💡 La guía CCN-STIC 892, publicada en el portal del CCN-CERT, tiene por objeto mostrar el Perfil de Cumplimiento Específico que se ha desarrollado para dar respuesta a las disposiciones de la Directiva NIS2 por parte de las organizaciones en el ámbito de aplicación del Esquema Nacional de Seguridad. Cuenta, además, con un mapeo entre ambas normativas
La publicación CCN-STIC 892, elaborada por el Centro Criptológico Nacional (CCN-CERT), representa un pilar fundamental para la ciberseguridad de las empresas españolas en el ámbito de la Directiva NIS2.
Un Perfil de Cumplimiento Específico para Entidades Esenciales
Un perfil de cumplimiento específico es un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 311/2022, de 3 de mayo, que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad
1. Un Enfoque Basado en Riesgos para la Ciberseguridad
La publicación CCN-STIC 892 adopta un enfoque basado en riesgos para la gestión de la ciberseguridad, lo que significa que las entidades esenciales deben:
- Identificar los activos de información: Recursos valiosos como datos confidenciales, sistemas de control industrial y software crítico.
- Evaluar los riesgos: Analizar las amenazas potenciales a los activos de información y determinar la probabilidad y el impacto de un ciberataque exitoso.
- Implementar medidas de seguridad: Aplicar controles adecuados para mitigar los riesgos identificados, tales como firewalls, sistemas de detección de intrusiones y controles de acceso.
- Monitorizar y revisar: Realizar un seguimiento continuo de la eficacia de las medidas de seguridad y revisarlas periódicamente para adaptarlas a las nuevas amenazas.
Este perfil establece un conjunto de requisitos de seguridad específicos que deben cumplir las entidades que operan en sectores críticos como la energía, el transporte, la salud y las finanzas, tal y como se definen en los anexos de la publicación.
2. Principales Medidas Impulsadas por la Guía CCN-STIC 892
2.1 Seguridad en la Gestión de la Información:
- Clasificación de la Información: Establece directrices para clasificar la información según su nivel de sensibilidad y criticidad, lo que ayuda a determinar las medidas de protección adecuadas para cada categoría.
- Política de Retención y Destrucción de Información: Proporciona pautas para la retención segura de la información y su destrucción cuando ya no sea necesaria, minimizando riesgos de exposición no autorizada.
Nos ayudan herramientas de clasificación de información, que la busquen en todos los repositorios y nos ayuden a clasificarla con etiquetas para protegerla mejor .
2.2 Seguridad en la Gestión de Activos:
- Inventario de Activos: Se requiere mantener un inventario actualizado de todos los activos de información, incluyendo hardware, software, datos y documentos, para asegurar un control efectivo.
- Asignación de Responsabilidades: Designa responsabilidades específicas para la gestión y protección de cada activo, asegurando que siempre haya un responsable claro.
Nos ayudan herramientas de inventario, que nos ayuden recopilando información de los activos, como versiones, configuraciones, y facilitando APIs para que lo usen otras herramientas.
2.3 Gestión de Riesgos de Seguridad:
- Evaluación de Riesgos: Promueve la realización de evaluaciones de riesgos periódicas para identificar amenazas y vulnerabilidades que puedan afectar la seguridad de la información.
- Planes de Tratamiento de Riesgos: Se requiere la creación de planes específicos para mitigar o eliminar los riesgos identificados.
Además de nuestras herramientas habituales de vulnerabilidades , nos pueden ayudar las herramientas de tipo BAS (Breach and Attack Simulation) que valoran la eficacia y correcta configuración de las herramientas que ya tenemos desplegadas.
2.4 Control de Acceso:
- Autenticación y Autorización: Establece políticas para la autenticación segura de los usuarios y la autorización para acceder a la información, garantizando que solo las personas autorizadas tengan acceso a datos sensibles.
- Control de Acceso Físico y Lógico: Incluye medidas para proteger tanto el acceso físico a las instalaciones como el acceso lógico a los sistemas de información.
Soluciones PAM (Gestión de cuentas privilegiadas), autenticación MFA , passwordless … sin nada de esto implementado eres tremendamente vulnerable
2.5 Seguridad en Comunicaciones y Operaciones:
- Protección de la Red: Define medidas para asegurar la protección de la red contra accesos no autorizados y ataques, incluyendo el uso de firewalls, sistemas de detección de intrusos y redes privadas virtuales (VPN).
- Gestión de Incidentes: Establece un procedimiento para la identificación, respuesta y recuperación de incidentes de seguridad, con el fin de minimizar el impacto y restaurar la normalidad rápidamente.
Firewalls y firewalls … siguen siendo un imprescidible hoy en día, para red, para contenedores, para virtualización, para servicios CLOUD . Le sumamos SASE (Secure Access Service Edge), porque la red ya no son solo los cables que se encuentra en nuestras organizaciones y además todo orquestado y controlado por sistemas gestionados de seguridad… como los servicios MDR (Managed Detection and Response).
2.6 Seguridad en el Desarrollo y Mantenimiento de Sistemas:
- Ciclo de Vida Seguro del Software: Promueve la integración de prácticas de seguridad a lo largo del ciclo de vida del software, desde la planificación y el desarrollo hasta la implementación y el mantenimiento.
- Gestión de Cambios: Establece un proceso formal para la gestión de cambios en los sistemas de información, asegurando que los cambios no introduzcan nuevas vulnerabilidades.
El DevSecOps , Seguridad CI/CD, seguridad en la cadena de suministro, seguridad SDLC, CNAPP , … será por palabros, vamos …
2.7 Gestión de la Continuidad del Negocio:
- Planes de Continuidad: Requiere el desarrollo de planes de continuidad del negocio que aseguren la operación ininterrumpida de las funciones críticas en caso de una interrupción significativa.
- Pruebas y Actualizaciones de Planes: Insiste en la necesidad de realizar pruebas regulares y actualizar los planes de continuidad para asegurar su eficacia en caso de emergencia.
Backups, backups y backups … con una estrategia de inmutabilidad y de verificación continua, tienen que ser PROBADOS . Y procedimientos y procedimientos que tienen que ser PROBADOS.
2.8 Cumplimiento y Auditoría:
- Cumplimiento Normativo: Asegura que todas las medidas de seguridad cumplan con las normativas y leyes aplicables, como el RGPD (Reglamento General de Protección de Datos).
- Auditorías de Seguridad: Establece la necesidad de realizar auditorías periódicas para evaluar la efectividad de las medidas de seguridad y asegurar el cumplimiento continuo.
Pues eso, las normativas … bla bla y bla, hay gente que le mola.
2.9 Formación y Concienciación:
- Capacitación en Seguridad: Promueve la capacitación continua del personal en temas de seguridad de la información para mantener una alta conciencia y competencia en la protección de datos.
- Programas de Concienciación: Implementa programas de concienciación para que todos los empleados comprendan sus responsabilidades en la protección de la información.
Cursos de ciberseguridad adaptados a cada grupo de empleados de la empresa, todos tienen que saber lo que es el phising, todos tienen que saber que no sale gratis hacer un click, todos tienen que saber que son parte de la cadena de la seguridad de la empresa.
Estas medidas tienen como objetivo crear un entorno seguro y resiliente para la gestión de la información y la tecnología en las organizaciones, minimizando los riesgos y asegurando la continuidad y protección de los servicios y datos críticos.
3. Anexos: Detallando el Alcance de Aplicación
Los anexos de la Guía CCN-STIC 892 proporcionan una descripción detallada de las entidades a las que se aplica el perfil de cumplimiento específico:
3.1 Anexo I: Servicios Esenciales
Este anexo clasifica los servicios esenciales en cinco categorías:
- Energía: Incluye la generación, transmisión, distribución y comercialización de electricidad, gas y otros combustibles.
- Transporte: Abarca el transporte aéreo, marítimo, terrestre y ferroviario, así como la gestión del tráfico aéreo y marítimo.
- Salud: Comprende la atención sanitaria pública y privada, la fabricación de productos farmacéuticos y la investigación médica.
- Agua: Incluye el suministro de agua potable, el tratamiento de aguas residuales y la gestión de recursos hídricos.
- Servicios Digitales: Engloba las infraestructuras digitales críticas, como los centros de datos, las plataformas en la nube y los servicios financieros en línea.
3.2 Anexo II: Categorización del Sistema
Este anexo establece una metodología para categorizar los sistemas de información y redes de las entidades esenciales en función de su impacto potencial en la seguridad y la continuidad de los servicios prestados. Las categorías establecidas son:
- Categoría I: Sistemas y redes críticos para la seguridad nacional o el funcionamiento de la economía.
- Categoría II: Sistemas y redes que podrían tener un impacto significativo en la seguridad pública o la salud.
- Categoría III: Sistemas y redes que podrían tener un impacto moderado en la continuidad de los servicios prestados.
3.3 Anexo III: Declaración de Aplicabilidad
Este anexo proporciona un modelo de declaración de aplicabilidad que las entidades esenciales deben completar para identificar los servicios esenciales que prestan, los sistemas y redes que los soportan, y la categoría de seguridad asignada a cada uno de ellos.
4. Un Escudo Sólido para las Entidades Esenciales
La publicación CCN-STIC 892, junto con sus anexos, proporciona un marco integral para la gestión de la ciberseguridad en las entidades esenciales. Al cumplir con los requisitos establecidos en este perfil de cumplimiento específico, las entidades pueden fortalecer su postura de seguridad, proteger sus activos críticos y garantizar la continuidad de sus servicios, contribuyendo así a la resiliencia del sector crítico en su conjunto.