Cohabitan diversos organismos de la Administración Pública de España con competencias en el ámbito de la ciberseguridad. Cada uno de ellos con sus propias funciones y responsabilidades; y algunos de ellos estrechamente relacionados y coordinados entre sí.
La ciberseguridad se ha convertido en una prioridad para las empresas de todo el mundo. En la actualidad, la mayoría de las compañías operan online o tienen una fuerte dependencia de las TIC, lo que significa que están expuestas a una serie de riesgos de seguridad, como la sustracción de datos, las extorsiones (código dañino del tipo ransomware), la explotación de vulnerabilidades, las suplantaciones de identidad, y un largo etcétera. Por lo tanto, es de vital importancia que cualquier compañía privada, independientemente de su ámbito de negocio o su envergadura en términos de facturación, conozca los organismos de la administración pública con competencias en materia de ciberseguridad.
En la cúspide de la pirámide están los CSIRT/CERT nacionales de referencia.
Si bien los más conocidos y referenciados son el CCN-CERT para el ámbito de las empresas y organismos públicos, y el INCIBE-CERT para el ámbito ciudadano y empresarial, Red Académica y de Investigación (Red IRIS), y Protección de Infraestructuras Críticas (PIC); también coexiste el ESP-DEF-CERT del Mando Conjunto del Ciberespacio (Estado Mayor) con un ámbito competencial en las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional.
En relación al CCN-CERT además del reporte de incidentes para el ámbito público, resultan de amplio interés para cualquier compañía o profesional de la ciberseguridad sus Guías STIC, así como sus publicaciones sobre amenazas, y código dañino. Un amplio catálogo de soluciones o recursos están limitados a personal de la función pública, pero sus documentación abierta arroja datos e información de alto valor actualizada en tiempo y forma.
En relación al INCIBE, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, publica guías y documentación de interés, a la par que lleva a cabo acciones formativas y de concienciación específicas como es el caso de los CyberEx España o International CyberEx.
El INCIBE-CERT además de gestionar y ayudar en la mitigación de incidentes de ciberseguridad en el ámbito empresarial, lleva a cabo labores proactivas de alto valor de detección de incidentes. En este sentido, se llevan a cabo análisis de correlación de amenazas y alertas con activos tecnológicos de compañías no sólo catalogadas como operadores críticos, sino también como operadores estratégicos donde tienen cabida centenares de compañías privadas de múltiples sectores.
En un nivel de coordinación e impulso de la ciberseguridad en España, nos encontramos con el Centro Nacional para la Protección de Infraestructuras Críticas y la Oficina de Coordinación Cibernética (OCC), de la Secretaría de Estado de Seguridad del Ministerio del Interior. Se trata de organismos públicos conformados por personal de la Policía Nacional y Guardia Civil, apoyados por empresas externas mediante pliegos de contratación.
En relación al CNPIC es el organismo encargado de las funciones encomendadas en la Ley PIC 8/2011 de Protección de las infraestructuras críticas, con funciones relacionadas con el nombramiento de Operadores Críticos en los diferentes Sectores PIC, así como la aprobación de los Planes de Protección Específicos y los Planes de Seguridad del Operador. Desde DarkData se ha contribuido en el desarrollo de estos para grandes compañías.
Directamente relacionada e incluso compartiendo instalaciones en El Pardo (Madrid), se encuentra la OCC con labores de gestión de incidentes de ciberseguridad en conjunción con el INCIBE-CERT en su ámbito competencial PIC.
Desde la OCC se da traslado a las unidades tecnológicas de Policía Nacional y Guardia Civil de Ciberincidentes constitutivos de delito y concernientes al ámbito PIC. Se hace por un sistema de turno, donde se asigna por orden de entrada una vez a cada cuerpo con competencias estatales en materia de criminalidad.
En lo concerniente a la investigación y persecución de los incidentes de ciberseguridad constitutivos de delito, los actores en España serían todas las Fuerzas y Cuerpos de Seguridad (FFCCS). No sólo estamos hablando de Policía Nacional y Guardia Civil, sino de cuerpos policiales autonómicos como es el caso de Navarra, País Vasco y Cataluña. Las unidades competentes no siempre son unidades centrales altamente especializadas, ya que la gestión por parte de estas unidades centrales depende de la etiología de la amenaza y/o su ámbito geográfico de afectación.
Por último y no por ello menos importante estaría la Agencia Española de Protección de Datos (AEPD) que es el organismo encargado de garantizar la protección de los derechos y libertades fundamentales en relación con el tratamiento de datos personales. La AEPD tiene como objetivo principal garantizar la privacidad y seguridad de los datos personales de los ciudadanos en España.
Las competencias de la AEPD incluyen la supervisión y control del cumplimiento de la normativa de protección de datos, la recepción y resolución de denuncias y reclamaciones de los ciudadanos en relación con el tratamiento de sus datos personales, la realización de inspecciones y auditorías para verificar el cumplimiento de la normativa de protección de datos, y la emisión de informes y recomendaciones en materia de protección de datos.