15/10/2015
FUENTE: CCN-STIC
Entre los elementos más característicos del actual escenario nacional e internacional figura el desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte de la Administración es necesario para garantizar su funcionamiento eficaz al servicio del ciudadano y de los intereses nacionales.
Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).
Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración.
La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.
El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-STIC el CCN desarrolle lo establecido en el mismo.
La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a lo reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.
Objeto de este documento
- Constituye un lugar común afirmar que el uso de las TIC representa uno de los elementos más característicos del actual marco social, político y económico internacional. No obstante, como así señala la Estrategia de Ciberseguridad Nacional, la generalización universal de su uso y la accesibilidad global a las diversas herramientas y redes, facilitando un desarrollo sin precedentes en el intercambio de información y comunicaciones, conlleva, al mismo tiempo, serios riesgos y amenazas que pueden afectar a la Seguridad Nacional.
- Una de las funciones que la Ley 11/2002, de 6 de mayo, confiere al Centro Nacional de Inteligencia (CNI) es obtener, evaluar e interpretar información y difundir la inteligencia necesaria para proteger y promover los intereses políticos, económicos, industriales, comerciales y estratégicos de España, pudiendo actuar dentro o fuera del territorio nacional. Esta misma norma encomienda al CNI, a través del Centro Criptológico Nacional (CCN) el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información y de protección de la información clasificada, a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el CCN, entidad adscrita al CNI y con la que comparte medios, procedimientos, normativa y recursos.
- Así pues, en base a lo anterior y a lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el CCN, el presente documento tiene por objeto ofrecer una explicación, simple y concisa, de lo que en ciberseguridad constituye la llamada Ciberinteligencia y el Ciclo de Inteligencia (epígrafe 2), desarrollando una de sus fases más significativas: el Análisis. Con este propósito se desarrolla un Modelo para el Análisis Formal de Intrusiones.
- Con esta publicación, el CCN espera que las Administraciones Públicas españolas, así como las empresas de nuestro país –especialmente aquellas que gestionan intereses estratégicos- y también sus profesionales y ciudadanos se encuentren en mejores condiciones para hacer frente a los riesgos que comporta operar en el ciberespacio.