Tema 5. Normativa vigente de ciberseguridad PDF

Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5.2. La ciberseguridad y sus retos El desarrollo de esta infraestructura digital está marcado por elementos como la hiperconectividad, los avances tecnológicos o la incorporación incesante de nuevos ciudadanos al mundo tecnológico. La evolución de la población mundial sigue al alza y de la misma forma el número de internautas y, por tanto, la población digital, también crece sin parar. Según datos de Naciones Unidas más de 7.750 millones de personas habitan el planeta en 2020 de los que el 67% disponen de un dispositivo móvil, el 59%, 4.450 millones, un 7% más que el año anterior, son ciudadanos digitales y un 49%, 3.800 millones, un 9,2% más que el año anterior son usuarios de redes sociales en el mundo. Para ampliar esta información puedes visitar: Naciones Unidas. (s. f.). World Populatíon Prospects 2022. https://population.un.org/wpp/ Focalizándonos en España, según datos de la misma fuente, en enero de 2020 había 42,4 millones de usuarios de internet, un 4,3% superior al año anterior, alcanzando una tasa de uso del 91% de la población. Más de 29 millones de personas en España usaban las redes sociales, con un incremento anual del 3,1%, suponiendo un 62% de la población y el número de conexiones móviles suponían un 116% de la población con más de 54 millones. Estas cifras ponen de manifiesto el uso intensivo de las TIC en general por parte de la población española y su incremento año tras año a pesar de estar ya en niveles muy altos de tasa de penetración. En paralelo, el sector TIC en España sigue en pleno crecimiento tal y como demuestran las cifras presentadas por el informe publicado por ONTSI en 2019 sobre datos de 2018. El número de empresas sube un 3,2% respecto al año anterior hasta situarse en 25.065. También sube un 8,3% el número de personas que tienen Programa Profesional en Ciberseguridad 15 Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional empleo en este sector hasta llegar a la cifra de 423.541 empleados y el volumen de negocio que mueve en conjunto que sube un 4,1% alcanzando la cota de los 91.894 millones de euros. Esto es una muestra de la fortaleza del sector y de cómo la tecnología, año tras año, va introduciéndose en todas las actividades. Al igual que el sector TIC y el uso de la tecnología siguen su tendencia alcista, también se incrementan los problemas de ciberseguridad; desde un punto de vista internacional más del 80% de las organizaciones han experimentado al menos un ciberataque con éxito durante 2019, y focalizándonos en España, según el informe de la ONTSI "Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa" publicado en mayo de 2020, el 23% de las empresas grandes en España ha sufrido algún incidente de seguridad durante el último año. En el caso de las PYMES el porcentaje baja hasta el 12% y en el caso de ciudadanos sube hasta situarse en el 28% por debajo de la media europea que se sitúa en el 34%. Estos porcentajes, elevados, en cualquier caso, de incidentes relevantes, ponen de manifiesto la necesidad de proporcionar seguridad en el ciberespacio: seguridad de la información, del negocio, de las personas... Y es que, en un entorno hiperconectado, donde la tecnología avanza y se expande a todos los niveles, la convergencia IT/OT -e incluso CT, Customer Technology, introduciendo en la ecuación al usuario en su entorno personal- debemos hablar de una seguridad global, que proporcione protección a todos los niveles, desde el doméstico hasta el profesional. En este contexto, donde la necesidad de protección en el ciberespacio es palpable, es donde desarrolla su actividad el CCN-CERT, INCIBE y el resto de actores del ecosistema de ciberseguridad o tecnología nacionales e internacionales: empresas, organismos públicos, otros CERT, servicios homólogos de otros países... En definitiva, en un contexto de requisitos y necesidades de ciberseguridad crecientes, en la que los actores de la amenaza amplían cada día más sus capacidades y los ataques son cada vez más numerosos y de mayor impacto. Afortunadamente, los Programa Profesional en Ciberseguridad 15 Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional esfuerzos para protegernos como país, como organización, como ciudadanos también lo son, y gracias a estos esfuerzos individuales y colectivos podemos seguir trabajando y aprovechando la tecnología en situaciones como la motivada por la COVID-19. Programa Profesional en Ciberseguridad 15 Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5.3. Los ciberincidentes y ciberataques En los siguientes epígrafes se desarrollan los ciberincidentes más significativos de los últimos años, agrupados por las motivaciones de los agentes de las amenazas. Actividades de Ciberconflictos / Ciberguerra / Guerra híbrida Los últimos años han sido testigo de la explotación que se ha hecho de información obtenida a través de ataques de este tipo con el objeto de influir en la opinión pública, o de las perturbaciones que los agentes de las amenazas -en muchas ocasiones, patrocinados por estados- han realizado sobre procesos electorales o al socaire de situaciones de conflicto. Las víctimas han sido, en la mayoría de las ocasiones, instituciones democráticas o partidos políticos de muchos países del mundo, España entre ellos (parece demostrada la presencia de activistas patrocinados por instituciones rusas en la expresión mediática del conflicto derivado de la situación creada en Cataluña durante 2017, como consecuencia del alejamiento de la legalidad constitucional vigente de ciertas instituciones autonómicas catalanas). Ha quedado claro que la sustracción digital, la publicación de información o la intoxicación de los medios de comunicación o las redes sociales se han utilizado profusa y estratégicamente por actores estatales. Se trata de operaciones dirigidas por Estados, utilizando tanto tácticas abiertas como encubiertas, con el objetivo de desestabilizar otros Estados y polarizar a la población civil. Este tipo de actividades contempla una gran variedad de herramientas, entre ellas: ► Diplomacia y acciones de inteligencia tradicional ► Actos subversivos y de sabotaje ► Influencia política y económica Programa Profesional en Ciberseguridad 15 Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 9 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional ► lnstrumentalización del crimen organizado ► Operaciones psicológicas ► Propaganda y desinformación Los dos últimos tipos de acciones han sido los más frecuentemente utilizados en el periodo considerado. Actividades dirigidas a influenciar a la opinión pública El partido político alemán CDU, el movimiento En Marche! del presidente francés Emmanuel Macron y el Partido Demócrata Americano fueron víctimas de ataques digitales de este tipo. Como decimos, estas actividades parecen estar destinadas a perturbar e influir en procesos democráticos. Se trataba de ataques dirigidos a las vulnerabilidades personales de los votantes y no a ninguna (posible} vulnerabilidad del proceso de votación. En Francia, un importante volumen de correos electrónicos y documentos del movimiento del entonces candidato presidencial Macron se publicaron on-line poco antes de las elecciones presidenciales de mayo de 2017. Un año antes, el movimiento había detectado que sus miembros estaban siendo atacados por una campaña de phishing-email. Por su parte, la compañía de seguridad TrendMicro anunció que el partido de la canciller alemana Angela Merkel había sido víctima de ciberataques. Igual que en el caso anterior, los empleados de la CDU recibieron correos electrónicos de spear phishing que, en este caso, apuntaban a una falsa pantalla de inicio de sesión utilizada en el servicio de correo web, con el objeto de adquirir las credenciales de inicio de sesión. No está claro si el ataque tuvo o no éxito. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 0 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Como es sabido, en el verano de 2016 se anunció que el Partido Demócrata de Estados Unidos había sufrido una serie de ataques que había permitido la sustracción de material políticamente sensible. Según los servicios de inteligencia norteamericanos, los ataques fueron parte de una campaña originada por actores rusos destinada a influir en las elecciones presidenciales, en la toma de decisiones y en la opinión pública. