Red Nacional de SOC

Esta iniciativa ha sido puesta en marcha por el Centro Criptológico Nacional con el fin de mejorar las capacidades de protección y defensa del ciberespacio español. Esta iniciativa viene avalada por la UE, que apuesta por la creación de una red de centros de operaciones de seguridad en toda la Unión, la experiencia del CCN-CERT en los diferentes Centros de Operaciones de Ciberseguridad (SOC) que viene gestionando en el sector público y el antecedente del Foro CSIRT.es, en el que se reúnen todos los CSIRT con representación en España.

Esta Red Nacional debe buscar una mayor coordinación y un intercambio de información más detallado entre todos sus miembros. Para ello se necesitará el apoyo del sector privado que facilite la implantación de nuevos Centros de Operaciones de Seguridad en el sector público y la experiencia del Foro CSIRT.es.

Todos los SOC se integran con el CCN-CERT mediante las herramientas LUCIA y REYES que constituirán la base la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes . El funcionamiento de dicha Plataforma se describe más adelante.

Una vez establecido el SOC, se trataría de establecer un modelo colaborativo en el que en base a unos incentivos se facilite el intercambio de información. Los datos más susceptibles de intercambiar serían entre otros:

Repositorio de reglas de detección.
Casos de usos genéricos y específicos.
Lista de dominios sospechosos.
Listas negras.
Listas blancas.
TTP de las nuevas amenazas.
Métricas de vulnerabilidades y de incidentes, principalmente.
IOA para realizar investigaciones conjuntas.
Almacenamiento de Inteligencia obtenida con la información procedente de la Red.

Para coordinar esta Red Nacional de SOC, el RD 43/2021, de 26 de enero, que desarrolla la directiva de seguridad en redes de la UE establece en su artículo 11 asigna al CCN-CERT el desarrollo de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Esta plataforma permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.