De esta forma, se facilita el contacto
permanente entre los administradores
de seguridad y los administradores de
sistemas. Además, dependen operativamente
del Mando Conjunto del Ciberespacio,
al tratarse de un órgano
de ciberdefensa de nivel 2. A través
de la plataforma SIRIOS se comparten
incidentes e información. En las
últimas rotaciones, además, se está
comenzando a desarrollar una dependencia
funcional con la Subdirección
de Actividades en el Ciberespacio
y Electromagnéticas (SUBCEMA)
de JCISAT, de esta forma, se pueden
compartir y relacionar incidentes para
completar información en otros ámbitos
tras un incidente.
En líneas generales, los cometidos
asignados al COS-D en zona de operaciones
son las siguientes:
• Revisar la configuración de seguridad
de los sistemas CIS desplegados,
independientemente del nivel
de clasificación de la información
tratada.
• Evaluar la seguridad de los sistemas
CIS desplegados.
• Analizar los riesgos de los sistemas.
• Comprobar la planificación y el desarrollo
de planes de recuperación
frente a desastres.
• Asesoramiento en seguridad relativa
a aspectos del ciberespacio.
• Gestión de eventos de seguridad en
el ciberespacio.
• Neutralización y mitigación de ataques.
• Realizar análisis forense en caso
necesario.
• Concienciación del usuario.
Estos cometidos están subordinados
en todo momento a los órganos de ciberdefensa
92 / Revista Ejército n.º 962 • junio 2021
de nivel 3. Para desarrollarlos,
se realizan las siguientes actividades
de forma continua:
MONITORIZACIÓN
PERMANENTE
Tanto en las redes de trabajo, de moral
y bienestar como en sistemas de
mando y control se monitoriza de forma
constante el tráfico, que analiza
mediante reglas y patrones proporcionados
por el Centro Criptológico
Nacional y software específico la presencia
de amenazas o accesos no autorizados.
Para esto, en la actualidad
se utiliza un HIDS1 basado en agentes
OSSEC2 integrados con OSSIM3 de
AlienVault, pero se dispone también
de una distribución Wazuh con ELK.
Los operadores se encargan de monitorizar
estos sistemas e interpretar
las alarmas para discernir potenciales
amenazas del tráfico legítimo.
GESTIÓN DE INCIDENTES
Una vez detectada una amenaza en
los sistemas del despliegue, se reporta
al escalón superior, en este caso el
Mando Conjunto del Ciberespacio,
Foto institucional relevo eFP VI - VII
para solicitar apoyo o informar, en
función de si se puede solventar o no
con los medios del nivel 2. Para esto
se utiliza la herramienta de ticketing
SIRIOS. Además, también se dispone
de acceso a la plataforma de intercambio
de información de malware
REYES del Centro Criptológico
Nacional, donde se dispone de inteligencia
de las amenazas recibidas
por múltiples organismos internacionales
civiles y de defensa. A su vez, a
través de la estructura de seguridad,
de la que el COS-D depende funcionalmente
y que involucra órganos de
inteligencia, policía militar, órganos
de seguridad internacionales, etc.,
se comparte información de diferentes
ámbitos para resolver y detectar
posibles amenazas.
ANÁLISIS FORENSE
Esta capacidad resulta de utilidad
cuando un dispositivo ha sido comprometido
o se tienen sospechas de
que ha estado involucrado en un incidente.
De esta manera, se puede
obtener información respecto de la
autoría y el procedimiento utilizado
por la amenaza a través de información
borrada u oculta en el dispositivo.
Un procedimiento adecuado para
la recogida de evidencias es vital para
que no se produzcan pérdidas de información.
En la actualidad se realiza
a través de herramientas open source
o de código abierto como Volatility o