Ayuda Ley Protección Datos

Centro Criptológico Nacional. Qué es, Funciones

El ciberdelito está aumentando en todo el mundo, impulsado por la conectividad global y el uso y la dependencia cada vez mayores de los servicios en la nube. A medida que las organizaciones adoptan los servicios en la nube, los controles de seguridad o firewalls locales normales y los procesos de gobierno de datos ya no se aplican, lo que presenta nuevos desafíos para las empresas que desean garantizar la seguridad de sus datos confidenciales. Por ello, se han creado diversos organismos con la misión de regular y controlar las amenazas cibernéticas y asegurar el cumplimiento de las medidas de ciberseguridad necesarias. Uno de ellos es el Centro Criptológico Nacional (CCN) del que vamos a hablar en este artículo.

¿Qué es el Centro Criptológico Nacional?

El Centro Criptológico Nacional (CCN) es la entidad responsable de coordinar la actuación de los distintos organismos de la Administración que usen medios o procedimientos de cifrado, garantizar la seguridad de las Tecnologías de la Información dentro de la administración, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

Este órgano se creó en el año 2004, a través del Real Decreto 421/2004, que lo adscribe al Centro Nacional de Inteligencia (CNI). En la Ley 11/2002, reguladora del CNI, se atribuye a dicho Centro el ejercicio de las funciones referentes a la seguridad de las Tecnologías de la Información y de protección de la información clasificada, y se encarga a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional. Por tanto, el CCN utiliza los mismos medios, procedimientos, normativa y recursos que el CNI.

¿Qué leyes regulan sus actividades?

Su ámbito de competencia está definido por las siguientes normas:

Además de las leyes anteriores, se han publicado varias normas en los dos últimos años que afectan muy directamente al sector de la ciberseguridad y, por tanto, a la actividad del Centro Criptológico Nacional. Entre otras, podemos citar:

¿Cuáles son sus principales funciones?

Las principales funciones del CCN son las siguientes:

Gestión de incidentes

El CCN realiza una colaboración con todos los organismos públicos y empresas estratégicas en la detección, notificación, evaluación, respuesta, tratamiento, y aprendizaje de incidentes de seguridad de información o ciberincidentes que puedan sufrir sus sistemas. Proporciona apoyo técnico y operativo, tanto en las etapas de detección, como en la reacción, contención y eliminación.

También realiza una política preventiva, en la que un equipo de expertos se encarga de investigar sobre técnicas empleadas, tendencias, soluciones y procedimientos más adecuados para hacerles frente, incluyendo metodologías para recopilar y analizar datos y eventos, procedimientos de tipificación de su peligrosidad y priorización de los mismos.

Sistema de alerta temprana de incidentes

Con ello se pretende actuar antes de que ocurra un incidente o, por lo menos, detectarlo en un primer momento para reducir su impacto y alcance. Este Sistema de Alerta Temprana (SAT) para la detección rápida de incidentes y anomalías dentro de la Administración y de las empresas de interés estratégico, se enmarca dentro de las acciones preventivas, correctivas y de contención realizadas por el CCN.

Existe un portal de informes al que pueden acceder los responsables de seguridad autorizados para consultar en tiempo real eventos de seguridad y para generar informes a medida.

Formación y sensibilización

El Plan de Formación del Centro Criptológico Nacional proporciona un completo programa de cursos de formación, adaptado a las necesidades planteadas. La oferta formativa del CCN, con un diseño flexible, se crea para ofrecer una respuesta eficaz a los retos del siglo XXI.

Tiene un enorme catálogo de cursos en materia de seguridad de las tecnologías de la información y la comunicación desarrollados por el Instituto Nacional de Administración Pública (INAP), en colaboración con el Centro Criptológico Nacional. También ofrece un catálogo de cursos online, según el perfil del usuario.

Por último, la solución VANESA, del CCN-CERT, es una plataforma de retransmisión de sesiones formativas en directo. Conserva las grabaciones y el material empleado, de manera que se permita su posterior visionado.

