Guía Gestión de Ciberincidentes
El CCN-CERT, del Centre Criptològic Nacional (CCN), adscrit al Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seva Guia CCN-STIC 817 de Gestió de Ciberincidentes
. Amb ella, el CERT Governamental Nacional pretén ajudar a les entitats públiques de l'àmbit d'aplicació de l'ENS a l'establiment de les capacitats de resposta a ciberincidentes i el seu adequat tractament, eficaç i eficient.
La Guía recoge una clasificación con nueve tipos de ciberincidentes distintos y 36 subcategorías, entre las que se incluyen algunos de los ataques y vulnerabilidades más detectados como Troyanos, Spyware, Cross-Site Scripting (XSS), Inyección SQL, DDoS, Exfiltración de Información, Phishing o Ransomware. Además, y en función de distintos parámetros (como la amenaza subyacente, el vector de ataque o las características potenciales del ciberincidente), se recoge una tabla para determinar la peligrosidad potencial y, de esta forma, poder asignar prioridades y recursos.
La tipificación de causas y hechos del ciberincidente, la recolección y custodia de evidencias, así como el intercambio de información y comunicación de los ciberincidentes son otros de los aspectos abordados en este documento.
La Guía, ahora actualizada, incluye además un Anexo con métricas e indicadores (de implantación, de eficacia y eficiencia e indicadores críticos de riesgo), otro con los elementos para el informe de cierre de un ciberincidente y una introducción a la Eina Lucia .
Declaració i Certificació de Conformitat amb l'ENS
El Centro Criptológico Nacional (CCN) también ha publicado la actualización de su Guia CCN-STIC 809 Declaració i Certificació de conformitat amb l'ENS , així com l'Índex Índex de Guies CCN-STIC . En total, 258 Guies (346 documents) que engloben nou sèries de normes, instruccions, guies i recomanacions desenvolupades pel CCN amb la finalitat de millorar el grau de ciberseguretat de les organitzacions.
Quant a la Guia 809 ve a desenvolupar l'article 41 de l'Esquema Nacional de Seguretat (ENS) que assenyala: “Els òrgans i Entitats de Dret Públic donaran publicitat a les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguin creditors, obtinguts respecte al compliment de l'ENS”.
Així, i segons la categoria del sistema es distingeix entri:
- Declaració de conformitat: d'aplicació a sistemes d'informació de categoria Bàsica. Podrà representar-se mitjançant Sello o Distintiu de Declaració de Conformitat generat per l'entitat sota la responsabilitat de la qual estigui el sistema.
- Certificació de conformitat: d'aplicació obligatòria a sistemes d'informació de categoria Mitjana o Alta i voluntària en el cas de sistemes d'informació de categoria Bàsica.
El document ara actualitzat precisa quin ha de ser l'aspecte i el contingut de les declaracions i certificacions de conformitat i els seus distintius de seguretat esmentats en el citat article 41 de l'ENS, qui pot sol·licitar-los, qui pot concedir-los i com han de fer-se visibles als espais públics tecnològics dels organismes afectats o en els privats dels operadors econòmics concernits.
Font original de la notícia [1] [2]
