El Centro Vasco de Ciberseguridad de Euskadi entrará en funcionamiento en setiembre

15 de junio de 2017

  • El Gobierno Vasco ha dado a conocer los detalles y características de lo que será el nuevo Centro Vasco de Ciberseguridad  que entrará en funcionamiento en el mes de setiembre.
  • Trabajará desde una unidad centralizada dependiente de Spri y en permanente coordinación con la Ertzaintza y con EJIE (Sociedad pública Informática)
  • Estará físicamente ubicado en el Parque Tecnológico de Álava (Miñano) y contará con una estructura de personal técnico especializado para el que se ha abierto un proceso de selección de personal.

La consejera de Desarrollo Económico e Infraestructuras, Arantxa Tapia, y la consejera de Seguridad, Estefanía Beltrán de Heredia han presentado las bases de lo que será el Centro Vasco de CiberSeguridad (CVCS) ante la presencia de los máximos responsables de las entidades implicadas en la futura gestión de este servicio*.

El programa de Gobierno de la presente legislatura contempla “la creación de un Centro Vasco de Ciberseguridad” con el objetivo de promover la incorporación de la ciberseguridad en las empresas vascas, como un elemento fundamental de la innovación en la gestión.

Este centro asimismo, asume dos grandes cometidos. Por una parte, convertir a Euskadi en un referente europeo en la aplicación de las nuevas tecnologías de la información y comunicación y afrontar los nuevos desafíos que supone la nueva revolución digital que están acometiendo las empresas vascas en particular, y la sociedad vasca en general; y por otra, dotar a las infraestructuras críticas y a las empresas vascas de una cobertura efectiva y fiable de prevención y reacción ante posibles amenazas y /o ataques de ciberseguridad.

Esta unidad operativa aspira a convertirse próximamente en un CERT público. Es decir, un equipo de respuesta a incidentes de seguridad informática (Computer Emergency Response Team, en sus siglas en inglés) conectado con la red internacional de CERT públicos y privados extendidos por todo el mundo. Un proceso en el que se viene trabajando en el ámbito internacional, gracias a la implicación de personal de SPRI.

Existe una amenaza global, mundial, pero este riesgo no sólo afecta a las grandes empresas y a las infraestructuras críticas, sino que tiene también una gran incidencia en las pequeñas y medianas empresas cuya supervivencia podría verse afectada ante previsibles incidentes de ciberseguridad.

Ventajas de la puesta en marcha de un Centro de Ciberseguridad

Un  CVCS especializado para actuar con eficacia

El Gobierno Vasco destaca que el nuevo CVCS generará un contexto que aportará eficacia en la gestión por parte de la administración porque:

  • Dispondrá de una coordinación centralizada para las cuestiones relacionadas con la Ciberseguridad industrial
  • Permitirá reaccionar ante los incidentes relacionados con la Ciberseguridad Industrial y tratarlos de un modo centralizado y especializado.
  • Se dotará de los conocimientos técnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rápidamente de algún incidente de seguridad.
  • Conocimientos jurídicos especializados
  • Capacidad de innovación para actualizar el conocimiento de los avances y progresos en materia de Ciberseguridad Industrial.

Con un impacto en la mejora de los tiempos en la gestión de incidentes

Dada las especificidades de las actuaciones e intervenciones en la red, el tiempo de actuación es un aspecto de especial relevancia. Este CVCS pretende  mejorar los tiempos de respuesta en la resolución de incidentes gracias a que:

  • Centralizará  la coordinación de la gestión de incidentes, como un único punto de contacto.
  • Actuará en coordinación con otros CERT internacionales, desde una posición reconocida y privilegiada, para compartir  conocimientos y experiencias a las que no tiene acceso una organización convencional.
  • Se establecerá como centro de excelencia y ofrecerá los conocimientos técnicos necesarios para apoyar y asistir a los usuarios que necesiten recuperarse rápidamente de algún incidente de seguridad.
  • Contará con un enlace permanente con la Ertzaintza para prevenir, perseguir e investigar posibles infracciones penales relacionadas con actividades delictivas en la red.