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Un año después, el FBI anunció que el Partido Republicano también había sido blanco de ciberataques, aunque la información sustraída no se había filtrado al exterior. Según el FBI, se había utilizado un sistema de correo electrónico perteneciente al Comité Nacional Republicano (RNC) que ya no estaba en uso. Hasta donde sabemos, nunca antes había habido un intento a esta escala de influir en las elecciones estadounidenses con ataques digitales contra sus instituciones democrática. En diciembre, el gobierno norteamericano anunció medidas diplomáticas contra Rusia, aunque Rusia ha negado repetidamente la participación en los ataques del mismo modo que lo hizo el presunto atacante, que se auto-denominaba Guccifer 2.0. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 2 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Actividades dirigidas a la disrupción de sistemas En el verano de 2016, la botnet Míraí infectó decenas de miles de dispositivos de consumidores en Internet of Things (loT). El proveedor francés OVH de servicios de hosting fue también fue víctima de Mirai. Los sitios web de los clientes de OVH se ralentizaron o estuvieron temporalmente indisponibles. Por otro lado, la botnet LizardStresser fue responsable de varios ataques, sirviéndose también de loT infectados. Aunque la utilización de grandes botnets no es algo novedoso, sí lo es el hecho de que ambas se sirvieron de dispositivos loT de consumidores finales para perpetrar significativos ataques DDoS. Aunque la autoría no está clara, el colectivo hacktivista "New World Collective" se responsabilizó de los ataques. Por su parte, el proveedor Dyn (que da servicio de DNS al 14% de los dominios mundiales más importantes, entre ellos Twitter, Spotify y Netflix) fue víctima de una campaña de ataques DDoS usando botnets que compartían el código fuente de Míraí. En la noche del 17 al 18 de diciembre de 2016 se produjo un corte de energía (de 1 hora de duración, aprox.) en varios distritos de Kiev. La compañía energética ucraniana Ukrenergo informó que el corte de energía había sido causado por un ciberataque. Los investigadores de seguridad de ISSP y Honeywell confirmaron que, efectivamente, había sido un ciberataque, al igual que el ataque del año anterior. El objetivo habría sido probar técnicas de ataque usando la estación de distribución eléctrica ucraniana como campo de pruebas. En el mismo período, Reuters informó de diferentes ataques contra los Ministerios de Finanzas y Defensa de Ucrania. Según las investigaciones, en casi todos los casos las infecciones habrían ocurrido al abrir correos electrónicos de phishing. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 3 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional De forma similar, las redes de energía eléctrica de Arabia Saudí, así como ciertas agencias gubernamentales y parte del sector financiero también fueron víctimas de ciberataques, empleándose para ello el código dañino Shamoon. Actividades de ciberespionaje (adquisición de información) Las agencias gubernamentales holandesas AIVD (Servicio General de Inteligencia y Seguridad) y MIVD (Servicio Militar de Inteligencia y Seguridad) sufrieron varios ataques persistentes y a gran escala de ciberespionaje. También el Ministerio de Asuntos Exteriores y el Ministerio de Defensa fueron atacados varias veces, incluso - así se manifestó- por países que no habían sido identificados previamente como una amenaza para las redes del gobierno holandés. En algún caso, ataques dirigidos a empresas con un alto nivel en l+D+i tuvieron éxito, siendo capaces de exfiltrar información comercial confidencial. Esta problemática ha afectado durante los últimos años a todos los países de nuestro entorno occidental. Varias han sido las campañas de ciberespionaje de motivación económica que se han venido desplegado durante años y la mayoría ha atacado repetidamente a varias empresas españolas o residenciadas en España. Un ejemplo fue Linkedln, atacado en 2012, exfiltrándose datos de las cuentas de 167 millones de usuarios (nombres, direcciones de correo electrónico y los hash de las contraseñas). En mayo de 2016, tal conjunto de datos se puso a la venta públicamente. En junio de 2016, Fox-lT informó sobre campañas de phishing en algunos países, personalizadas según los datos obtenidos de Linkedln Importantes datos de investigaciones avanzadas en materia de tecnologías de la información, marítima, energética y de la Defensa se han exfiltrado en estos ataques, además de datos personales, en ciertos casos. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 4 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Como hemos repetido, tales ataques son una amenaza para el desarrollo económico y la capacidad de defensa militar y confirman el interés de los atacantes en la información sensible de las empresas e instituciones españolas y, en general, occidentales. Veamos algunos ejemplos: en junio de 2016, el periódico Volkskrant publicó un artículo sobre el ciberataque a la empresa de defensa germano-holandesa Rheinmetall. Según el periódico, agentes chinos habrían estado atacando a esta compañía desde 2012. Por otro lado, en diciembre de 2016, se anunció que se había sustraído información comercial sensible de la empresa alemana ThyssenKrupp como consecuencia de varios ciberataques a principios de ese año. Una electrónica vulnerable, dirigida al consumidor final, también ha contribuido al despliegue de ataques de este tipo. Por ejemplo, el iPhone del activista de derechos humanos Ahmed Mansoor fue atacado en agosto de 2016 utilizándose tecnología gubernamental de vigilancia. La instalación del software espía Pegasus permitió al atacante espiar el micrófono, la cámara y las comunicaciones, así como seguir los movimientos del teléfono Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional En este ataque, investigadores de seguridad descubrieron tres vulnerabilidades desconocidas en los productos de Apple con un valor de mercado estimado de 1 millón de dólares, lo que provocó la reacción de Apple, que tuvo que implementar la correspondiente actualización crítica de seguridad en todo el mundo. Otros productos dirigidos a consumidores finales, aunque menos sofisticados, también son vulnerables. Así lo demostró una investigación realizada por la Asociación de Consumidores de Noruega, que reveló que los agentes de las amenzas habían usado la muñeca infantil 'My Friend Gay/a' como un dispositivo de escucha. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Actividades dirigidas a obtener beneficios económicos Los proveedores de servicios gestionados señalan que las medidas de prevención y respuesta al ransomware se ha convertido en uno de los ejes centrales de su preocupación, lo que, más allá de la práctica generalizada de la realización de copias de seguridad, evidencia que la resilencia a las infecciones por ransomware aún deja mucho que desear. Por ejemplo, en marzo de 2017, la Cámara de Representantes holandesa tuvo problemas con una infección por ransomware, distribuida por correo electrónico a varios miembros del Parlamento. El denominado "fraude al CEO" parece estar en aumento en todos los países. El sector financiero, especialmente, y los proveedores de servicios gestionados también han venido informando de un aumento en el número de intentos de acciones de esta clase. Como es sabido, en este tipo de fraude, los delincuentes intentan que el departamento financiero de una organización deposite dinero en la cuenta de un cómplice mediante un correo electrónico que pretende ser de un Directivo o Jefe de Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Departamento, utilizando nombres de dominio muy similares al nombre de dominio de la empresa en cuestión. Los ciberataques a entidades financieras continúan. Algunos ejemplos históricos: el 7 de noviembre de 2016, Tesco Bank suspendió los medios de pago on-line a todos los titulares de sus cuentas tras detectarse 9.000 transacciones fraudulentas en los días anteriores, por un valor total de 2,5 millones de libras esterlinas. El 3 de febrero de 2017, investigadores informaron sobre una serie de infecciones de malware en el sector financiero polaco. Los delincuentes parecían haber utilizado el sitio web del Supervisor Financiero como la fuente principalpara la distribución de malware (Watering hole) a los sistemas internos de varios bancos. En 2017, la policía italiana detuvo a dos individuos sospechosos de ciberpiratería. Los cuerpos policiales señalaron que los individuos querían invertir basándose en la información robada. En el ataque se habrían visto comprometidas cuentas pertenecientes a despachos jurídicos, inversores, sindicatos, la propia policía, funcionarios