La categorización de los incidentes cibernéticos en Reino Unido

Análisis

Rafael Chust
Rafael Chust
Actualmente Country Manager España y Portugal en Delete Technology by Blancco Group. Juristam Cybercriminologist, Profesor del CSD y GSI-UNED, Formador del Instituto Valenciano de Seguridad y Emergencias Member by GEMME.

La sofisticación de los ataques cibernéticos ha desembocado en la necesidad y urgencia de una categorización efectiva para comprender y abordar los incidentes cibernéticos. En el siguiente artículo, explicamos el Esquema de Reporte de Incidentes Cibernético de Reino Unido con sus respectivas categorías, niveles y procedimientos de actuación.

La ciberseguridad es un tema crítico en todo el mundo y el Reino Unido no es una excepción. La creciente sofisticación de los ataques cibernéticos ha llevado a una mayor atención de la gestión de incidentes cibernéticos y a la necesidad de una categorización efectiva para comprender y abordar estos desafíos. En este artículo, exploraremos la categorización de incidentes cibernéticos en el Reino Unido y su importancia en el panorama de la seguridad digital.

La categorización de incidentes cibernéticos en el Reino Unido es una herramienta vital en la defensa contra amenazas cibernéticas. Permite a las organizaciones y agencias gubernamentales comprender la gravedad de los incidentes y responder de manera eficiente, asegurando así la seguridad de la nación en la era digital. El marco de categorización es un ejemplo de la importancia de la colaboración entre el sector público y privado en la lucha contra los ataques cibernéticos y la protección de datos sensibles

El Reino Unido ha desarrollado un marco integral para la categorización de incidentes cibernéticos, que permite a las organizaciones y agencias gubernamentales comprender mejor la naturaleza de los ataques y responder de manera adecuada. Este marco se basa en el «Esquema de Reporte de Incidentes Cibernéticos» y se aplica tanto al sector público como al privado.

➡️ Te puede interesar: La necesidad de un borrado seguro para el Esquema Nacional de Seguridad de España

Cómo es el marco de categorización de los incidentes cibernéticos

El marco se creó en 2018 y es lo suficientemente flexible como para permitir clasificar toda la gama de incidentes, desde crisis nacionales hasta ciberataques contra individuos. El modelo tiene tres categorías y seis niveles de gravedad y se aplica de manera uniforme en todos los sectores, incluidos el gobierno, la infraestructura nacional crítica, las organizaciones benéficas, las universidades, las escuelas, así como las pequeñas empresas y los individuos.

El marco de categorización de incidentes cibernéticos incluye tres categorías y seis niveles:

Categorías del marco de categorización de los incidentes cibernéticos

  • Categoría 1: Incidentes Cotidianos. Este nivel abarca incidentes de menor gravedad que pueden manejarse a nivel organizativo. Por lo general, no requieren una notificación a las autoridades y se pueden gestionar internamente.
  • Categoría 2: Incidentes Significativos. Estos incidentes tienen un mayor impacto y complejidad. Pueden requerir una respuesta coordinada y pueden involucrar la notificación a las agencias gubernamentales pertinentes, como el Centro Nacional de Seguridad Cibernética (NCSC).
  • Categoría 3: Incidentes Graves. Los incidentes de nivel 3 son de gravedad significativa y pueden tener un impacto nacional o internacional. La respuesta a estos incidentes suele ser coordinada por el NCSC y otras agencias gubernamentales. También pueden involucrar notificaciones obligatorias a nivel gubernamental.

➡️ Te puede interesar: La tecnología oculta: discos duros de los misiles y su rol en la defensa estratégica

Niveles del marco de categorización de los incidentes cibernéticos

Nivel 1Emergencia cibernética nacional. Un ataque cibernético que causa una interrupción sostenida de los servicios esenciales del Reino Unido o afecta a la seguridad nacional del Reino Unido, lo que tiene graves consecuencias económicas o sociales o la pérdida de vidas.

  • Respuesta intergubernamental inmediata, rápida y coordinada. Liderazgo estratégico de los ministros / Oficina del Gabinete (COBR), coordinación técnica intergubernamental dirigida por NCSC trabajando en estrecha colaboración con las fuerzas del orden.
  • El NCSC se pone en contacto con la víctima para proporcionarle asesoramiento y ayuda a coordinar las consultas que le hacen las partes interesadas del gobierno, incluso para apoyar una reunión del COBR. Como autoridad técnica del Reino Unido, el NCSC proporciona una visión sobre qué actividades de respuesta a incidentes seguir.

Nivel 2: Incidente de gran trascendencia. Un ataque cibernético que tiene un grave impacto en el gobierno central, los servicios esenciales del Reino Unido, una gran proporción de la población del Reino Unido o la economía del Reino Unido.

  • El NCSC lidera la respuesta (escalada a COBR si es necesario), trabajando en estrecha colaboración con las fuerzas del orden (generalmente NCA) según sea necesario.   
  • El NCSC organiza un ritmo de reuniones de participación para dar a una organización de víctimas asesoramiento adecuado a la gravedad del incidente. Cuando proceda y a petición de la organización de víctimas, el NCSC les ayuda a colaborar con el Departamento de Gobierno Principal pertinente. Como autoridad técnica del Reino Unido, el NCSC proporciona una visión sobre qué actividades de respuesta a incidentes seguir.

Nivel 3: Incidente significativo. Un ataque cibernético que tiene un impacto grave en una gran organización o en un gobierno local más amplio, o que representa un riesgo considerable para el gobierno central o los servicios esenciales del Reino Unido.

