Tipologías de SOC
El CCN-CERT considera necesario el desarrollo de servicios horizontales de seguridad gestionados a través de SOC en diferentes ámbitos: Administración General del Estado (AGE), comunidades autónomas, entidades locales y sectoriales.
En todas las tipologías de SOC se utilizará LUCIA para la comunicación de incidentes de seguridad debido a su capacidad de notificación a los organismos que deben estar informados y participantes en la investigación.
La Secretaría General de Administración Digital (SGAD), dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, lidera con el apoyo del Centro Criptológico Nacional el despliegue e implantación del Centro de Operaciones de Cibserguridad de la Administración General del Estado y sus organismos públicos (COCS AGE). De esta forma, el CCN colabora con la SGAD en la dirección técnica y estratégica del servicio y en el seguimiento y ejecución de la implantación del COCS.
Por un lado, la dirección técnica y estratégica ha de incluir actividades tales como el seguimiento y gestión del servicio, abarcando la coordinación con los Responsables de Seguridad de las entidades y otros actores involucrados, la gestión de la incorporación de nuevas entidades al servicio, la coordinación de la respuesta ante incidentes de seguridad, así como la difusión y promoción del servicio.
Por otro lado, la operación del servicio incluirá, fundamentalmente, la implantación de la infraestructura técnica y servicios de seguridad, los procedimientos de ciberseguridad, la operación de ciberseguridad y cuestiones asociadas como la detección de incidentes de seguridad, entre otras.
La dirección técnica y estratégica junto con la operación del servicio seguirá el esquema descrito a continuación.
Las entidades integradas en el Centro de Operaciones de Ciberseguridad mantienen, a través de su responsable de seguridad, su responsabilidad en cuanto a la protección de la información y los servicios a su cargo. No obstante, la SGAD coordinará la respuesta ante incidentes de seguridad entre los diferentes agentes afectados.
Como experiencia previa, el CCN está impulsando la implantación de SOC en diferentes Ministerios que serán reemplazados o complementados por el COCS AGE. Es el caso de los Centros de Operaciones de Seguridad desarrollaos en el Mº de Justicia, Defensa e Interior.
El primero de ellos, el SOC de la Administración de Justicia, en funcionamiento desde 2019, ha servido al CCN-CERT para parametrizar, aprender y conocer los recursos económicos y humanos necesarios para ofrecer estos servicios.
En estos momentos existen centros de estas características en Andalucía (ANDALUCIA-CERT), Cataluña (ACC), Comunidad Valenciana (CSIRT-CV), Galicia (CSIRT.gal), Región de Murcia (CSIRT CARM) y País Vasco (Basque Cybersecurity Center).
A ellos se unen otros organismos autonómicos que ofrecen parcialmente este tipo de servicios, como Madrid, y otros que están en periodo de implantación.
Sea cual fuere la situación, el CCN-CERT pretende seguir impulsando la constitución de CERT/SOC autonómicos.
El Consejo de Ministros ha aprobado un Acuerdo por el que se autoriza la propuesta de distribución territorial y los criterios de reparto entre las Comunidades Autónomas y las ciudades de Ceuta y Melilla de los créditos presupuestarios destinados a la inversión 'Transformación digital y modernización de las Comunidades Autónomas', del componente 11 del Plan de Recuperación, Transformación y Resiliencia, por un importe total de 118.227.745 euros, para su sometimiento a la Conferencia Sectorial de Administración Pública.
Esta cifra es el crédito correspondiente al año 2021, ya que la inversión 3 del componente 11 del Plan, que aborda los proyectos de digitalización en las Comunidades Autónomas, cuenta con un crédito total de 578.600.000 euros a repartir entre los años 2021, 2022 y 2023. De esta manera, la cuantía para 2022 asciende a 239.072.255 euros y la de 2023, a 221.300.000 euros.
El criterio objetivo de asignación utilizado para la distribución de los recursos es de población y su ponderación es del 100%. De acuerdo con este criterio, se propone la siguiente distribución territorial de los créditos correspondientes a 2021:
Estos créditos se corresponden con el Hito 167 del Plan de Recuperación, que consiste en la digitalización de las entidades regionales y locales y la territorialización de los fondos para lograr ese objetivo. La fecha de cumplimiento es el cuarto trimestre de 2023. Además, ligado a éste se encuentra otro Hito, el 169: la finalización de todos los proyectos de apoyo a la transformación digital de las Comunidades Autónomas, que se ha de cumplir en el segundo trimestre de 2026. Y, además, el Objetivo 168, la adjudicación de proyectos de apoyo a la transformación digital de las CCAA, cuyo plazo de ejecución es hasta el segundo trimestre de 2025.