del Ministerio de Asuntos Económicos y el Vaticano, entre otras. La compañía Kaspersky analizó el malware utilizado en el ataque, calificando a los acusados como unos "aficionados muy efectivos". Investigadores de seguridad de la empresa MedSec trabajaron en conjunto con la compañía inversora Muddy Waters LLC para estudiar las vulnerabilidades en los marcapasos del American St. Jude Medical. La compañía inversora Muddy Waters LLC especuló sobre una caída anticipada en las cotizaciones en la bolsa tras la publicación de un informe que daba cuenta de estas vulnerabilidades, lo que dio lugar a un proceso penal. Las vulnerabilidades descubiertas podrían haberse usado para interferir en el funcionamiento de marcapasos y desfibriladores. Pese a las medidas adoptadas, la American Food&Drugs Administration (FDA) remitió en abril de 2017 una advertencia al St. Jude Medical señalando que las medidas para mejorar la seguridad no habían sido suficientes. Programa Profesional en Ciberseguridad 16 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5.4. Agentes de la amenaza Como así han venido señalando anualmente los Informes de Amenazas y Tendencias del CCN-CERT, durante los últimos años se han identificado los objetivos de los principales agentes de la amenaza, presentando la relación entre dichos agentes y sus víctimas: Como novedad, se ha querido incluir la influencia como objetivo de los actores- Estado contra el ciudadano, dado que los principales grupos identificados no solo ejecutan operaciones ofensivas contra infraestructuras, sino que han ser demostrado Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 2 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional capaces de ejecutar operaciones de influencia hacia la sociedad, tal y como hemos visto en el apartado previo. Actores Estado Los actores Estado han focalizado sus operaciones en el ciberespacio en tres ámbitos: la ciberguerra, el ciberespionaje y las operaciones de influencia. En el primero de ellos, el de la ciberguerra, las unidades militares dedicadas al dominio ciber están presentes en la mayor parte de ejércitos de países desarrollados, dada la importancia de este dominio de conflicto -junto a tierra, mar, aire y espacio- y la necesidad de protección a ciudadanos, empresas y organismos públicos. En el ámbito del ciberespionaje, de nuevo los Estados presentan una amenaza significativa, tal y como se ha indicado con anterioridad, por las enormes capacidades y recursos materiales de los que pueden disponer. Si esto se une al bajo riesgo para el actor hostil, y al enorme beneficio que se puede obtener en una campaña, convierte el ciberespacio en un terreno clave para las operaciones de obtención de información y de inteligencia en general. Efectivamente, en los últimos años, ha crecido enormemente el número de países que han adquirido la capacidad de recopilar inteligencia del ciberespacio. El ciberespionaje es un método relativamente económico, es rápido y tiene menos riesgos que el espionaje tradicional porque, dada la dificultad de atribución de la autoria, siempre cabe la posibilidad de negar su uso. Durante 2017, las agencias gubernamentales de muchos paises del mundo -incluyendo a España- fueron repetidamente víctimas de persistentes ataques de espionaje digital a gran escala, originados en terceros países, incluidos algunos que no habían sido previamente identificados como una amenaza para las redes de los gobiernos atacados. Puede afirmarse que, en la actualidad, más de 100 países tienen la capacidad de desarrollar ataques de ciberespionaje y su especialización sigue creciendo, de la Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 3 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional misma manera que lo hace la amenaza que representa. Esta amenaza, utilizada principalmente por Servicios de Inteligencia, está dirigida tanto al sector público como al privado y suele provenir de países que desean posicionarse de manera más favorable, desde los puntos de vista político, estratégico o económico. En estas campañas, durante los últimos años se ha evidenciado el aprovechamiento de infraestructura de terceros para llegar al objetivo final, así como la explotación de vulnerabilidades y debilidades de sistemas expuestos a Internet para lograr comprometer a sus objetivos. Los Servicios de Inteligencia occidentales han identificado que muchos países están invirtiendo en la creación de capacidades digitales ofensivas (esencialmente: ciberguerra o "guerra híbrida"). El objectivo parece claro: influir en las operaciones de información. Así, se atacan cuentas de usuario para recabar información confidencial que luego se publica por un tercero (aparentemente) independiente, al objeto de sembrar confusión y división en los oponentes. Además de ello, se ha evidenciado que muchos países están invirtiendo notablemente en la creación de capacidades digitales destinadas a un (eventual o futuro) sabotaje de procesos críticos. Los ciberataques a las centrales eléctricas ucranianas en diciembre de 2015 fueron seguidos en diciembre de 2016 por un nuevo ataque a la infraestructura crítica ucraniana. En Arabia Saudí, por su parte, varias agencias gubernamentales y empresas han sido asimismo víctimas del código dañino Shamoon 2.0 (según señaló el Ministro de Asuntos Exteriores, más de 9000 ordenadores fueron infectados en Arabia Saudí). Estas acciones ilustran tanto el potencial de los ciberataques para infligir daño político y físico, como la disposición de los estados para usar estas herramientas. La ocultación de los atacantes también se ha profesionalizado. Los Servicios de Inteligencia han observado que varios actores estatales están utilizando estructuralmente compañías privadas de TI como tapaderas para disfrazar sus actividades de espionaje. Además de ello, es sabido que las empresas de TI y las Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 4 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional instituciones académicas se utilizan por muchos estados para desarrollar código dañino, lo que incrementa el potencial de los actores estatales para perpetrar ciberataques. En las operaciones de influencia los Estados juegan también un papel clave las redes sociales, que se han convertido en un medio para orquestar campañas de manipulación, con unos 70 estados identificados en este ámbito, lo que supone un incremento del 150 % en el periodo considerado, según la Universidad de Oxford. Estas operaciones, que no suelen requerir capacidades ofensivas avanzadas, afectan tanto a la población en general como a grupos específicos -militar, política,... -, y suelen tener entre sus objetivos la generación de inseguridad en una población, el control o refuerzo de narrativas particulares o la generación de desconfianza en las instituciones. Ciberdelincuencia La amenaza que las organizaciones profesionalizadas en el ciberdelito representan para la seguridad de todo el mundo continúa creciendo a un ritmo acelerado. Los Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional ciberdelincuentes siguen explorando incesantemente "modelos de negocio" más lucrativos, desarrollando nuevos escenarios y atacando objetivos cada vez menos menos tradicionales. El desarrollo de nuevos métodos de ataque se está evidenciando, entre otros, en nuevos y más lucrativos modelos de ingresos por ransomware. Además de los ataques no dirigidos (sin una víctima concreta), los ciberdelincuentes están empleando el ransomware, cada vez con mayor frecuencia, para atacar a aquellas organizaciones concretas en las que el impacto de un ataque de este tipo sería mayor y, en su consecuencia, estarían más inclinadas a satisfacer un rescate de mayor cuantía. Esta tendencia se ha confirmado en todo el mundo, poniendo el foco, especialmente, en las escuelas, los hospitales y otras instituciones sanitarias. Además de lo anterior, estos ataques tienen también un significativo impacto en la vida cotidiana, puesto que procesos o servicios habituales pueden asimismo verse afectados. Diferentes equipos de investigación han demostrado que el ransomware también puede usarse contra los Sistemas de Control Industrial (ICS) y, como hemos Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional señalado con anterioridad, la electrónica de consumo -como parte del Internet of Things. Por todo ello, es de esperar que los ciberdelincuentes apunten también a estas áreas en un futuro próximo. Efectivamente, durante los últimos años, la ciberdelincuencia ha tenido como principales acciones dos modalidades de ataque: por un lado, el uso de ransomware para cifrar los discos de las víctimas y solicitar un rescate, especialmente en campañas definidas como Human Operated Ransomware (HOR), y por otro el conocido como fraude del CEO, (BEC, Business E-Mail Compromise). En el ámbito del ransomware, además del formato clásico en el que un código dañino es remitido por correo electrónico, generalmente de forma no dirigida, a un número de víctimas, se han incrementado de manera significativa los casos de ransomware operado, HOR. En esta modalidad, el atacante compromete la infraestructura de la víctima, generalmente mediante la explotación de vulnerabilidades o debilidades en sistemas expuestos a Internet (concentradores VPN, sistemas de terminal remota, etc.), y se mueve lateralmente dentro de dicha infraestructura hasta tomar el control para, en un momento determinado, ejecutar el código dañino y cifrar la información. Adicionalmente, estos actores exfiltran información sensible de la víctima para publicarla en Internet, incrementando así el grado de amenaza y causando impacto con independencia de las copias de seguridad o de la capacidad de la víctima para recuperar técnicamente el entorno. Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Este modo de operación es similar al de actores avanzados a la hora de comprometer y persistir en sus objetivos; aunque su grado de complejidad no sea tan alto, las fases del ataque son equivalentes, convirtiéndose el ransomware en la última etapa de la operación. Estos ataques representan otra vuelta de tuerca frente a los ataques de ransomware no dirigidos y causan en la víctima mucho mayor impacto, por lo que los grupos delincuenciales los están ejecutando de forma sistemática, obteniendo unos enormes beneficios en cada operación. Además del ransomware, el fraude del CEO es otro de los principales mecanismos de fraude que se han desarrollado durante los últimos años. Aunque en su denominación coloquial sigue haciéndose referencia al CEO, es cierto que los atacantes están marcando objetivos de menor nivel en la jerarquía de las organizaciones. Según el FBI, este tipo de estafas sufrió un incremento del 100 % en el periodo considerado, con miles de millones de pérdidas para las organizaciones víctimas. Aunque existen variantes técnicamente más complejas, y que implican compromisos de emisor, receptor o transporte, la modalidad más simple del ataque es una cuestión pura de ingeniería social, por lo que se ha de insistir de nuevo en la necesidad de la concienciación para detectar este tipo de operaciones y minimizar su impacto. Desde el punto de vista delincuencial, el correo electrónico sigue siendo la principal vía de entrada de los atacantes, aunque los mensajes de texto -SMS- también han sido explotados con éxito, según el Internet Crime Complaint Center, del FBI estadounidense. Tanto en los ataques BEC como en los de ransomware no operado el correo electrónico juega un papel fundamental, aunque es cierto que en los HOR los atacantes aprovechan sistemas expuestos a Internet, con vulnerabilidades o debilidades, para tomar el control de la infraestructura de la víctima; es especialmente significativo, en este ámbito, el aprovechamiento de sistemas de Programa Profesional en Ciberseguridad 17 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional terminal remota (RDP, Remate Desktop Protoco expuestos, como indica la propia EUROPOL. La capacidad de organizaciones criminales o delincuentes individuales de hacer uso de herramientas de ciberataques sin necesidad de contar con especialistas en la materia está generalizándose de forma global. La proliferación del Malware as a Servíce (MaaS) permite que cualquiera pueda adquirir recursos para llevar a cabo estos actos. El uso de la Dark Web y de criptomonedas para el pago facilita la ocultación de la contratación de estos servicios. La ciberdelincuencia afecta a todo tipo de organizaciones, incluyendo pequeñas empresas o entidades locales, que en muchos casos sufren un impacto enorme en proporción a su tamaño. Como ante cualquier otro delito, en todos los casos es siempre necesaria la denuncia de los hechos, tanto si el fraude se ha materializado como si ha sido en grado de tentativa. Ciberterrorismo y ciberyihadismo Aunque los yihadistas todavía no parecen ser capaces de desarrollar ciberataques sofisticados, no es menos cierto que Daesh, tras las importantes pérdidas sufridas en el mundo físico en los últimos años, parecen estar decididos a desarrollar esta vía de agresión, aun cuando, hasta el momento, los resultados más evidentes han sido las desfiguraciones y los ataques DDoS, todos ellos de naturaleza propagandística (puedes ver Site lntelligence Group, 2016, United Cyber Calíphate Maken Threats in "Message to America," Claims DDoS Attacks'). Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 0 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Estas características también se encuentran en las listas que han publicado, conteniendo información sobre individuos a los que Daesh animaba a asesinar, y que el movimiento terrorista afirmó haber obtenido mediante ciberataques (puedes ver Site lntelligence Group, 2017, Pro-IS Hacking Group CCTA ldentifies German Pilot to Kit. No obstante, gran parte de la información publicada podía encontrarse en Internet. Además de lo anterior, según se ha afirmado, los grupos yihadistas también pretenden desarrollar ciberataques dirigidos al desenvolvimiento diario de los ciudadanos, mediante tácticas violentas o en la perturbación social, aunque no se han producido manifestaciones en tal sentido. Según las estimaciones de los expertos, los ciberyihadistas -y los terroristas en un sentido más amplio- aún no son capaces de organizar ataques sofisticados y complejos (no es necesaria una gran experiencia y muchas y sofisticadas herramientas para los limitados ciberataques que los grupos yihadistas han llevado a cabo hasta el presente). No obstante, su poder ofensivo, unido a su capacidad para el reclutamiento, podría aumentar como consecuencia de la constitución por un buen número de activistas y grupos de activistas radicales del "United Cyber Caliphate", ganando experiencia con el acometimiento de ciberataques simples (puedes ver Site lntelligence Group, 2016, UCC Announces Merger with Cyber Kahilafah, Claims "Ki/1 Lists" arte Forthcoming). Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Por otro lado, la presencia de productos y servicios para desarrollar ciberataques, fácilmente accesibles en foros concretos, incrementa la preocupación por lo que tal realidad supondría en la reducción del umbral de ataque yihadista. Sea como fuere, lo que perece demostrado es que Daesh, en comparación con años precedentes, cuenta con menos fondos, lo que hace menos creíbles las oportunidades económicas para adquirir los productos y servicios más sofisticados (puedes ver ICSR & EY, 2017, Don't panic over cyber-terrorism: Daesh-bags still at script kiddie leve. Finalmente, hay que añadir que los ataques llevados a cabo hasta ahora por estos grupos mostraban una importante aleatoriedad. No obstante, ciertas publicaciones insisten en advertir que los yihadistas podrían estar preparando ciberataques contra infraestructuras críticas (puedes ver The Register, 2017), con la consiguiente publicidad que tendría la interrupción de un servicio de este tipo. No obstante, la planificación y el desarrollo de este tipo de ataques dirigidos y sofisticados requiere más experiencia en TI que la que han venido demostrando en los ataques perpetrados hasta ahora, sin perjuicio de la sensación de miedo que puede llegar a generar en los ciudadanos incluso el más simple de tales ataques. En 2020, el CCN-CERT, en su informe sobre Hacktivismo y Ciberyihadismo, CCN- CERT IA-04/20, se indicaba que durante los últimos años no se identificaron operaciones de ciberyihadismo y sigue sin haber evidencias de capacidades ofensivas de estos grupos en el ámbito ciber Aunque no haya constancia de capacidad operativa en el ciberespacio por parte de grupos terroristas, el uso de servicios legítimos para la difusión de mensajes ligados al terrorismo por parte de estos actores sigue siendo un hecho destacable, al igual que en años anteriores. Grupos terroristas usan estos servicios con el objetivo de reclutar miembros, potenciar su imagen -en cualquiera de los sentidos posibles-, establecer redes online de simpatizantes a efectos de comunicación y diseminación e Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 2 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional incluso obtener dinero. EUROPOL, en su informe Internet Organised Crime Threat Assessment (IOCTA) 2019, destaca la rápida adopción de nuevos servicios y tecnologías por parte de estos grupos, lo que en ocasiones dificulta el trabajo de eliminación o bloqueo de estos contenidos dañinos. Redes sociales, sitios de intercambio de ficheros, servicios de mensajería y streaming son aprovechados por estos actores con los fines anteriormente expuestos. Estos grupos están aprovechando para sus actividades plataformas pequeñas o de reciente creación como vía alternativa a las ya consolidadas, l o que dificulta los procesos judiciales y técnicos de bloqueo o eliminación, y por tanto mantiene operativa durante más tiempo la infraestructura dañina. En este sentido, la colaboración público-privada es, de nuevo, crítica para hacer frente a estas acciones, en especial entre fuerzas de seguridad y empresas que proporcionan servicios digitales. Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 3 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Hacktivismo Como es sabido, por regla general, los grupos hacktivistas llevan a cabo sus ciberataques por razones ideológicas. Un par de ejemplos históricos: en marzo de 2017, la creciente tensión diplomática con Turquía fue la razón por la cual varios grupos desarrollaran ciberataques (a pequeña escala) adeuciendo activismo político o motivacions nacionalistas. Seis meses antes, en julio de 2016, en Vietnam, las pantallas de información en varios aeropuertos mostraron lemas anti-vietnamitas y anti-Filipinas en relación con el conflicto en el Mar del Sur de China. Los medios de comunicación apuntaron su autoría al grupo hacktivista 1937CN. Sea como fuere, aun cuando el acometimiento de ciertos ciberataques exige un importante conocimiento, la amenaza que supone el hacktivismo podria crecer a la vista de la cada vez mayor disponibilidad de productos, servicios y herramientas para desarrollar atques con un significativo impacto social. Los estudios más significativos (como el informe CCN-CERT IA-04/20, anteriormente referenciado), ponen de manifiesto la ausencia de una estructura hacktivista en España que presente una capacidad coordinada para planear y ejecutar Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 4 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional ciberataques con un mínimo de peligrosidad; la única identidad digital capaz de orquestar operaciones, mínimamente estructurada y con capacidad técnica, es "La 9ª compañía", comúnmente conocida como "La9" o "La9deAnon". Tampoco se evidencia en España ningún movimiento equivalente a los hackers de países como China o Rusia. Ya en el ámbito internacional, se identifica la actividad de grupos hacktivistas ligados al ámbito del yihadismo, con operaciones de detacement, pero sin mayor repercusión. Al igual que en España, en el panorama internacional los aspectos generales del hacktivismo referencian a grupos escasamente organizados y con poca capacidad ofensiva. No obstante, es necesario destacar la actividad de identidades muy concretas (Phineas Fisher o PokemonGo, entre otros) cuyo comportamiento, aparentemente hacktivista, no se ajusta a los patrones habituales de estos grupos, que disponen de capacidades técnicas avanzadas y aparentemente no buscan una notoriedad personal. Diferentes analistas trabajan con la hipótesis de que estas identidades estén manejadas por actores avanzados manejando la información que previamente hayan podido robar, con propósitos de propaganda, desinformación o similares. Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Actores internos Durante los últimos años, el actor interno sigue suponiendo una preocupación para los responsables de seguridad de la mayoría de las organizaciones. En el último quinquenio viene evidenciándose un incremento de aproximadamente el 28% en relación a incidentes derivados de los usuarios (empleados o contratistas). La mayor parte de estos incidentes están ligados no a una intención dañina por parte de las personas que trabajan en una organización, sino a errores y a la falta de concienciación, formación y entrenamiento de los usuarios. La mayor parte de los incidentes ha causado un impacto reputacional en las organizaciones que los han sufrido, especialmente por la exposición de datos sensibles. El impacto económico, tanto directo en forma de fraude como indirecto en forma de robo de la propiedad intelectual o industrial, son también daños a considerar al hablar de la amenaza interna. La principal medida a adoptar en las organizaciones es la concienciación en un sentido amplio. Dado que la mayor parte de los incidentes no son intencionados, sino derivados de errores, es fundamental la capacitación de todos los usuarios, desde los administradores de sistemas hasta los perfiles que a priori no tienen un perfil de seguridad. Por supuesto, los controles técnicos -DLP, 1AM, etc.- son básicos, pero su utilidad siempre debe ser reforzada por la actitud y aptitud de los usuarios de la organización. Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5.5. Ciberamenazas y salvaguardas Ciberamenazas Los actores, para materializar los ataques, hacen uso de herramientas, explotan vulnerabilidades, emplean tácticas, técnicas y procedimientos. En definitiva, vías de materialización del daño y cuyo conocimiento permite potenciar las capacidades de detección de la amenaza o del impacto causado. Contextualizando factores relevantes para el ámbito de la ciberseguridad, algunos elementos destacables son los siguientes: ► Incremento de las acciones ligadas a actores Estado en el ámbito de las operaciones de influencia, propaganda, desinformación, etc... ► Mejora significativa de las capacidades técnicas y operativas de actores ligados a la delincuencia económica (fraude al CEO, Human Operated Ransomware,... ). ► Incremento del impacto contra sistemas ciberfísicos, bien como objetivo final, bien como daño colateral en ataques a infraestructura IT. ► Explotación de sistemas expuestos a internet por todo tipo de actores, hecho que se ha visto incrementado por situaciones de pandemia y el incremento del teletrabajo (exposición no controlada de organizaciones a internet). ► Necesidad, y tendencia, de los elementos ligados a inteligencia artificial en el ámbito de la seguridad, tanto para los atacantes como para los defensores. ► Por último, es necesario destacar de manera global la influencia de las pandemias, como la Covid-19, en la ciberseguridad, sus implicaciones directas y futuras que estas situaciones puedan motivar. La situación geopolítica de los últimos años marca una tendencia creciente en relación con las operaciones de ciberespionaje, una progresión que viene confirmada Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional por el incremento del número de países que ha adquirido la capacidad de recopilar inteligencia del ciberespacio. Estas capacidades las componen los denominados grupos APT (Amenaza Persistente Avanzada, de inglés "Advanced Persistent Threat"), que consisten en personal muy especializado, con grandes conocimientos técnicos y dotados de muchos recursos económicos y materiales, que llevan a cabo las intrusiones en las redes objetivo para permanecer ocultos durante el mayor tiempo posible y extraer información de ellas. En la actualidad, son muchos los países que disponen de la capacidad para desarrollar ataques de ciberespionaje, y su especialización sigue creciendo, al tiempo que lo hace la amenaza que representan. Esta capacidad, dirigida tanto al sector público como al privado, suele provenir de países que desean mejorar su posición a nivel político, estratégico o económico. Todo ello, sin olvidar las mafias organizadas y grupos de mercenarios cuyos grandes beneficios no hacen prever una disminución de este tipo de actividades. España sufre diariamente ciberataques de peligrosidad crítica o muy alta contra el sector público y empresas estratégicas. Algunas de estas acciones provienen de otros Estados, que tienen entre sus motivaciones debilitar la capacidad política, tecnológica y económica nacional. El impacto de estos ataques puede ocasionar Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional desde pérdidas millonarias en empresas privadas hasta interferir en el normal funcionamiento de servicios públicos esenciales para la ciudadanía. Sin embargo, los ataques que utilizan el ciberespacio no solo tienen como objetivo los sistemas informáticos de empresas e instituciones, sino que cada vez más están dirigidos a influir o alterar la opinión pública. Salvaguardas La seguridad de la información y la ciberseguridad se han convertido en una