Objetivo: compartir información de amenazas de ciberseguridad
El Centro Criptológico Nacional (CCN) desarrolla la Red Nacional de SOC para mejorar la capacidad de protección y defensa del ciberespacio español. Se trata de una plataforma que integrará los centros de operaciones de seguridad de administraciones y organizaciones para intercambiar información y hacer un seguimiento de incidentes, con el propósito de mejorar la seguridad. Está aún por ver cómo se incorporará a las universidades a esta red.
La administración pública X sufre un ataque ransomware y, un mes después, el resto de organismos a penas tienen información sobre lo que realmente pasó. Esto es lo viene pasando en los últimos años. Pero si, esta información se compartiera en tiempo real, se podría evitar que le pasara a otro. Este es, precisamente, el sentido por el que nace esta Red Nacional de SOC, que aglutinará los Centros de Operaciones de Seguridad (conocidos por sus siglas en inglés Security Operation Center, SOC) de la Administración General del Estado, las comunidades autónomas, las entidades locales y sectoriales, como podría ser el ámbito sanitario y los puertos, y que liderará el Centro Criptológico Nacional (CCN) con el apoyo del sector privado. En esta colaboración, destaca, por ejemplo, la labor del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV), el primer centro de estas características en España para un ámbito autonómico, que busca contribuir a la mejora de la seguridad de los sistema de información y promover una cultura de seguridad y de buenas prácticas en el uso de las nuevas tecnologías.
Los SOC son los equipos de seguridad responsables de garantizar la seguridad de la información con funciones de prevención, detección, respuesta y recuperación.
La sobreinformación, la falta de recursos y los acuerdos de confidencialidad del sector privado son algunos de los impedimentos con que se ha topado este proyecto, según reconoció el jefe de área de Centros de Operaciones de Ciberseguridad del CCN, Carlos Córdoba, en una ponencia en las XV Jornadas STIC CCN-CERT ‘Ciberseguridad 360. Identidad y control del dato’. Finalmente, con seis empresas voluntarias que dan apoyo a la administración, el CCN está diseñando un piloto colaborativo para intercambiar indicadores de posibles incidentes para valorarlos entre todos y establecer los criterios necesarios para que un organismo se integre dentro de esta Red Nacional. Esta iniciativa busca sumar sinergias para hacer frente a los ciberdelincuentes, cada vez más profesionalizados e industrializados.
“Los ciberdelincuentes están como en un supermercado y cada uno va a la parte que quiere. Y nosotros tenemos nuestro escudito y si juntamos todos nuestros escuditos, podemos hacer un escudo grande. Pero el que crea que con su escudito es suficiente, va mal”.
Carlos Córdoba, jefe de área de Centros de Operaciones de Ciberseguridad del CCN
¿Cuáles son los objetivos de la Red Nacional?
- Intercambio automático y fluido de ciberincidentes con la plataforma nacional LUCIA
- Compartir las reglas para la Vigilancia y Detección tanto perimetral como interna
- Despliegue de EDRo XDR del catálogo CCN-STIC
- Impulso del cumplimiento del ENS en las organizaciones
- Intercambio de ciberinteligencia con la Plataforma Nacional
- Colaboración e intercambio de mejores prácticas, investigaciones en curso y otras actividades de vigilancia digital
Según el CCN, una vez establecido el SOC, se trataría de definir un modelo colaborativo en el que en base a unos incentivos se facilite el intercambio de información.
¿Cómo se integrarán las universidades en esta Red Nacional?
Hasta ahora son relativamente pocas las administraciones públicas que cuentan con un SOC con personal especializado y, en cambio, es una herramienta imprescindible para cualquier organización que utiliza las TI y, más, ante la escalada de ciberataques que se está viviendo en los últimos dos años. Las universidades no se han escapado de esta amenaza y una muestra de ello son los últimos casos conocidos, como el de la Universitat Autònoma de Barcelona (UAB) que en el mes de octubre de 2021 sufrió un ataque ransomware o la Universitat Oberta de Catalunya (UOC) que fue víctima un ataque informático tipo ransomware que bloqueó su campus virtual a principios de 2022.
Habrá que esperar a conocer cómo se integra la seguridad de las universidades en esta Red Nacional. Existen centros universitarios que tienen contratado un servicio SOC externo a una empresa y hay otras que disponen de uno con personal interno. Está claro que la Red Nacional permitirá mejorar tanto la detección como la operativa, es decir, no solo compartir inteligencia para vigilar las ciberamenazas, sino también conocer qué medidas o mecanismos se pueden implementar para evitar esos incidentes de seguridad.
Principales ventajas de una Red Nacional SOC para las universidades:
- Beneficiarse de la inteligencia del resto de instituciones en tiempo real. Eso se traduce en un mayor control y seguridad. Uno de los principales puntos positivos es que todo ello permite correlacionar los eventos de manera que si atacan a dos organizaciones, se puede determinar si es el mismo origen.
Esta Red Nacional de SOC española está avalada por la Unión Europea que, en el marco de la Estrategia de Ciberseguridad, apuesta por la creación de una red de Centros de Operaciones de Seguridad de toda Europa, basados en inteligencia artificial. Esta plataforma, según la Comisión Europea, “reforzará la protección de la Unión en materia de ciberseguridad, será capaz de detectar indicios de ciberataques con suficiente antelación y permitiendo adoptar medidas proactivas, antes de que los daños se lleguen a producir”. Precisamente, el director de la Agencia de la Unión Europa para la Ciberseguridad, Juhan Lepassaar, defendía en declaraciones a EL PAÍS esta colaboración, a pesar de que cada país tuviera un punto de vista diferente: “las ciberamenazas refuerzan la necesidad de cooperación entre los miembros de la Unión Europea”.
