A principios del año 2007 se constituyó formalmente la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, similar a otras organizaciones internacionales de este tipo (CERT®, Computer Emergency Response Team). Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas existentes en España, central, autonómica y local. En el RD 3/2010 del Esquema Nacional de Seguridad el CCN-CERT se constituye en el CERT gubernamental.
El hecho es que las administraciones públicas están cada vez más en el punto de mira de los diferentes agentes de la amenaza, como piratas y estafadores cibernéticos. Las vulnerabilidades se incrementaron de unos 6.100 casos en 2008 a unos 7.800 en 2009 y el código dañino se incrementó en un 700%, (más de 70.000 especímenes únicos), respecto al detectado en 2008, mostrando la mayor profesionalización de los atacantes y su búsqueda de que el código permanezca oculto a los ojos de los responsables de seguridad y por supuesto de las empresas antivirus, según datos del CCN-CERT.
En este organismo se reciben más de 100 alertas diarias tanto de fuentes externas como de sus propios sensores sobre posibles ataques en curso y sobre nuevos códigos dañinos que se propongan por la red. De todas estas alertas aproximadamente un 5% se convierte en incidente que afecta a alguna Administración pública. De estos incidentes finalmente unos 300 pueden llegar a la consideración de grave impactando en la confidencialidad, integridad o disponibilidad de la información manejada por los sistemas.
Hoy, un representante del el CCN-CERT ha mostrado a los alumnos del curso de verano sobre seguridad informática cómo actúan las administraciones públicas ante las amenazas que llegan desde el ciberespacio. “Hemos hablamos de dos cosas”, ha dicho tras finalizar su ponencia, “del esquema nacional de seguridad y de la evaluación de la seguridad en páginas web de la administración”.
Midiendo las palabras, este experto en seguridad ha destacado que la labor de prevención y alerta temprana ante ataques, los dos objetivos del CCNCERT, se llevan a cabo “básicamente auditando la tecnología de una página web de una administración determinada y proporcionando un conjunto de acciones que eleven el nivel de seguridad de la administración y del ciudadano”. Ésta sería la parte de prevención que desarrolla este organismo. En cuanto a los ataques, “la respuesta consiste en gestionar un incidente, desde su detección hasta su resolución durante su ciclo de vida”.
Para el representante del Centro Criptológico Nacional “aunque la problemática de seguridad de las webs es común para la administración y el resto de sectores, hay dos diferencias claras: por una parte en cuanto a la tecnología utilizada”, (se entiende que más sofisticada), “y, por otra, al diferente impacto que tiene los ataques a la imagen de un organismo”.
En cuanto al debate entre seguridad y transparencia, el tema de fondo de este curso de verano que bajo el título Seguridad en entornos web: e- comercio y e-administración está aglutinando a los mejores expertos en esta materia, el representante del CCN-CERT, tiene clara su apuesta: “Hay que definir una buena política de seguridad, lo que se puede hacer y lo que no.” Su caso sería una buena metáfora de este curso, por una parte la participación del Centro Criptológico Nacional en este seminario pone de manifiesto su voluntad de abrirse a la sociedad; por otra parte sus miembros deben mantener un mínimo de discreción en sus apariciones públicas.
En todo caso lo importante son las aportaciones que se están haciendo a este curso, que cuenta con cerca de un centenar de participantes encantados hoy con esta conferencia, una admiración que ha sido mutua: “La ponencia ha sido muy técnica, los alumnos han hilado muy fino tecnológicamente hablando”. ¿Y preguntas comprometidas? “No, no, estaban muy en lo profesional, ha sido estupendo”, dice sin relajarse el miembro de este organismo encargado, entre otras funciones, de la salvaguardia de la administración pública en el ciberespacio.