de las principales preocupaciones tanto de las Administraciones Públicas como de las organizaciones privadas, y no solo desde el prisma de la Administración General del Estado o las grandes corporaciones empresariales, sino también desde el prisma de las entidades locales o las pequeñas y medianas empresas. La cada vez mayor frecuencia de los incidentes en el mundo digital y el impacto que estos tienen están poniendo en evidencia que ninguna organización, sea cual sea su tamaño o naturaleza, escapa a la amenaza de un ciberataque. Una realidad que, de materializarse, puede afectar a su imagen reputacional o a la continuidad de sus servicios, y, por tanto, a su propia existencia, en función de su tamaño y de cómo se haya preparado para ello. En este sentido, la gestión de la ciberseguridad de las organizaciones debe estar totalmente alineada con la criticidad de sus procesos, sin perder de vista que la ciberseguridad no contempla únicamente aspectos técnicos, sino también organizativos, normativos y legales. Programa Profesional en Ciberseguridad 18 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 9 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Para ello, resulta fundamental que las salvaguardas tecnológicas estén coordinadas e integradas en una capa organizativa (gobernanza) que contemple aquellos aspectos complementarios a la tecnología (cumplimiento), necesarios para asegurar que la ciberseguridad y la seguridad de la información se entienden como un proceso ordenado y metodológico dirigido a garantizar la ciberresiliencia de los procesos de negocio. También es necesaria la existencia de un entramado legal que garantice la disponibilidad de los servicios esenciales para el funcionamiento de un país y la protección de la sociedad y los derechos fundamentales de sus ciudadanos. En otro orden de cosas, las Mejores Prácticas, como las Guías CCN-STIC, deben considerarse como referentes específicos en la actuación judicial o arbitral. En este sentido, la inadecuación total o parcial del sistema de información evaluado a lo dispuesto en la Guía CCN-STIC que resultare de aplicación en cada caso, podría ser calificada por un Equipo Auditor como una Observación, No Conformidad Menor o No Conformidad Mayor, atendiendo al impacto que su incumplimiento pudiera tener en la seguridad de dicho sistema de información. Una de las principales consecuencias que en el contexto de las tecnologías de la información y la comunicación ha tenido la pandemia mundial de la Covid-19 ha sido el hecho de que las organizaciones se han dado cuenta de la importancia de contar con planes de contingencia y planes de continuidad de negocio que realmente respondan a las necesidades de sus procesos de negocio, tanto desde el punto de vista de sus infraestructuras tecnológicas como desde el punto de vista del acceso a Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 0 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional sus instalaciones y de la disponibilidad de las personas encargadas de llevar a cabo esos procesos. Este hecho ha provocado que las organizaciones identifiquen de manera prioritaria la necesidad de revisar, actualizar y probar la efectividad de esos planes. En esta materia, el estándar de facto es la norma internacional ISO 22301, que determina los requisitos que deben contemplar los sistemas de gestión de continuidad de negocio para garantizar la disponibilidad y la resiliencia de los procesos críticos de negocio. La construcción de la seguridad de la información pasa, en primera instancia, por disponer de los elementos organizativos, normativos y procedimentales necesarios. Para ello, cada organización involucrada en el desarrollo y mantenimiento de un proceso de seguridad de la información debe haber redactado y aprobado la siguiente batería de herramientas normativas: ► Política de Seguridad de la Información. ► Normativa Interna. ► Procedimientos de Seguridad. Política de Seguridad de la Información En líneas generales, una Política de Seguridad de la Información es un conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que la organización gestiona y protege la información y los servicios que, sustentados en sistemas de información, constituyen sus competencias o funciones; conteniendo, entre otras cuestiones, la misión u objetivos de la entidad, su marco normativo, la organización de la seguridad de la información, la política de concienciación y formación, la gestión de los riesgos y su propio proceso de revisión. Además de ello, la Política de Seguridad de la Información debe detallar las atribuciones de cada departamento, unidad o persona responsable del Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional mantenimiento de la seguridad, así como los preceptivos mecanismos de coordinación y resolución de conflictos. La importancia capital de la Política de Seguridad de la Información, como base esencial para la construcción de la seguridad de la información, hace que constituya siempre el primer elemento que debe acometerse, debiendo ser públicamente aprobada por su órgano directivo, como evidencia del compromiso de la organización con la seguridad de la información y su mantenimiento. Para ampliar esta información puedes visitar la Guía CCN-STIC 805 ENS: Política de Seguridad de la Información. Normativa interna Dado que la Política de Seguridad es un documento de alto nivel, es necesario desarrollarla con documentos más precisos que ayuden a llevar a cabo lo propuesto, que materialicen sus requisitos mínimos y que suelen comprender: la organización e implantación del proceso de seguridad; el análisis y gestión de los riesgos; la gestión de personal; las características de la profesionalidad exigida, interna o externamente; la autorización y control de los accesos; la protección de las instalaciones; la adquisición de productos; la seguridad por defecto; la integridad y actualización de los sistemas; la protección de la información almacenada y en tránsito; la prevención ante otros sistemas de información interconectados; el registro de actividad; la gestión de los incidentes de seguridad; la continuidad de la actividad y la mejora continua del proceso de seguridad. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 2 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Por tanto, podemos decir que las Normas de Seguridad de la Información uniformizan el uso de aspectos concretos del sistema, indican el uso correcto y las responsabilidades de los usuarios y, al tratarse de normas de obligatorio cumplimiento, deben ser asimismo aprobadas y adecuadamente difundidas por el órgano directivo de la organización. Para ampliar esta información puedes visitar la Guía CCN-STIC 821 Normas de Seguridad. De entre ellas, la más importante, siguiendo lo dispuesto por la Política de Seguridad de la Información de la organización, es la Normativa interna del uso de los medios electrónicos, gestionados o bajo la responsabilidad de la entidad, que señalará los compromisos que adquieren sus usuarios respecto a su seguridad y buen uso, conteniendo, entre otras cuestiones, el uso correcto de equipos, servicios e instalaciones; lo que se considerará uso indebido y la responsabilidad del personal con respecto al cumplimiento o violación de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente. Procedimientos de seguridad Finalmente, para completar el marco normativo, cada entidad inmersa en la implantación y mantenimiento de un proceso de seguridad de la información debe disponer de un conjunto documental de Procedimientos de Seguridad que aborden cómo han de realizarse tareas concretas, indicando, paso a paso, el proceder deseable en cada caso, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 3 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Aunque cada procedimiento de seguridad deberá estar alineado con la medida de seguridad que desarrolla y que, por lo tanto, será dependiente del nivel de seguridad requerido, a modo de ejemplo, se señalan algunos de los procedimientos de seguridad más habituales: Procedimiento de Arquitectura de Seguridad de los sistemas; Procedimiento para la adquisición de nuevos componentes; Procedimiento de Gestión de Usuarios; Procedimiento de Control de Seguridad en la Operativa; Procedimiento de Gestión del Mantenimiento; Procedimiento de formación y concienciación; Procedimiento de protección de equipos móviles; Procedimiento de protección de la autenticidad y de la integridad; Procedimiento para la protección de información y de soportes de información; Procedimiento para el transporte y entrada y salida de soportes de información; Procedimiento de Clasificación y Gestión Segura de la Información; Procedimiento sobre control y borrado de Metadatos; Procedimiento de Respaldo y Recuperación; etc. