponde al Consejo de Seguridad Nacional ejercer las siguientes funciones: »a) Dictar las directrices necesarias en materia de planificación y coordinación de la política de Seguridad Nacional. Programa Profesional en Ciberseguridad 57 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »b) Dirigir y coordinar las actuaciones de gestión de situaciones de crisis en los términos previstos en el título 111. »c) Supervisar y coordinar el Sistema de Seguridad Nacional. »d) Verificar el grado de cumplimiento de la Estrategia de Seguridad Nacional y promover e impulsar sus revisiones. »e) Promover e impulsar la elaboración de las estrategias de segundo nivel que sean necesarias y proceder, en su caso, a su aprobación, así como a sus revisiones periódicas. »f) Organizar la contribución de recursos a la Seguridad Nacional conforme a lo establecido en esta ley. »g) Aprobar el Informe Anual de Seguridad Nacional antes de su presentación en las Cortes Generales. »h) Acordar la creación y el fortalecimiento de los órganos de apoyo necesarios para el desempeño de sus funciones. »i) Impulsar las propuestas normativas necesarias para el fortalecimiento del Sistema de Seguridad Nacional. »j) Realizar las demás funciones que le atribuyan las disposiciones legales y reglamentarias que sean de aplicación» (Ley 36/2015, de 28 de septiembre, de Seguridad Nacional). El Consejo Nacional de Ciberseguridad El Consejo Nacional de Ciberseguridad es un órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, en el marco de la Ley 50/1997, de 27 de noviembre, del Gobierno, creándose por Acuerdo del Consejo de Seguridad Nacional del 5 de diciembre de 2013. L a composición del este Consejo refleja el espectro de los ámbitos de los departamentos, organismos y agencias de las Administraciones Públicas con competencias en materia de ciberseguridad, para coordinar aquellas actuaciones que se deban abordar de forma conjunta con el fin de elevar los niveles de seguridad. En Programa Profesional en Ciberseguridad 58 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo el Consejo podrán participar otros actores relevantes del sector privado y especialistas cuya contribución se considere necesaria. En el cumplimiento de sus funciones el Consejo Nacional de Ciberseguridad es apoyado por el Departamento de Seguridad Nacional en su condición de Secretaría Técnica y órgano de trabajo permanente del Consejo de Seguridad Nacional. El Consejo Nacional de Ciberseguridad reforzará las relaciones de coordinación, colaboración y cooperación entre las distintas Administraciones Públicas con competencias en materia de ciberseguridad, así como entre los sectores públicos y privados, y facilitará la toma de decisiones del propio Consejo mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional. El Consejo Nacional de Ciberseguridad ejerce las siguientes funciones: ► Apoyar la toma de decisiones del Consejo de Seguridad Nacional en materia de ciberseguridad mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional. Programa Profesional en Ciberseguridad 59 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo ► Reforzar las relaciones de coordinación, colaboración y cooperación entre las distintas Administraciones Públicas con competencias relacionadas con el ámbito de la ciberseguridad, así como entre los sectores público y privado. ► Contribuir a la elaboración de propuestas normativas en el ámbito de la ciberseguridad para su consideración por el Consejo de Seguridad Nacional. ► Prestar apoyo al Consejo de Seguridad Nacional en su función de verificar el grado de cumplimiento de la Estrategia de Seguridad Nacional en lo relacionado con la ciberseguridad y promover e impulsar sus revisiones. ► Verificar el grado de cumplimiento de la Estrategia de Ciberseguridad Nacional e informar al Consejo de Seguridad Nacional. ► Realizar la valoración de los riesgos y amenazas, analizar los posibles escenarios de crisis, estudiar su posible evolución, elaborar y mantener actualizados los planes de respuesta y formular directrices para la realización de ejercicios de gestión de crisis en el ámbito de la ciberseguridad y evaluar los resultados de su ejecución, todo ello en coordinación con los órganos y autoridades directamente competentes. ► Contribuir a la disponibilidad de los recursos existentes y realizar los estudios y análisis sobre los medios y capacidades de las distintas Administraciones Públicas y Agencias implicadas con la finalidad de catalogar las medidas de respuesta eficaz en consonancia con los medios disponibles y las misiones a realizar, todo ello en coordinación con los órganos y autoridades directamente