El pasado mes de diciembre se organizaron las decimoterceras jornadas STIC CCN-CERT en Madrid, bajo el lema Comunidad y Confianza, bases de nuestra ciberseguridad. El Departamento de Ciberseguridad del Centro Criptológico Nacional organiza estas jornadas ininterrumpidamente desde 2007, y este año han conseguido congregar a 3.300 profesionales de la ciberseguridad, con el objetivo de intercambiar información e ideas, construir relaciones de confianza y cooperar en intereses comunes.
El Jefe del Departamento de ciberseguridad del Centro Criptológico Nacional (CCN), Javier Candau, expuso a los asistentes los principales retos de la ciberseguridad nacional para este año. Candau empezó hablando de las novedades en normativas, destacando la nueva Estrategia Nacional de Ciberseguridad, publicada en abril de 2019, y la Cybersecurity Act, cuya misión es fortalecer el papel de la Agencia Europea de Ciberseguridad (ENISA) y crear un marco europeo de certificación. A su vez presentó las nuevas soluciones del CCN, como las herramientas AMPARO y EMMA, esta última clave para conseguir una reducción de la superficie de exposición en las redes, ya que según afirmó “es de vital importancia segmentarlas”.
La implantación del nuevo ENS (Esquema Nacional de Seguridad), con la ayuda del Ministerio de Política Territorial y Función Pública, será uno de los objetivos del 2020 del Departamento de Ciberseguridad. Asimismo elaborar una evaluación continua, para reducir la superficie de exposición, impulsando la realización auditorías regulares para verificar la exposición de vulnerabilidades y deficiencia de la configuración, y lanzar una nueva versión de la herramienta Lucía 3.0 sobre notificación de incidentes la solución que hará más fácil la cooperación entre organismos para notificar y dar respuesta a los incidentes.
El despliegue del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (SOC de la AGE, por su denominación inglesa Security Operations Center), la resolución de incidentes o el impulso del foro CSIRT.es. (Computer Security Incident Response Team) son también los retos a alcanzar por este organismo. Candau hizo hincapié en un reto importante para él como es la capacitación de los profesionales de ciberseguridad. “Tenemos nuevos cursos de Ciberseguridad pero no tenemos un diseño curricular y tampoco huecos en la administración para estos perfiles”, añadió.
El Jefe del Departamento de ciberseguridad del CCN aseguró que el centro se ha marcado para 2025 cambiar los sustantivos por los verbos que inviten más a la acción, por tanto sustituir “prevención” por “desarrollar capacidades técnicas y humanas”, así como “detención” por “defender con medidas activas que fortalezcan todas las medidas que tienen los organismos”. Y el último reto sería sustituir “respuestas” por “disuadir”.