  • El NCSC lidera la respuesta, trabajando con las fuerzas del orden (generalmente la NCA) según sea necesario.     
  • El NCSC organiza un ritmo de reuniones de participación para dar a una organización de víctimas asesoramiento adecuado a la gravedad del incidente. Cuando corresponde, como autoridad técnica del Reino Unido, el NCSC proporciona una visión sobre las actividades de respuesta a incidentes que deben seguir.

➡️ Te puede interesar: Concienciación para prevenir ataques cibernéticos

Nivel 4: Incidente sustancial. Un ataque cibernético que tiene un impacto grave en una organización mediana, o que representa un riesgo significativo para una organización grande o un gobierno local más amplio.

  • El NCSC o las fuerzas del orden (NCA o ROCU) lideran la respuesta, dependiendo del incidente.
  • Se difunden consejos a las víctimas para respaldar su respuesta, posiblemente con el apoyo de un ritmo de reuniones de participación de la víctima adecuado a la gravedad del incidente.

Nivel 5: Incidente moderado. Un ataque cibernético contra una organización pequeña, o que representa un riesgo considerable para una organización mediana, o indicios preliminares de actividad cibernética contra una gran organización o el gobierno.

  • Las fuerzas del orden lideran la respuesta (probablemente la ROCU o la fuerza policial local), con la participación de la NCA según sea necesario.
  • Se difunde asesoramiento a la víctima para apoyar su respuesta, con el posible apoyo de seguimiento según sea necesario.

Nivel 6: Incidente localizado. Un ataque cibernético contra un individuo, o indicios preliminares de actividad cibernética contra una organización pequeña o mediana.

  • La fuerza policial local lidera la respuesta con la participación de la NCA según sea necesario.

➡️ Te puede interesar: 7 libros para convertirte en experto en OSINT

Por qué es importante la categorización de los incidentes cibernéticos

La categorización de incidentes cibernéticos es fundamental por varias razones:

  1. Priorización de Recursos. Permite asignar recursos de manera eficiente para abordar los incidentes en función de su gravedad y alcance.
  2. Comunicación Efectiva. Facilita la comunicación entre organizaciones y agencias gubernamentales, lo que es esencial para coordinar respuestas a incidentes significativos y graves.
  3. Aprendizaje y Mejora. Ayuda a recopilar datos y experiencias para el aprendizaje y la mejora continua en la lucha contra los ataques cibernéticos.
  4. Notificación Oportuna. Garantiza que las autoridades sean informadas rápidamente en caso de incidentes graves, lo que es esencial para la seguridad nacional y la protección de infraestructuras críticas.
  5. Transparencia y Rendición de Cuentas. Fomenta la transparencia en la gestión de incidentes cibernéticos y la rendición de cuentas de las partes involucradas.

➡️ Te puede interesar: Ofertas de empleo en Ciberseguridad

Un ejemplo práctico sobre la categorización de los incidentes cibernéticos: el rol del Centro Nacional de Seguridad Cibernética del Reino Unido

El Centro Nacional de Seguridad Cibernética (NCSC) en el Reino Unido desempeña un papel crucial en la categorización y gestión de incidentes cibernéticos. El NCSC brinda asesoramiento, orientación y apoyo en la gestión de incidentes de nivel 2 y 3, así como en la promoción de mejores prácticas de ciberseguridad.

El NCSC ha tenido un impacto significativo en la seguridad cibernética del Reino Unido desde su creación. Ha ayudado a defender al país contra una serie de amenazas cibernéticas, desde ataques de ransomware hasta campañas de ciberespionaje. Además, ha establecido relaciones sólidas con empresas y organizaciones gubernamentales, promoviendo prácticas de seguridad sólidas en todo el país.

Dentro de la estructura del NCSC, el equipo de Gestión de Incidentes (IM) es responsable de clasificar y categorizar los incidentes. Para ello, se tiene en cuenta la gravedad del incidente y su posible impacto en el Reino Unido.

➡️ Te puede interesar: Masterclass | Ciberseguridad en Infraestructuras Críticas: Ciberamenazas vs Planes de Seguridad

Actividades clave del Centro Nacional de Seguridad Cibernética del Reino Unido

El NCSC lleva a cabo una serie de actividades clave en su misión de proteger al Reino Unido en el ciberespacio:

  • Análisis de Amenazas. Realiza una evaluación constante de las amenazas cibernéticas para comprender los riesgos y desarrollar contramedidas efectivas.
  • Servicios de Detección. Ofrece servicios de detección de intrusiones para organizaciones gubernamentales y empresas, identificando y respondiendo a amenazas en tiempo real.
  • Coordinación de Respuestas. En caso de incidentes cibernéticos graves, el NCSC coordina la respuesta a nivel nacional y proporciona apoyo a las organizaciones afectadas.
  • Colaboración Internacional. El NCSC trabaja estrechamente con socios internacionales en la lucha contra las amenazas cibernéticas transnacionales.
  • Programas de Concienciación. Desarrollar programas de concienciación para el público en general, así como para empresas y el sector público, para promover la seguridad cibernética.

Por lo general, el NCSC desempeña un papel fundamental en la protección y defensa del Reino Unido en el ciberespacio. Su mandato de proteger a la nación, asesorar y guiar, entender las amenazas y fomentar la concienciación es esencial en un mundo digital en constante evolución. Su enfoque en la colaboración, la respuesta a incidentes y la seguridad cibernética ha fortalecido la postura de seguridad del Reino Unido y ha establecido un estándar para la defensa cibernética en todo el mundo.

Fuera del NCSC, los únicos otros equipos operativos con autoridad para clasificar un incidente cibernético son en las fuerzas del orden del Reino Unido, la Agencia Nacional contra el Crimen.

Te puede interesar:

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí