Un año más, el Centro Criptológico Nacional (CCN) ha celebrado sus Jornadas STIC CCN-CERT. En su decimocuarta edición, sin duda, el plato fuerte llegó en la clausura. En ella participó la experta en política de ciberseguridad en Estados Unidos Melyssa Hathaway, además de Rafael García, Mando Conjunto del Ciberespacio; Juan Jesús Torres, del Ministerio de Asuntos Económicos y Administración Digital; y Luis Jiménez, subdirector general del CCN.

En su ponencia, titulada 2020 Disrupted-Reshaping Cyberspace in an Age of Digital Dependence, Hathaway destacó que la pandemia de covid-19 ha mostrado que la transformación digital “no es una opción, sino una tarea imperativa” y que gracias a ella nuevos negocios están surgiendo, además de redefinir los actuales, al eliminar los intermediarios y variar los hábitos de los consumidores. Pero no todo es positivo, indicó la experta estadounidense, ya que la forma en la que se han configurado estas tecnologías no ha tenido en cuenta la resiliencia y la seguridad por defecto, lo que comporta ciberriesgos. Solo en 2020 ha habido un incremento del 715% en ataques ramsonware, un 151% de alza en cuanto a ataques de denegación de servicio, y un 600% de aumento en amenazas en el IoT.

Para abordar estos problemas, Hathaway dio las claves del necesario marco de Gobernanza de la Ciberseguridad. En él se deben gestionar los riesgos; debe ser adecuado al marco normativo; debe atender especialmente la capacitación de las personas; se deben realizar auditorías, así como optimizar los recursos constantemente; y, por último, se ha de llevar a cabo una labor de gestión continua, con la monitorización desde el centro de operaciones de ciberseguridad (SOC) y la mejora permanente.

Gestión desde la nube

Precisamente, la idea de materializar un SOC en la nube se desarrolló en otra de las ponencias, en la cual se destacó también que el sistema de Gestión de Eventos e Información de Seguridad (SIEM) cada vez se utiliza menos, hasta quedar prácticamente como herramienta de ticketing.

Otro de los focos de las jornadas del CCN estuvo en la necesidad de formación. En este sentido, la presencia de la Conferencia de Rectores de las Universidades Españolas (CRUE) en la Mesa redonda sobre el Foro Nacional de Ciberseguridad fue muy comentada, ya que hasta ahora no había formación universitaria en este ámbito, tan solo másters de postgrado y certificaciones externas. Así, las universidades españolas están empezando a elaborar planes de estudio sobre ciberseguridad y trabajan para definir un esquema de certificación de profesionales.

Referente a la captación de personal formado, además de la necesidad de captar talento femenino, otro de los retos es conectar con diferentes colectivos no tecnológicos, preferentemente del ámbito jurídico, para establecer vías de colaboración y avanzar conjuntamente.

Desde la publicación del Esquema Nacional de Seguridad hace 10 años, el CCN trabaja en el desarrollo de un ecosistema de herramientas que permita cubrir la gestión completa del estándar regulado en la Real Decreto 3/2010. En los cinco días en que se desarrollaron las jornadas, numerosos expertos abordaron los principales temas de interés del sector, entre ellos las amenazas, ataques y retos tecnológicos a los que se enfrenta.