competentes y de acuerdo con las competencias de las diferentes Administraciones Públicas implicadas en el ámbito de la ciberseguridad. ► Facilitar la coordinación operativa entre los órganos y autoridades competentes cuando las situaciones que afecten a la Ciberseguridad lo precisen y mientras no actúe el Comité Especializado de Situación. Programa Profesional en Ciberseguridad 60 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo ► Todas aquellas otras funciones que le encomiende el Consejo de Seguridad Nacional. La Estrategia Nacional de Ciberseguridad de 2019 «La Estrategia Nacional de Ciberseguridad 2019 establece la posición de España ante una nueva concepción de la ciberseguridad en el marco de la Política de Seguridad Nacional. »En 2013 se aprobó la primera Estrategia Nacional de Ciberseguridad en España. El documento fijaba las directrices y líneas generales de actuación para hacer frente al desafío que supone, para el país, la vulnerabilidad del ciberespacio. Además, la estrategia diseñaba el modelo de gobernanza para la ciberseguridad nacional. Igualmente, en estos años, España ha seguido avanzando en sus esfuerzos por contribuir a la promoción de un ciberespacio seguro y fiable. »Uno de sus pilares, creado en el año 2014, es el Consejo Nacional de Ciberseguridad, órgano de apoyo del Consejo de Seguridad Nacional. Desde su primera reunión, el Consejo Nacional de Ciberseguridad ha asumido la tarea de coordinar los organismos con competencia en la materia a nivel nacional y el desarrollo del Plan Nacional de Ciberseguridad y sus planes derivados. Así, hoy España cuenta con organismos especializados en ciberseguridad y una posición destacada a nivel europeo e internacional. »El marco jurídico también ha experimentado una notable adaptación. En respuesta a su evolución y a la experiencia acumulada en estos años, en 2015 se publicó la modificación del Esquema Nacional de Seguridad para garantizar la seguridad de los sistemas del Sector Público. Por otro lado, la entrada en vigor del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 (conocida como Directiva NIS), ha supuesto un importante hito en la mejora de la ciberseguridad en nuestro país, extendiendo el alcance de esta Directiva con el objetivo de mejorar la ciberseguridad de todos los sectores estratégicos. »La Ley 36/2015, de 28 de septiembre, de Seguridad Nacional se promulgó con vocación de dar impulso a uno de los proyectos de mayor responsabilidad para un gobierno, la Seguridad Nacional. La Ley de Seguridad Nacional contempla la ciberseguridad como ámbito de especial interés. Programa Profesional en Ciberseguridad 61 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »La Estrategia de Seguridad Nacional 2017 marca un punto de inflexión en el pensamiento estratégico nacional, donde la ciberseguridad debe ocupar un espacio propio y diferencial. »Una de las tendencias globales identificadas en la Estrategia, la digitalización, se muestra como motor del cambio con implicaciones para la seguridad. La Estrategia establece un esquema novedoso, con cinco objetivos generales que resultan transversales a todos los ámbitos. La gestión de crisis, la cultura de Seguridad Nacional, los espacios comunes globales, el desarrollo tecnológico y la proyección internacional de España conforman una matriz estratégica donde la ciberseguridad está llamada a abrir nuevas vías hacia el modelo de presente y futuro de la seguridad en España. »La nueva ciberseguridad se extiende más allá del campo meramente de la protección del patrimonio tecnológico para adentrarse en las esferas política, económica y social. »Además de las acciones para causar efectos en los sistemas digitales, se debe tener en cuenta la concepción del ciberespacio como un vector de comunicación estratégica, que puede ser utilizado para influir en la opinión pública y en la forma de pensar de las personas a través de la manipulación de la información, las campañas de desinformación o las acciones de carácter híbrido. Su potencial aplicación en situaciones muy diversas, donde se incluyen los procesos electorales, genera un elevado grado de complejidad. »Ante esta visión renovada de un ámbito que se entiende extendido funcionalmente, y para el que la colaboración público-privada es un elemento clave, resulta necesaria una nueva aproximación, una nueva estrategia nacional de ciberseguridad» (Departamento de Seguridad Nacional, 2019). «El documento se estructura en cinco capítulos. El primero, titulado «El ciberespacio, más allá de un espacio común global», proporciona una visión de conjunto del ámbito de la ciberseguridad, los avances realizados