Ha llovido mucho desde entonces, hasta ha habido un cambio de gobierno, y justo el día en el que se anuncian elecciones generales se aprueba en el Consejo de Ministros la creación del Centro de Operaciones de Ciberseguridad AGE para la prestación de servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas en las operaciones diarias de los sistemas de información y comunicaciones de la AGE, así como la mejora de su capacidad de respuesta ante cualquier ataque. La responsabilidad de la dirección estratégica del SOC será de la Secretaría General de Administración Digital (SGAD) mientras que la operación del servicio recae en el CCN-CERT del Ministerio de la Defensa.
Aunque sea una creación tardía desde su anuncio a finales de 2017, hoy es un día para celebrar la noticia de la creación del centro pero con la mesura que requiere ya que la creación del SOC de la AGE debe ser el principio de un largo camino en la mejora de la ciberseguridad en la AGE y no el final. Espero que no veamos noticias falsas que indiquen que con ésto ya se ha solucionado la problemática de la ciberseguridad en la AGE o que la SGAD y el CCN-CERT son los responsables de toda la ciberseguridad en la AGE porque no es así.
- Según la Web del CCN-CERT, el SOC de la AGE viene a aportar capacidades complementarias a las existentes (no a reemplazarlas), desempeñando las siguientes funciones:
- Operación, monitorización y actualización de dispositivos de defensa perimetrales.
- Detección, respuesta coordinada, investigación de ciberataques y ciberamenazas y resolución de incidentes de seguridad.
- Servicio de Alerta Temprana (SAT) en las conexiones a Internet, a redes interadministrativas comunes y, bajo petición, a redes corporativas de las entidades.
- Análisis de vulnerabilidades de aplicaciones y servicios.
- Servicios anti-abuso de identidad digital.
Figura 1. Centro de operaciones de seguridad de la NSA.
Parece un buen comienzo y profundizando sobre el camino a seguir con los futuros pasos que debería dar el SOC o los Organismos Públicos para mejorar sus capacidades de ciberseguridad, ¿Qué nos quedaría pendiente?
Servicios de vigilancia digital ampliada:
- Gestión de vulnerabilidades continua en entornos internos, red SARA e Internet.
- Establecer líneas base de configuración segura o de actualización de parches mínima para las diversas arquitecturas de producción de los organismos.
- Auditoría automatizada continua o pentesting continuo de aplicaciones.
- Servicio de auditoría de código fuente o de security testing para los desarrollos seguros de aplicaciones Web.
- Vigilancia digital con capacidad de análisis de webs, foros y redes sociales y correlación con fuentes de inteligencia para la detección previa de las posibles campañas o ataques dirigidos a la AGE.
Consultoría y apoyo técnico:
- Consultoría de gestión para tener un sistema de gestión mínimo que permita a pequeños organismos que tienen carencias en seguridad disponer de un plan mínimo de adecuación al ENS.
- Servicios técnicos de bastionado de equipos o adecuación a las guías CCN-STIC.
- Respuesta a incidentes in-situ para apoyar la mitigación del impacto de incidentes críticos que puedan expandirse a otros Organismos.
Formación y concienciación:
- Formación técnica dirigida a los equipos de respuesta a incidentes de los organismos para disponer de unas capacidades de interlocución mínimas y entender el enfoque y procedimientos de escalado del servicio.
- Concienciación a usuarios finales con material para uso extensivo en toda la AGE, con formatos “píldora”, en tono formal e informal, etc.
- Concienciación específica dirigida a los altos cargos mediante sesiones breves para que conozcan el escenario de ciberseguridad en el que nos encontramos y puedan comprender las medidas de seguridad que se implantan que van orientadas a proteger su información y minimizar riesgos. En este caso es fundamental contar con los empleados públicos de cada Orgsanismo y, a ser posible, utilizar las estructuras de los Comités definidos en las políticas de seguridad.
Seguridad vertical / Seguridad de negocio:
- Orientación a la seguridad de la información (Menos ciber y más negocio). En la medida en la que se desarrollen las capadidades de los servicios compartidos de ciberseguridad que se prestan a los Organismos, tendrán que crecer las capacidades sectoriales para orientar la seguridad al negocio, las aplicaciones y los datos.
- Integración en el ciclo de vida de desarrollo y creación de servicios. Pasar de modelos DevOps a DevSecOps
- Seguridad desde el diseño / Privacidad desde el diseño.
- Plan de continuidad de negocio.
- Medidas de protección específicas para aplicaciones y tratamientos (Apps y Datos).
A la vista del estado de la seguridad en el que se encuentran los sistemas de acuerdo a los resultados que muestra el informe INES, y del panorama de riesgo creciente que reflejan los informes anuales de ciberamenazas y tendencias del CCN-CERT, celebremos la noticia de la creación del SOC con moderación y pongámonos a trabajar en lo que nos queda por hacer.
Autor: Miguel Ángel Rodríguez Ramos, experto en ciberseguridad en el sector público y fundador de la comunidad ProtAAPP: Protege las Administraciones Públicas
bitt.es
ResponderEliminarLa ingeniería en seguridad informática es esencial para proteger datos y sistemas de amenazas cibernéticas. Desarrolla técnicas y soluciones innovadoras para prevenir ataques, garantizar la confidencialidad y mantener la integridad de la información.