Guías de seguridad

Se trata de normas, instrucciones, guías y recomendaciones realizadas por el Centro Criptológico Nacional para mejorar el grado de ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT.

Se dirigen al personal de las Administraciones Públicas y empresas y organizaciones de interés estratégico y otras son de difusión pública para todos los usuarios.

Informes de ciberseguridad

Realiza informes sobre Código dañino, amenazas, actualidad, recomendaciones y buenas prácticas en materia de ciberseguridad.

Soluciones de ciberseguridad

El Centro Criptológico Nacional tiene la función de coordinar, promover y desarrollar soluciones que garanticen la seguridad de los sistemas, sirvan para mejorar la gestión de la ciberseguridad en cualquier organización y permitan una mejor defensa frente a los ciberataques.

Dentro de estas soluciones están:

Cumplimiento del ENS

El CCN tiene la misión de asegurar el cumplimiento del Esquema Nacional de Seguridad.

Además, le corresponden las funciones de Auditorías Web y tiene capacidad forense y de ingeniería inversa.

¿Qué tipo de certificaciones realiza?

Dentro de las certificaciones realizadas por el CCN están las siguientes:

Funcional

El Organismo de Certificación (OC) certifica la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones y tras considerar, las pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el propio Reglamento.

Criptológica

El Centro Criptológico Nacional (CCN) es el órgano responsable de elaborar el Catálogo de Productos con Certificación Criptológica que incluye los productos capaces de proteger la información nacional clasificada. Obtendrá la certificación criptológica el equipo de cifrado que ha sido evaluado y ha obtenido dicha certificación del CCN. Se dispone de distinto tipos de cifradores: IP (Internet Protocol), de datos, coz, fax, PKI (Public Key Infraestructure), generadores de números aleatorios, centros de gestión, etc.

La evaluación criptológica se encarga de verificar el funcionamiento, la implementación y el análisis de los algoritmos utilizados, los mecanismos de seguridad y el correcto funcionamiento del equipo. Se les asigna un nivel de clasificación de la información para el que se encuentra autorizado a procesar según su fortaleza criptológica.

TEMPEST

El concepto alude a las investigaciones y estudios de emanaciones comprometedoras relativas a la información clasificada que se transmite, recibe, maneja o procesa por equipos o sistemas electrónicos. Estas emanaciones no intencionadas, al ser detectadas y analizadas, pueden dar lugar a la obtención de la información. Además, el término TEMPEST se refiere también a las medidas aplicadas para protegerse contra esas emanaciones comprometedoras.

El Centro Criptológico Nacional, como autoridad de certificación de seguridad TIC en el ámbito EMSEC (Seguridad de las emanaciones), tiene la función de desarrollar normativa Nacional en este campo, evaluar y certificar a equipos, sistemas e instalaciones, así como participar y asesorar en diferentes foros.

La norma TEMPEST se aplica a la información clasificada como confidencial. Por tanto, afecta a equipos, sistemas e instalaciones, tanto fijas como móviles en las que se genera o procesa esta información.

Listado de Guías CCN-STIC

El CCN tiene también la función de elaborar y publicar normas, instrucciones, guías y recomendaciones que garanticen la seguridad de los sistemas TIC. Esa función se materializa en las llamadas Guías CCN-STIC, un conjunto de documentos que se amplían y actualizan continuamente compuestos de diez series, en función de su temática: políticas, procedimientos, normas, instrucciones técnicas, guías generales, entornos Windows, otros entornos, Esquema Nacional de Seguridad, informes técnicos y procedimientos de empleo seguro.

Series CCN-STIC:

800 Guías Esquema Nacional de Seguridad:

Glosario de términos:

¿Cómo contactar con el Centro Criptológico Nacional?

Si quieres contactar con el CCN, puedes hacerlo por correo electrónico, por carta o por teléfono.

Email:

Dirección:

Centro Nacional de Inteligencia
C/Argentona, 30
28023 MADRID

Teléfono: 91 372 50 00