en materia la materia desde la aprobación de la Estrategia de 2013, las razones que afianzan la elaboración de la Estrategia Nacional de Ciberseguridad 2019, así como las principales características que impulsan su desarrollo. »Las actividades que se desarrollan en el ciberespacio son fundamentales para la sociedad actual. La tecnología e infraestructuras que forman parte del ciberespacio son elementos estratégicos, transversales a todos los ámbitos de actividad, siendo la vulnerabilidad del ciberespacio una de los principales riesgos para nuestro desarrollo como nación. Programa Profesional en Ciberseguridad 62 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »Por ello, la seguridad en el ciberespacio es un objetivo prioritario en las agendas de los gobiernos con el fin de garantizar su Seguridad Nacional y una competencia del Estado para crear una sociedad digital en la que la confianza es un elemento fundamental. »Contribuir a la promoción de un ciberespacio seguro y fiable, desde un enfoque multidisciplinar abarcando aspectos más allá de los puramente técnicos, es una tarea que debe partir del conocimiento y comprensión de las amenazas a las que nos podemos enfrentar, incluyendo nuevas y emergentes. »El segundo capítulo, titulado «Las amenazas y desafíos en el ciberespacio» determina las principales amenazas del ciberespacio que derivan de su condición de espacio global común, de la elevada tecnificación y de la gran conectividad que posibilita la amplificación del impacto ante cualquier ataque. Clasifica estas amenazas y desafíos en dos categorías: por un lado, las que amenazan a activos que forman parte del ciberespacio; y por otro, aquellos que usan el ciberespacio como medio para realizar actividades maliciosas e ilícitas de todo tipo. »El tercer capítulo, titulado «Propósito, principios y objetivos para la ciberseguridad» aplica los principios rectores de la Estrategia de Seguridad Nacional 2017 (Unidad de acción, Anticipación, Eficiencia y Resiliencia) a cinco objetivos específicos. Su desarrollo, se plasma en el cuarto capítulo titulado «Líneas de acción y medidas», donde se establecen siete líneas de acción y se identifican las medidas para el desarrollo de cada una de ellas. »Dichas líneas de acción se dirigen a: reforzar las capacidades ante las amenazas provenientes del ciberespacio; garantizar la seguridad y resiliencia de los activos estratégicos para España; impulsar la ciberseguridad de ciudadanos y empresas; reforzar las capacidades de investigación y persecución de la cibercriminalidad, para garantizar la seguridad ciudadana y la protección de los derechos y libertades en el ciberespacio; impulsar la ciberseguridad de ciudadanos y empresas; potenciar la industria española de ciberseguridad, y la generación y retención de talento, para el fortalecimiento de la autonomía digital; contribuir a la seguridad del ciberespacio en el ámbito internacional, promoviendo un ciberespacio abierto, plural, seguro y confiable en apoyo de los intereses nacionales y desarrollar una cultura de ciberseguridad de manera que se contribuya al Plan Integral de Cultura de Seguridad Nacional. »El quinto capítulo, titulado «La ciberseguridad en el Sistema de Seguridad Nacional» define la arquitectura orgánica de la ciberseguridad. Bajo la dirección del Presidente del Gobierno, la estructura se compone de tres órganos: el Consejo de Seguridad Nacional, como Comisión Delegada del Gobierno para la Seguridad Nacional; el Consejo Nacional Programa Profesional en Ciberseguridad 63 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo de Ciberseguridad, que apoya al Consejo de Seguridad Nacional y asiste al Presidente del Gobierno en la dirección y coordinación de la política de Seguridad Nacional en el ámbito de la ciberseguridad, y fomenta las relaciones de coordinación, colaboración y cooperación entre Administraciones Públicas y entre estas y el sector privado, y el Comité de Situación que, con el apoyo del Departamento de Seguridad Nacional, apoyará a la gestión de las situaciones de crisis en cualquier ámbito, que por su transversalidad o dimensión, desborden las capacidades de respuesta de los mecanismos habituales. »Se complementa este sistema con la Comisión Permanente de Ciberseguridad, que facilita la coordinación interministerial a nivel operacional en el ámbito de la ciberseguridad, siendo el órgano que asistirá al Consejo Nacional de Ciberseguridad sobre aspectos relativos a la valoración técnica y operativa de los riesgos y amenazas a la ciberseguridad; las autoridades públicas competentes y CSIRT (Computer Security lncident Response Team) de referencia