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 4 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5.6. El marco jurídico de la ciberseguridad Como hemos estudiado en capítulos precedentes, la ciberseguridad es una disciplina que puede analizarse desde distintas perspectivas, tal y como refleja la figura siguiente. Modelo en el que deben considerarse elementos tales como su alcance (estratégico o táctico), su ámbito de aplicación (sector público y/o privado) y las herramientas usadas (jurídicas, tecnológicas u operativas). En la actualidad, el marco jurídico que, de una manera u otra, implica a la ciberseguridad (atendiendo a sus distintas dimensiones) es muy extenso; yendo desde regulaciones generales hasta legislaciones específicas o dirigidas a sectores concretos. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional La figura siguiente muestra un esquema de dichas regulaciones más significativas: Alguna de la legislación mostrada en la figura anterior ya ha sido tratada en epígrafes precedentes. Seguidamente, se analiza la legislación más significativa. Directiva NIS y su transposición en España La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva NIS), que entró en vigor el 9 de agosto de 2016, establece los requisitos mínimos comunes que deben cumplir todos los Estados miembros (EEMM) en materia de seguridad en las redes y de la información. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional ► La Directiva NIS es de aplicación a los denominados operadores de servicios esenciales (entidades públicas o privadas), de los siguientes sectores: Energía: Electricidad/ Crudo/ Gas Transporte: Aéreo / Ferrocarril / Marítimo y fluvial / Carretera Banca Infraestructuras de los mercados financieros Sector sanitario Suministro y distribución de agua potable Infraestructura digital ► Los criterios para la identificación de tales operadores han sido: presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales; la prestación de dicho servicio depende de las redes y sistemas de información, y un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio. ► La Directiva NIS se aplica únicamente a las administraciones públicas que hayan sido identificadas como operadores de servicios esenciales. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Además, la directiva NIS aplica a ciertos proveedores de servicios digitales, en concreto: ► Mercados en línea. ► Motores de búsqueda en línea. ► Servicios de computación en nube. La Directiva NIS obliga a: ► Identificar y comunicar a la Comisión los operadores de servicios esenciales y los proveedores de servicios digitales de los Estados Miembros. ► Comunicar y notificar a la Comisión incidentes con efecto perturbador significativo (incidentes de ciberseguridad que tengan efectos significativos). A escala nacional, se establece de obligado cumplimiento por parte de los operadores de servicios esenciales y de proveedores de servicios digitales, la notificación a la/s Autoridad/es Competente/so CSIRT nacionales aquellos incidentes de ciberseguridad que tengan efectos significativos, es decir, aquellos que afecten a la continuidad de los servicios esenciales que prestan. ► Desarrollar y comunicar a la Comisión la Estrategia nacional de seguridad de las redes y sistemas de información. ► Definir un marco de gobernanza que se coordine con las estructuras europeas de manera que pueda aplicarse la Directiva. Establece cierta flexibilidad para que los EEMM adapten sus estructuras organizativas existentes, cumpliendo los siguientes requisitos mínimos: Designar una o más AUTORIDADES COMPETENTES. Esta/s serán las competentes de supervisar la aplicación de la Directiva a escala nacional, además, estará/n facultada/s para adoptar directrices nacionales sobre las circunstancias en las que los operadores de servicios esenciales y proveedores de servicios digitales Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional deben notificar incidentes. Designar un único PUNTO DE CONTACTO ÚNICO nacional que se encargue de coordinar las cuestiones relacionadas con la Directiva y de la cooperación transfronteriza a escala de la Unión. Designar uno o varios EQUIPOS DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT), responsables de la gestión de incidentes. ► Cooperación a escala nacional. La estructura nacional designada deberá cooperar con respecto al cumplimiento de las obligaciones establecidas en la Directiva. (Notificaciones sobre incidentes, informar al punto de contacto... ) ► Cooperación a escala internacional, mediante: Establecimiento de una RED DE CSIRT. En la cual los EEMM intercambiarán información sobre servicios, operaciones y capacidades de cooperación. Creación del GRUPO DE COOPERACIÓN. Formado por representantes de los EEMM, la Comisión y la Agencia de Seguridad las Redes y de la Información de la Unión Europea (ENISA). El apoyará y facilitará la cooperación estratégica, el intercambio de información y buenas prácticas y evaluará las capacidades y el grado de preparación de los EEMM en lo que se refiere a la aplicación de la Directiva. ► Establecer el régimen de sanciones. Cada EEMM establecerá el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas, asimismo adoptará todas las medidas necesarias para garantizar su aplicación. Además, cada EEMM deberá comunicar el régimen y las medidas a la Comisión así como toda modificación que realice sobre las mismas. ► Transposición. Los Estados miembros adoptarán y publicarán, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva e informarán de ello inmediatamente a la Comisión. Para ello dispondrán de 21 meses desde su adopción. Programa Profesional en Ciberseguridad 19 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 9 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional El 8 de septiembre de 2018, el Boletín Oficial del Estado publicaba el Real Decreto- ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, cumpliendo el mandato de transposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Aunque la Directiva Europea de la que trae causa limitaba su ámbito de aplicación a los denominados "operadores de servicios esenciales" y los "proveedores de servicios digitales", la norma española ha aprovechado el mandato para ampliar su alcance a sectores no expresamente incluidos en la Directiva (sin que ello suponga una derogación encubierta o un desplazamiento normativo de la legislación española vigente). Ejemplos significativos de esta ampliación lo constituyen los prestadores de servicios de confianza o de comunicaciones electrónicas, que entran a formar parte de los destinatarios de la norma, en cuanto puedan ser designados operadores críticos. Conviene señalar, llegado este punto, el esfuerzo desarrollado por el grupo de trabajo de redacción del RO-ley para cohonestar tres normas estatales, de especial significación en materia de (ciber)seguridad: el Real Decreto 3/201O, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las Infraestructuras Críticas y la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional. Estas tres regulaciones constituyen sin duda los pilares funcionales del nuevo Real Decreto-ley, cuyo desarrollo reglamentario, como examinamos más adelante, deberá tener en cuenta, muy especialmente, para la determinación de los servicios esenciales (y sus operadores) concernidos. El modelo de gobernanza recogido en el nuevo RO-ley se sustenta en el esquema de competencias que las vigentes Estrategias de Seguridad y Ciberseguridad Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 0 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Nacional han dibujado: el Consejo de Seguridad Nacional (punto de contacto español para el resto de la UE), el Consejo Nacional de Ciberseguridad (órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, creado por Acuerdo del Consejo de Seguridad Nacional del 5 de diciembre de 2013, cuya presidencia ostenta el Secretario de Estado - Director del Centro Nacional de Inteligencia), las Autoridades Competentes (por razón de los sectores implicados destinatarios de la norma) y los CSIRT de referencia (por razón de sus funciones legales para cada una de sus comunidades competenciales). Confiere el nuevo RO-ley a las denominadas Autoridades Competentes las funciones de supervisión, vigilancia y sancionadora, reservando para los CSIRT de referencia las funciones más operativas, tales como el análisis de riesgos