Dentro de los organismos de ciberseguridad existentes en España, uno de los más importantes es el Centro Criptológico Nacional (CCN) y el Centro Criptológico Nacional Computer Emergency Response Team (CCN CERT), que depende del primero. Explicamos aquí cuáles son sus servicios, funciones y composición.
Indice
¿Qué es el Centro Criptológico Nacional?
El Centro Criptológico Nacional (CCN) es un órgano público dependiente del Centro Nacional de Inteligencia con la función de descifrar y criptoanalizar usando medios manuales, electrónicos y criptofonía. También debe realizar investigaciones tecnológico-criptográficas y formación del personal en temas de criptografía.
Fue regulado por un Real Decreto en 2004. Es un órgano integrado dentro del CNI, forma parte del mismo y este es el responsable de su funcionamiento.
La sociedad española demanda unos servicios de inteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos y amenazas actuales en el ámbito nacional e internacional.
Entre los elementos más característicos de esta nueva situación están:
- desarrollo alcanzado por las tecnologías de la información,
- facilidad y flexibilidad de su transmisión en diversos soportes,
- generalización casi universal de su uso y
- accesibilidad global a las diversas herramientas y redes.
Razones de eficacia, economía y coherencia administrativa recomiendan el establecimiento de medidas para:
- regular y coordinar la adquisición del sofisticado material que se precisa,
- la homologación de su capacidad y compatibilidad, sus procedimientos de empleo y
- la formación técnica del personal de la Administración especialista en este campo.
Asimismo, ha de elaborarse y mantenerse actualizada la normativa relativa a la protección de la información clasificada y velar por su cumplimiento, para evitar el acceso a ésta de individuos, grupos y Estados no autorizados.
Funciones
El Centro Criptológico Nacional es el organismo responsable de dar respuesta a estas necesidades, planteadas en el Real Decreto 421/2004, de 12 de marzo, por el que se le asignan las siguientes funciones:
- Elaborar y publicar normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC.
- Lleva a cabo la formación del personal del Sector Público especialista en el campo de la seguridad.
- Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.
- Coordinar la promoción, desarrollo, obtención, adquisición y puesta en explotación y uso de tecnologías de seguridad.
- Evaluar y acreditar la capacidad de los productos de cifrado y de los sistemas para manejar información de manera segura.
- Constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad, aplicable a productos y sistemas en su ámbito.
- Contribuir a la mejora de la ciberseguridad española, a través del CCN-CERT, afrontando de forma activa las amenazas que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y a cualquier sistema TIC que procese información clasificada.
- Establecer las pertinentes relaciones y firmar los acuerdos necesarios con organizaciones similares de otros países, para el desarrollo de las funciones anteriores.
Composición
El CCN dispone de su propio personal pero este está sujeto al estatuto del personal del CNI, con el que comparte normativa, procedimientos y recursos.
Dentro del CCN se distinguen dos partes:
- El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI)
- El Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT)
El Director y máximo responsable del CCN es el director del CNI. Pero las funciones de dirección las desempeña un funcionario con rango de subdirector, con el apoyo de un subdirector adjunto.
El director del CNI tiene las siguientes funciones:
- Asegurar el cumplimiento de las funciones atribuidas al CCN
- Certificar la seguridad de las tecnologías de la información y de la criptografía
- Velar por la protección de la información clasificada referida a sistemas de información y telecomunicaciones.
Oficina Nacional de Seguridad (ONS)
La Oficina Nacional de Seguridad (ONS) se crea, en 1983, como Órgano de trabajo del Secretario de Estado Director del CNI para cumplir con sus cometidos en relación a la protección de la información clasificada.
La función principal de la ONS es velar por el cumplimiento de la Normativa relativa a la Protección de la Información Clasificada, tanto Nacional como la que se facilita a la Administración o a las empresas según Tratados o Acuerdos internacionales suscritos por España.
Consejo de Ciberseguridad Nacional
El Consejo de Ciberseguridad Nacional es el órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, en el marco de la Ley 50/1997 que se creó por Acuerdo del Consejo de Seguridad Nacional del 5 de diciembre de 2013. Este órgano es presidido por el secretario de Estado director del Centro Nacional de Inteligencia y director del Centro Criptológico Nacional.
Su misión es reforzar las relaciones de coordinación, colaboración y cooperación entre las diferentes Administraciones Públicas competentes en materia de ciberseguridad, así como entre los sectores públicos y privados, y facilitar la toma de decisiones del propio Consejo mediante el análisis, estudio y propuesta de iniciativas en el ámbito nacional e internacional.
Se reúne a iniciativa de su presidente como mínimo cada dos meses o las veces que sea necesario según las circunstancias que afecten a la Ciberseguridad.
Organismo de Certificación
La adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad aplicados en el producto son adecuados para proteger dicha información.
La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN).
Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
Para la certificación criptológica y para la certificación TEMPEST, el Organismo de Certificación utiliza criterios y métodos propios.
Se efectúan tanto auditorías internas como auditorías externas al OC. La auditoría interna es efectuada por personal del CNI (no perteneciente al CCN), para verificar que la actividad de certificación se realiza según las normas y procedimientos establecidos en cada caso.
La auditoría externa se efectúa por la Entidad Nacional de Acreditación (ENAC), según la correspondiente norma ISO, y es necesaria para que el OC siga teniendo la acreditación como entidad de certificación de producto.
Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT)
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI.
Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010 regulador del Esquema Nacional de Seguridad (ENS).
Funciones
Su misión es fomentar la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que proporcione ayuda y cooperación para responder rápida y eficientemente a los ciberataques y para luchar de forma activa contra las ciberamenazas. También le corresponde coordinar a nivel público estatal los distintos Centros de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.
Todo esto con la finalidad de:
- conseguir un ciberespacio más seguro y confiable,
- asegurar la información clasificada y sensible,
- defender el Patrimonio Tecnológico español,
- formar al personal experto,
- aplicar políticas y procedimientos de seguridad y
- desarrollar las tecnologías más adecuadas a este fin.
De acuerdo con esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.
Servicios CCN-CERT
Los servicios proporcionados por CNN-CERT son:
- Gestión de Incidentes
- Sistema de Alerta Temprana, SAT
- Formación y sensibilización
- Guías de Seguridad
- Informes de Ciberseguridad
- Soluciones
- Cumplimiento del ENS
- Auditorías Web
- Capacidad forense y de ingeniería inversa