nacional, y se incorpora la creación de un elemento novedoso de colaboración público privada, el foro Nacional de Ciberseguridad. »Asimismo, en este último capítulo, se exponen a modo de conclusión, unas consideraciones finales y se concretan los mecanismos para la actualización y evaluación de la Estrategia» (Departamento de Seguridad Nacional, 2019). La siguiente referencia muestra los Objetivos previstos por la ENCS19. «OBJETIVO 1: Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales »Es necesario consolidar un marco nacional coherente e integrado que ayude a garantizar la protección de la información manejada por el sector público y por los servicios esenciales, sus sistemas y servicios, así como de las redes que los soportan. Este marco permitirá desarrollar e implantar servicios cada vez más seguros y eficientes. »Para ello, es necesario implantar medidas de seguridad enfocadas a mejorar las capacidades de prevención, detección y respuesta ante incidentes, desarrollando nuevas soluciones, reforzando la coordinación y adaptando en consecuencia el ordenamiento jurídico. »En particular, las acciones contra el ciberespionaje merecen especial mención para asegurar la protección del Patrimonio Tecnológico de España, entendido como aquellos activos materiales o inmateriales que sustentan la propiedad intelectual e industrial del sector empresarial, que conforman nuestro presente y condicionan el desarrollo futuro. Programa Profesional en Ciberseguridad 64 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »El sector público y los operadores de servicios esenciales se deben involucrar activamente en un proceso de mejora continua respecto de la protección de sus sistemas de Tecnologías de la Información y las Comunicaciones basados en una vigilancia permanente de su exposición a las amenazas. Estos agentes deben servir como modelo de buenas prácticas en la gestión de la ciberseguridad. »En aplicación del principio de responsabilidad compartida, el sector público debe mantener estrechas relaciones con las empresas que gestionan los Sistemas de Tecnologías de la Información y las Comunicaciones relevantes para los intereses nacionales, intercambiando el conocimiento que permita una adecuada coordinación entre ambos y una cooperación efectiva que genere una sinergia apropiada dentro del entorno de la ciberseguridad. »El fortalecimiento de la ciberseguridad requiere un conocimiento sistemático sobre el impacto de una potencial interrupción o destrucción de las redes y sistemas que proporcionan servicios esenciales, así como métricas del nivel de seguridad de estos sistemas que permitan la oportuna toma de decisiones según su grado de exposición. »OBJETIVO 11: Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso »El ciberespacio juega un papel cada vez más importante tanto en la comisión de hechos ilícitos o maliciosos como en su investigación para promover la confianza de los ciudadanos. Es necesario garantizar una adecuada persecución de los fenómenos criminales que en él se desarrollen. »Son tres los ámbitos en los que se desenvuelve la lucha contra la cibercriminalidad: (i) el ciberespacio como objetivo directo de los hechos delictivos, o de la amenaza; (ii) el ciberespacio como medio clave para su comisión; y (iii) el ciberespacio como medio u objeto directo de investigación de cualquier tipo de hecho ilícito. »Sobre la base de una regulación sólida y eficaz que refuerce y garantice la lucha contra la cibercriminalidad, es necesario el fortalecimiento de la cooperación judicial y policial, tanto nacional como internacional, así como la asignación de recursos suficientes a los órganos competentes en la materia y la capacitación de los profesionales que trabajan en este ámbito. »Del mismo modo, es fundamental fomentar la colaboración y participación ciudadana, facilitando los procedimientos de acceso y transmisión de la información de interés judicial y policial e identificando aspectos que requieran de una mejora en las capacidades de las instituciones policiales y de los organismos judiciales competentes. Programa Profesional en Ciberseguridad 65 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »OBJETIVO 111: Protección del ecosistema empresarial y social y de los ciudadanos »Todas las personas y organizaciones tienen derecho a hacer un uso seguro del ciberespacio. Es por ello responsabilidad del Estado promover e impulsar las medidas para alcanzar y mantener un nivel suficiente de ciberseguridad, que proteja especialmente a los más vulnerables y que permita el adecuado desarrollo socioeconómico de España. »La ciberseguridad es una responsabilidad