y la conducción operativa nacional de la respuesta a incidentes, actuación nacional amparada en lo dispuesto en el art. 1491.29ª de nuestra Constitución, que confiere al Estado las competencias exclusivas en materia de seguridad nacional, siendo la ciberseguridad una de sus manifestaciones, como ha señalado el Tribunal Constitucional en varias sentencias. Estos CSIRT de referencia constituyen, a nuestro entender, la piedra angular sobre la que descansa el tratamiento de la ciberseguridad, pues, más allá de las funciones otorgadas legalmente a las Autoridades Competentes, materializan los mecanismos de prevención, detección y respuesta a los incidentes, funciones que, a partir de la entrada en vigor de este nuevo RO-ley, exigen de todos ellos la máxima coordinación, como asimismo prevé la norma, confiriendo al CCN-CERT (del Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia) la función de coordinador nacional en los supuestos de especial gravedad. Esta exigencia de coordinación se puso de manifiesto desde el arranque de las actividades del interdepartamental Grupo de Trabajo de Transposición de la Directiva NIS. Somos perfectamente conscientes de que, alcanzar tal compromiso, ha requerido de todos Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional los organismos competentes un laudable ejercicio de generosidad, exigida y justificada por la eficacia de la alta misión que tenían encomendada. La figura siguiente muestra un esquema simplificado de este marco general de reparto de competencias. Pese a tratarse de una norma en vigor y, por tanto, ejecutiva, el Real Decreto-ley pospuso a su desarrollo reglamentario determinadas cuestiones que veremos más adelante. En la actualidad, son numerosas las regulaciones de sustrato tecnológico que prescriben la notificación de incidentes al organismo competente de que se trate en cada caso. La figura siguiente ilustra, simplificadamente, esta realidad. Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 2 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional Esta diversidad legal, de la que en muchas ocasiones es sujeto obligado la misma entidad, alienta y justifica la existencia de una Plataforma Común para la notificación de incidentes, capaz de dar respuesta, a través de un solo proceso (contemplando la notificación inicial, las intermedias y la final) y dirigido automáticamente a cada autoridad competente por razón de la legislación afectada, lo que puede constituir, a nuestro juicio, una de las medidas más innovadoras de este Real Decreto-ley en materia de ciberseguridad, a imagen de lo que ha venido desarrollando en CCN- CERT en el Sector Público con la plataforma LUCIA. El desarrollo reglamentario del RO-ley y una coherente definición funcional de tal Plataforma Común, exigirá de nuevo de las Autoridades Competentes su mejor disposición para lograr que tal herramienta sea finalmente una realidad plenamente operativa, lo que contribuirá a lograr una gestión de la seguridad más eficiente, en beneficio de todos. El RO-ley exhibe un régimen de infracciones especialmente riguroso. Un solo ejemplo: en determinadas circunstancias, tipifica como muy grave la falta de adopción de las medidas para subsanar las deficiencias detectadas o el incumplimiento reiterado de la obligación de notificar los incidentes. Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 3 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional En sintonía con el repertorio de infracciones, el Real Decreto-ley contempla un régimen sancionador severo. A saber: amonestación o multa de hasta 100.000 euros, para las infracciones leves; multa de 10.001 euros hasta 500.000 euros, para las infracciones graves y multa de 500.001 euros hasta un millón de euros, para las infracciones muy graves. Como vemos, y pese a su severidad, la norma, siguiendo los pasos de otras regulaciones de sustrato tecnológico, contempla la mera amonestación, en los casos de más leves; regulando un régimen de graduación de la cuantía de las sanciones atendiendo a criterios tales como la culpabilidad o negligencia, persistencia, reincidencia, cuantía de los daños causados o número de usuarios afectados, entre otros. El desarrollo reglamentario al que antes nos hemos referido tuvo lugar por Real Decreto 43/2021, que desarrolló los siguientes aspectos: ► La identificación de los factores específicos en los sectores de los operadores de servicios esenciales para determinar si un incidente podría tener efectos perturbadores significativos. ► En la determinación de las Autoridades Competentes, la autoridad sectorial correspondiente por razón de la materia, cuando no se trate de operadores críticos. ► Dentro de las funciones de las Autoridades Competentes, el establecimiento de canales de comunicación con los operadores de servicios esenciales y los proveedores de servicios digitales y los protocolos de actuación para la coordinación con los CSIRT de referencia. ► La identificación de los operadores de servicios esenciales con incidencia en la Defensa Nacional. ► La determinación de los supuestos de especial gravedad que requieran de la coordinación nacional del CCN-CERT. Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 4 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional ► La determinación de los mecanismos de coordinación de los CSIRT de referencia con la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad del Ministerio del Interior, cuando las actividades de respuesta puedan afectar a un operador crítico. ► La determinación de las medidas técnicas y de organización que deberán adoptar los operadores de servicios esenciales y los proveedores de servicios digitales. ► La fijación de los plazos para la designación y comunicación a la Autoridad Competente por parte de los operadores de servicios esenciales, de la persona, unidad u órgano colegiado responsable de la seguridad de la información y la identificación de sus funciones. ► La determinación, a efectos de notificación, de los sucesos o incidencias que podrían afectar a las redes y sistemas de información, aun cuando todavía no lo hayan hecho. ► La determinación de las medidas necesarias relativas a la notificación de incidentes por parte de los operadores de servicios esenciales. ► El órgano de la autoridad competente para la imposición de sanciones en el caso de infracciones graves o leves. Estrategia Nacional de Ciberseguridad de 2019 Ya vista en epígrafes precedentes, el 30 de abril de 2019, el Boletín Oficial del Estado recogía la Orden PCl/487/2019, de 26 de abril, por la que se publicaba la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional en su reunión del 12 de abril. Dicha estrategia, alineada con la Estrategia de Seguridad Nacional de 2017, establece un esquema novedoso en el ámbito de la ciberseguridad, con cinco (5) objetivos generales transversales a todos los ámbitos. La gestión de crisis, la cultura de Seguridad Nacional, los espacios comunes globales, el desarrollo tecnológico y la Programa Profesional en Ciberseguridad 20 Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 5 © Universidad Internacional de La Rioja (UNIR) Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional proyección internacional de España conforman una matriz estratégica donde la ciberseguridad está llamada a abrir nuevas vías hacia el modelo de presente y futuro de la seguridad en España. El Centro Nacional de Inteligencia participó activamente en la elaboración de esta Estrategia. No en vano, desde sus orígenes en 2014, ha ocupado la presidencia del Consejo Nacional de Ciberseguridad, órgano de apoyo del Consejo de Seguridad Nacional, coordinador de los organismos con competencia en la materia a nivel nacional. Reglamento europeo sobre la ciberseguridad (Cibersecurity Act) El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, surge con el objetivo de ampliar la respuesta de la Unión Europea a los ataques cibernéticos, mejorar su resiliencia y aumentar la confianza en el Mercado Único Digital. Dicho Reglamento tiene además como objetivos fortalecer a la Agencia Europea de Ciberseguridad (ENISA), para así mejorar la coordinación y la cooperación en materia de ciberseguridad en todos los Estados miembro de la UE y entre instituciones, agencias y organismos; y establecer un marco de certificación de ciberseguridad de la Unión Europea que permita el surgimiento de esquemas de certificación particularizados para categorías específicas de productos, procesos y servicios de TIC. El CCN

Tema 5. Normativa vigente de ciberseguridad PDF

Document Details

Tags

Related

Summary

Full Transcript