Servicios y Funciones del Centro Vasco de CiberSeguridad

Los servicios y funciones a ofrecer desde el Centro Vasco de Ciberseguridad (CERT Público) son los siguientes:

+ Alerta temprana global.

+ Comunicados preventivos de vulnerabilidad.

+ Difusión de información y sensibilización/formación social y empresarial.

+ Captación y promoción del talento.

+ Apoyo en la elaboración de marcos regulatorios propios en materia de ciberseguridad

+ Registro y homologación de empresas proveedoras de servicios de ciberseguridad.

+ Coordinación con la red internacional de CERTs de respuesta a incidentes.

+ Guías de buenas prácticas y estándares de referencia.

+ Informes y propuestas de incentivos específicos para la incorporación de elementos de ciberseguridad en las empresas vascas.

+ Observatorio de prospección tecnológica.

+ Asesoramiento inicial y consejos de actuación ante ciberataques (112 de ciberseguridad).

+ Asesoramiento jurídico y conexión con el departamento de seguridad en la prevención, y detección de delitos de ciberseguridad.

+ Vigilancia de las amenazas que puedan afectar a infraestructuras sensibles.

+ Seguimiento y control de servicios públicos esenciales (SPS).

Estructura Organizativa en SPRI

El Centro Vasco de Ciberseguridad (CVC), en su fase inicial, se creará como un centro específico dentro de la SPRI.

Una vez finalizada la fase inicial de puesta en marcha, se plantea en una segunda fase realizar las certificaciones correspondientes para convertirse en un CERT Público oficial (Certificación CERT) y cumplir con los estándares de calidad de servicio y organización (ISO 9001, ISO 27001, ISO 20000).

Equipo profesional con plantilla de 6 personas

Se contempla una plantilla mínima de 6 personas, imprescindible para la correcta puesta en marcha y funcionamiento inicial.

Se ha iniciado un proceso de selección para la la incorporación de un Director General, de personas de Perfil Técnico especializada en tecnología TIC con conocimiento y experiencia en ciberseguridad (3 personas); tareas de promoción y divulgación del CVCS (1 persona), y funciones de asesoramiento legal y formación (1 persona)

Con esta estructura, se establecerá personal de enlace entre el CVCS y otros entes del Gobierno Vasco, especialmente, con EJIE (Sociedad Informática del GV) y la propia Ertzaintza.

Dada su vocación de centro de excelencia, a futuro, se contempla la incorporación de recursos humanos como personal residente que provenga de centros tecnológicos y universidades para la investigación relacionada con nuevos desarrollos en materia de seguridad.

Plan de Acción 2017-2020

Cerrado el diseño de lo que será el CVSC, e iniciado el proceso de selección de personal, la fecha de apertura y puesta en marcha se prevé en setiembre de 2017 en instalaciones del PT de Álava, en Miñano.

Asimismo, próximamente, se procederá al acondicionamiento del espacio, a la selección del equipamiento de las instalaciones necesarias, y a la redacción de la oferta de los servicios básicos  a contratar.

En todo caso, la apertura oficial del CVCS está prevista para la segunda quincena de septiembre de este año.

Para finales de año se pondrán en marcha los primeros servicios de Alerta Temprana para infraestructuras sensibles y en 2018 se cumplimentará el protocolo internacional necesario para la obtención de certificaciones CERT y estándares de calidad, correspondientes a este servicio.

Presupuesto

El presupuesto anual previsto para el mantenimiento de la plantilla, de las infraestructuras y de su actividad, y las actividades encaminadas a la propia ciberseguridad, así como a la promoción  y formación del centro asciende a 1,5 M.

*En la presentación, han estado presentes el director general de SPRI, Álex Arriola; el director de EJIE, Álex Etxeberria; la viceconsejera de Tecnología, Innovación y Competitividad, Estibaliz Hernáez, la viceconsejera de Administración y Servicios Generales, Nerea López-Uribarri, el viceconsejero de Seguridad, Josu Zubiaga, los directores de la DIT, Xabier Arrieta, y de Innovación, Emprendimiento y  Agenda Digital, Aitor Urzelai, así como el director de la Ertzaintza, Gervasio Gabirondo, el Jefe de División, Josu Bujanda, y la directora de los Parques Tecnológicos de Euskadi, Itziar Epalza.