compartida con los actores privados que, por acción u omisión, puedan afectarla; y no es posible conseguirla sin su participación. Por tanto, entre las medidas a impulsar deben estar aquellas que conduzcan a la necesaria cooperación para la seguridad común. »La defensa de ciudadanos, autónomos y empresas debe ir más allá de las medidas de autoprotección que ellos puedan tomar, por lo que es conveniente implantar medidas para su ciberdefensa activa. A la vez todos los usuarios del ciberespacio deben hacer un uso responsable de la tecnología a su alcance. »La acelerada adopción por la sociedad de tecnologías emergentes provoca que los riesgos evolucionen. Por ello, el intercambio permanente de conocimiento con los diferentes actores y el establecimiento de mecanismos de monitorización para la protección del ecosistema empresarial y social serán instrumentos que permitirán al Gobierno estar informado y tomar las decisiones oportunas para actualizar y adecuar las acciones resultado de la presente estrategia. »OBJETIVO IV: Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas »Para afrontar los desafíos que plantea la ciberseguridad, España debe contar con recursos técnicos y humanos que le proporcionen la autonomía tecnológica necesaria y la capacitación adecuada para el uso seguro del ciberespacio, situando a la ciberseguridad como habilitador clave para una nación emprendedora. »Para ello, debe mejorar la ciberseguridad colectiva difundiendo la cultura de la ciberseguridad con la ayuda de organismos públicos y privados y medios de comunicación, potenciando mecanismos de información y asistencia a los ciudadanos y fomentando espacios de encuentro entre la sociedad civil, administraciones y empresas. »Se debe también contribuir al uso seguro y responsable de las Tecnologías de la Información y de las Comunicaciones promoviendo la capacitación en ciberseguridad de los profesionales adecuada a la demanda del mercado laboral, estimulando el desarrollo de los profesionales con habilidades propias, impulsando la formación y cualificación Programa Profesional en Ciberseguridad 66 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo especializada, así como las capacidades de generación de conocimiento, el desarrollo actividades de l+D+i en ciberseguridad y el fomento del uso de productos y servicios certificados. »Asimismo, merece especial atención la protección del patrimonio tecnológico y de la propiedad industrial e intelectual. Para promover la soberanía tecnológica y aprovechar las oportunidades que ofrece la transformación digital, se fomentará e impulsará la industria española de ciberseguridad y las mejores prácticas en el desarrollo e implantación de sistemas de información y comunicaciones. »OBJETIVO V: Seguridad del ciberespacio en el ámbito internacional »España promoverá un ciberespacio abierto, plural, seguro y confiable tanto en sus relaciones bilaterales como en las organizaciones multilaterales, regionales e internacionales, y en los foros y conferencias, donde la ciberseguridad ocupa un lugar destacado. »Abogará por la creación de un marco internacional para la prevención de conflictos, la cooperación y la estabilidad en el ciberespacio, en el que se apliquen los principios de La Carta de Naciones Unidas en su totalidad, el Derecho Internacional, los Derechos Humanos y el Derecho Humanitario Bélico, así como las normas no vinculantes sobre el comportamiento responsable de los Estados. »Consciente de la importancia del multilateralismo, considera relevante el papel de Naciones Unidas para avanzar en la construcción de consensos que, junto a la adopción y puesta en marcha de medidas de fomento de la confianza, la colaboración y participación de todos los actores implicados (Estados, sector privado, sociedad civil, usuarios y academia), constituyen la base para lograr seguridad y estabilidad en el ciberespacio y avanzar hacia su regulación. »En línea con nuestros socios europeos, reforzará la confianza en Internet, en la transformación digital y en el desarrollo de las nuevas tecnologías, contribuyendo a consolidar un ecosistema cibernético europeo seguro que permita avances hacia el mercado único digital. Para ello defenderá un interne! interoperativo, neutral, abierto y diverso, reflejo de la pluralidad cultural y lingüística internacional, basado en un sistema de gobernanza democrático, representativo e inclusivo, resultado de la concertación y el consenso. Además, un acceso a interne! global y generalizado, contribuyendo con ello al cumplimiento de los Objetivos de Desarrollo Sostenible. »Del mismo modo, nuestra pertenencia a la Unión Europea (UE), nos obliga a fortalecer la seguridad y la autonomía estratégica europea mediante la búsqueda de sinergias, la Programa Profesional en Ciberseguridad 67 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo cooperación técnica, operativa, estratégica y política; a reforzar nuestra resiliencia, nuestra capacidad de respuesta ante las crisis y las complementariedades entre los ámbitos civiles y militares como socios de la UE y aliados de la Organización del Tratado del Atlántico Norte (OTAN). »Sobre la base de lo anterior, España continuará participando activamente en la UE y la OTAN; en Naciones Unidas, y en sus foros derivados como el Foro de Gobernanza de Internet (IGF); en la Organización para la Seguridad y la Cooperación en Europa (OSCE), en el desarrollo e implementación de las Medidas de Fomento de la Confianza; en la Organización de Estados Americanos (OEA). Así como con el Foro Global del Expertos en Ciberseguridad (GFCE) y la Coalición por la Libertad en Internet (Freedom Online Coalition. FOC), sin olvidar nuestra presencia en el Centro Europeo de Excelencia para contrarrestar las Amenazas Híbridas (Hybrid CoE), así como en el Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN (CCD CoE). »Además, reforzará la cooperación internacional bilateral en materia de ciberseguridad, promoverá relaciones fluidas y de confianza en este ámbito, colaborará en la construcción de capacidades en terceros Estados, prestando especial atención a las mujeres y los jóvenes y fomentará la creación de canales de información e intercambio de experiencias, impulsando, para todo ello, la adopción de acuerdos bilaterales y multilaterales en este ámbito» (Departamento de Seguridad Nacional, 2019). Programa Profesional en Ciberseguridad 68 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo A semejanza de la ENCS13, la actual Estrategia también se desarrolla en base a las siguientes Líneas de Acción: Programa Profesional en Ciberseguridad 69 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo 2.3. La ciberseguridad en el Sistema de Seguridad Nacional «La Estrategia de Ciberseguridad Nacional de 2013 y la posterior aprobación de la Ley de Seguridad Nacional de 2015 establecieron una estructura orgánica específica para la ciberseguridad. En la ENCS19 se impulsan iniciativas que complementan los nuevos avances en el modelo de gobernanza nacional con las políticas europeas. »La estructura de la ciberseguridad en el marco del Sistema de Seguridad Nacional está constituida por los siguientes componentes: »1. El Consejo de Seguridad Nacional. »2. El Comité de Situación, único para el conjunto del Sistema de Seguridad Nacional ante situaciones de crisis. »3. El Consejo Nacional de Ciberseguridad. »4. La Comisión Permanente de Ciberseguridad. »5. El Foro Nacional de Ciberseguridad. »6. Las Autoridades públicas competentes y los CSIRT de referencia nacionales. » El Consejo de Seguridad Nacional »El Consejo de Seguridad Nacional, en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, es el órgano al que corresponde asistir al Presidente del Gobierno en la dirección de la Política de Seguridad Nacional. »El Consejo de Seguridad Nacional actúa, a través del Departamento de Seguridad Nacional como punto de contacto único para ejercer una función de enlace y garantizar la cooperación transfronteriza con otros países de la Unión Europea. » El Comité de Situación »El Comité de Situación tiene carácter único para el conjunto del Sistema de Seguridad Nacional y actuará, apoyado por el Departamento de Seguridad Nacional, de acuerdo con las directrices político-estratégicas dictadas por el Consejo de Seguridad Nacional en materia de gestión de crisis. Programa Profesional en Ciberseguridad 70 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »El Consejo Nacional de Ciberseguridad »El Consejo Nacional de Ciberseguridad da apoyo al Consejo de Seguridad Nacional para el cumplimiento de sus funciones y, en particular, en la asistencia al Presidente del Gobierno en la dirección y coordinación de la Política de Seguridad Nacional en el ámbito de la ciberseguridad. »Entre sus funciones se encuentran reforzar las relaciones de coordinación, colaboración y cooperación entre las distintas Administraciones Públicas con competencias en materia de ciberseguridad, así como entre los sectores público y privado, y facilitar la toma de decisiones del propio Consejo mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional, así como realizar la valoración de los riesgos y amenazas, analizar los posibles escenarios de crisis, estudiar su posible evolución, elaborar y mantener actualizados los planes