El pasado 21 de mayo, a través de la Secretaría de la Conferencia Sectorial de Administración Pública (CSAP), se remitió a los consejeros de las Comunidades Autónomas, Ceuta y Melilla competentes en materia de Administración Pública manifestación de interés con el objetivo de definir actuaciones financiables a desarrollar con cargo a los fondos de la Inversión 3 del Componente 11 del PRTR. A tal efecto se han identificado seis líneas estratégicas de inversión por los Ministerios de Hacienda y Función Pública y de Asuntos Económicos y Transformación Digital:
- Administración orientada a la ciudadanía
- Operaciones inteligentes
- Gobierno del dato
- Infraestructuras digitales
- Ciberseguridad
- Sanidad
Los recursos que se distribuyen entre las Comunidades Autónomas irán destinados a financiar proyectos encuadrados en alguna de esas seis líneas estratégicas.
En España existen 8.131 municipios, de los cuales solo 63 tienen más de cien mil habitantes y la inmensa mayoría (7.715) poseen una población inferior a 20.000. Desarrollar las capacidades que requiere un SOC en esto últimos municipios es algo imposible para todos ellos. No obstante, y según la normativa vigente, las Comunidades Autónomas uniprovinciales tienen la obligación de proporcionar los servicios TIC a los Ayuntamientos o Entidades Locales con una población inferior a los 20.000 habitantes. En el caso de las autonomías pluriprovinciales, esta responsabilidad recae en las Diputaciones, Consejos Insulares y Cabildos.
Por todo ello, el CCN-CERT está impulsando también la constitución de SOC en Entidades Locales en donde una Diputación/Consejo Insular/Cabido ofrezca estos servicios a todos los municipios de su demarcación. Para facilitar este impulso, el CCN-CERT ofrecerá las diferentes herramientas ya mencionadas y con ellas mejorar las capacidades de detección, notificación de incidentes y seguimiento de auditorías.
En la actualidad existen proyectos iniciales con servicios de detección en Córdoba, Cádiz, Zaragoza y Valencia, mientras que en Murcia, Asturias, Navarra y Cabildo de Tenerife, se está acompañando a los organismos en el cumplimiento del ENS, y en servicios de vigilancia, detección y respuesta.
Estos servicios horizontales en ciberseguridad se pueden proporcionar en coordinación con los CSIRT/CERT/SOC autonómicos para buscar la máxima eficiencia del gasto en ciberseguridad.
Más información:
- Orden TER/1204/2021, de 3 de noviembre, por la que se aprueban las bases reguladoras y se efectúa la convocatoria correspondiente a 2021, de subvenciones destinadas a la transformación digital y modernización de las Administraciones de las Entidades Locales, en el marco del Plan de Recuperación, Transformación y Resiliencia.
Los SOC sectoriales tienen la misma filosofía que los centros descritos anteriormente, pero en este caso están dirigidos a sectores identificables con los servicios esenciales establecidos en la Directiva NIS: Salud, Distribución Alimentaria, Aguas, Autoridades Portuarias, Confederaciones Hidrográficas, etc.
En este epígrafe se englobarían entidades públicas que ofrecen servicios sin ser Ministerios o Entidades Locales.
Sus servicios son esenciales lo que propicia que sean objetivos principales de ciberataques y necesiten un SOC para mejorar sus capacidades de detección y repuesta.
Un ejemplo de ello son los servicios andaluz, extremeño y madrileño de Salud que se han presentado a fondos Conection Europe Facility (CEF) con los que dar servicio de detección tanto a la red corporativa como a la red de control industrial (quirófanos, aparatos de electromedicina y otros dispositivos).
Además, se ha iniciado un proyecto con Red IRIS para proporcionar servicios similares para Infraestructuras Científicas y Técnicas Singulares (ICTS), derivada de la reciente amenaza contra estos centros de investigación (algunos intervienen en desarrollo de vacunas y otros tratamientos).
Este proyecto también contempla el cumplimiento y adecuación al Esquema Nacional de Seguridad como ejemplo catalizador de la implementación y gestión centralizada de la seguridad.
El alcance de un SOC, con la infraestructura y perfiles profesionales que requiere, es muy difícil cubrirlo íntegramente con personal propio. De ahí, que se contemple la interacción con Centros de Operaciones de Seguridad privados que den servicio a las distintas Administraciones Públicas.