de respuesta y formular directrices para la realización de ejercicios de gestión de crisis en el ámbito de la ciberseguridad y evaluar los resultados de su ejecución, todo ello en coordinación con los órganos y autoridades directamente competentes. »La Comisión Permanente de Ciberseguridad »La Comisión Permanente de Ciberseguridad se establece con objeto de facilitar la coordinación interministerial a nivel operacional en el ámbito de la ciberseguridad. Presidida por el Departamento de Seguridad Nacional, se compone de aquellos órganos y organismos representados en el Consejo Nacional de Ciberseguridad con responsabilidades operativas. Es el órgano al que corresponde asistir al Consejo Nacional de Ciberseguridad sobre aspectos relativos a la valoración técnica y operativa de los riesgos y amenazas a la ciberseguridad. »El funcionamiento de la Comisión se enmarca en el procedimiento de gestión de crisis en el ámbito de la ciberseguridad. Dicho procedimiento establece sus funciones dirigidas a detectar y valorar los riesgos y amenazas; facilitar el proceso de toma de decisiones y asegurar una respuesta óptima y coordinada de los recursos del Estado. Además, incluye los diferentes niveles de activación del Sistema de Seguridad Nacional, e instrucciones para la gestión de la comunicación pública. »A fin de responder de manera oportuna y proporcionada a situaciones de especial relevancia en el desarrollo de sus funciones, se progresará en la definición de sus capacidades y responsabilidades. Programa Profesional en Ciberseguridad 71 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo »Foro Nacional de Ciberseguridad »Actuará en la potenciación y creación de sinergias público privadas, particularmente en la generación de conocimiento sobre las oportunidades y los desafíos y amenazas a la seguridad en el ciberespacio. »La puesta en marcha del foro Nacional de Ciberseguridad, y la armonización de su funcionamiento con los órganos existentes, se realizará mediante la aprobación de las disposiciones normativas necesarias, con el objetivo de alcanzar el funcionamiento coordinado y eficiente de estos componentes en el Sistema de Seguridad Nacional. »Autoridades competentes y los CSIRT de referencia nacionales »El marco estratégico e institucional de la ciberseguridad se complementa con las autoridades competentes en materia de seguridad de las redes y sistemas de información y los CSIRT de referencia nacional que se recogen en el marco jurídico nacional. »Asimismo, los CSIRT de las Comunidades Autónomas, de las Ciudades Autónomas, de las Entidades Locales y sus organismos vinculados o dependientes, los de las entidades privadas, la red de CSIRT.es y otros servicios de ciberseguridad relevantes deberán estar coordinados con los anteriores en función de las competencias de cada uno de ellos. De igual modo, desde los CSIRT nacionales, en colaboración con los CSIRT autonómicos y privados, se fomentará la puesta en marcha de iniciativas que contribuyan a la consecución de los objetivos de la estrategia nacional» (Departamento de Seguridad Nacional, 2019). Programa Profesional en Ciberseguridad 72 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR) Tema 2. Diseño de sistemas de cumplimiento normativo 2.4. Conclusiones «La experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de 2013, ha permitido plasmar en la ENCS19 una actualización de las amenazas y los desafíos a las que se enfrenta España, siempre en continua evolución. Para adecuarse a este nuevo escenario cambiante, se proponen un conjunto de Líneas de Acción y medidas más dinámicas que permitan, si fuese necesario, una rápida adaptación del ecosistema de ciberseguridad nacional, basadas en un modelo de gobernanza con una considerable madurez, donde debe participar activamente el sector privado y el resto de la sociedad civil. »En este sentido, la ENCS19 se concibe como un documento vivo que ha de adaptarse a la evolución de la ciberseguridad, por lo que deberá ser objeto de revisión continua, como también los planes específicos y sectoriales que de ella se deriven. Se elaborará un informe anual de evaluación de la Estrategia donde figurará el grado de ejecución y cumplimiento de sus objetivos. »A la vista del incremento de las amenazas y desafíos a la ciberseguridad y cómo los afrontan países de nuestro entorno, resulta cada vez más urgente dotarse de recursos económicos, humanos y materiales para hacer frente a los mismas» (Departamento de Seguridad Nacional, 2019). Programa Profesional en Ciberseguridad 73 Tema 2. Diseño de sistemas de cumplimiento normativo © Universidad Internacional de La Rioja (UNIR)
