Comunidad de seguridad cibernética del Reino Unido

El Reino Unido tiene una comunidad de ciberseguridad diversa, interconectada en una red compleja.

Aunque actualmente la terminología se alinea en gran medida con una visión "cibernética" del mundo, se considera que aún incluye preocupaciones relacionadas con la información, y la terminología predominante anterior incluía:

• Seguridad del procesamiento automatizado de datos o seguridad ADP (década de 1980)
• Seguridad informática o CompuSec (principios de los años 1990)
• Seguridad informática o ITSec (mediados de los años 1990)
• Seguridad de la información o InfoSec (finales de los años 1990 y principios de los años 2000)
• Aseguramiento de la información o IA (década de 2000 y principios de 2010)

Los componentes importantes de esa comunidad probablemente se comprendan mejor al agruparlos en categorías de alto nivel, a saber:

• Organismos del sector público
• Academia
• Organismos profesionales
• Grupos industriales
• Órganos intersectoriales

Organismos del sector público

Legislativo

Según un comité parlamentario, el gobierno del Reino Unido no está haciendo lo suficiente para proteger a la nación contra los ataques cibernéticos. ^[1]

• EURIM, la Alianza de Política Digital ^[2]

Gobierno central

Estrategia nacional

El Gobierno del Reino Unido publica periódicamente una Estrategia de Seguridad Cibernética. ^[3]

Muchas de las partes interesadas de todas las categorías están comprometidas con ese esfuerzo.

Componentes del proyecto final

La responsabilidad general de la seguridad en el Reino Unido recae en el Consejo de Seguridad Nacional , un comité del gabinete presidido por el Primer Ministro encargado de supervisar todas las cuestiones relacionadas con la seguridad nacional , la coordinación de inteligencia y la estrategia de defensa.

La función de coordinación de la seguridad de protección interna del gobierno del Reino Unido está dirigida por el Director de Seguridad del Gobierno (GCSO) dentro del Gabinete, quien desde 2021 ha sido Vincent Devine. ^[4]

La organización central que respalda al GCSO es el Grupo de Seguridad Gubernamental (GSG), con una Función de Seguridad Gubernamental/Profesión de Seguridad Gubernamental distribuida entre los departamentos y Organismos Independientes (ALB), y tres Autoridades Técnicas Nacionales (NTA), todas las cuales tienen un rol en la seguridad de la información y/o cibernética:

• La Autoridad Técnica Nacional para la Seguridad Cibernética (NTA-C) es el Centro Nacional de Seguridad Cibernética (NCSC) es la autoridad del Reino Unido en materia de seguridad cibernética; su organización matriz es GCHQ . Absorbió y reemplazó a CESG (la rama de seguridad de la información de GCHQ), así como al Centro de Evaluación Cibernética (CCA), al Equipo de Respuesta a Emergencias Informáticas del Reino Unido (CERT UK) y las responsabilidades relacionadas con la ciberseguridad del antiguo Centro para la Protección de la Infraestructura Nacional (CPNI). El NCSC brinda asesoramiento y apoyo al sector público y privado sobre cómo evitar las amenazas cibernéticas. ^[5] CESG (originalmente Communications-Electronics Security Group) era una rama de GCHQ que trabajaba para proteger los sistemas de comunicaciones e información del gobierno y partes críticas de la infraestructura nacional del Reino Unido. La NPSA brindaba asesoramiento en materia de seguridad protectora a empresas y organizaciones en toda la infraestructura nacional.
• La Autoridad Técnica Nacional de Seguridad Protectora (NTA-P) es la Autoridad Nacional de Seguridad Protectora (NPSA) y es la organización sucesora de CPNI, pero conserva algunos elementos de información y seguridad cibernética que no fueron transferidos a NCSC, incluidos los sistemas físicos cibernéticos (CPS) y los contenedores de seguridad, cerraduras y estructuras para proteger activos.
• La Autoridad Técnica Nacional de Seguridad Técnica (NTA-T) es la Autoridad Técnica Nacional del Reino Unido para Contraespionaje (UK NACE), que se ocupa principalmente de contrarrestar la vigilancia técnica.

La coordinación de la actividad en todo el gobierno se realiza a través de una serie de comités, tanto dentro del mundo de la seguridad ^[6] como en dominios alineados, como los Directores de Tecnología (CTO) y la Gestión del Conocimiento y la Información (KIM).

Componentes civiles

El rol de Departamento Gubernamental Líder (LGD) en materia de Ciberseguridad actualmente lo desempeña el Departamento de Ciencia, Innovación y Tecnología (DSIT), habiendo recaído anteriormente en:

• El Departamento de Cultura, Medios de Comunicación y Deportes (DCMS)
• El Departamento de Negocios, Energía y Estrategia Industrial (BEIS)
• El Departamento de Estrategia Empresarial e Industrial (BIS)
• El Departamento de Comercio e Industria (DTI)

DSIT es responsable de apoyar y promover el sector de ciberseguridad del Reino Unido, promover la investigación y la innovación en ciberseguridad y trabajar con el Centro Nacional de Ciberseguridad para ayudar a garantizar que todas las organizaciones del Reino Unido estén seguras en línea y sean resilientes a las ciberamenazas.

Todos los demás departamentos gubernamentales y ALB tendrán personal en la función de seguridad gubernamental/profesión de seguridad gubernamental, apoyando tanto a su personal interno como a sus comunidades de clientes.

Entre los antiguos organismos incluidos en esta categoría se incluyen:

• La Oficina de Seguridad Cibernética y Garantía de la Información (OCSIA) apoya al Ministro de la Oficina del Gabinete , al Honorable Francis Maude, miembro del Parlamento, y al Consejo de Seguridad Nacional en la determinación de prioridades en relación con la seguridad del ciberespacio. La unidad proporcionó orientación estratégica y coordina la acción relacionada con la mejora de la seguridad cibernética y la garantía de la información en el Reino Unido. La OCSIA estaba dirigida por James Quinault, ^[7] pero la función ha sido absorbida por el Grupo de Seguridad del Gobierno.

Componentes de defensa

El Ministerio de Defensa tiene prioridad en materia de seguridad informática y cibernética, tanto en su personal civil como en el militar (aproximadamente 250.000 efectivos) y en la Base de Suministros de Defensa (DSB, aproximadamente 30.000 empresas).

Tiene dos organizaciones principales de seguridad:

• La Dirección de Seguridad y Resiliencia (DSR), centrada predominantemente en la seguridad física y del personal
• La Dirección de Ciberdefensa y Riesgo (CyDR), centrada predominantemente en la información y la ciberseguridad

Estas organizaciones trabajan en colaboración para publicar no sólo las normas internas, sino también los Estándares de Defensa y los Avisos de Seguridad de la Industria (ISN) ^[8].

En abril de 2016, el Ministerio de Defensa anunció la creación del Centro de Operaciones de Seguridad Cibernética (CSOC) "para proteger el ciberespacio del Ministerio de Defensa de actores maliciosos", con un presupuesto de más de 40 millones de libras esterlinas. Está ubicado en el Ministerio de Defensa de Corsham . ^{[9] [10]}

El MOD colabora con el DSB en cuestiones de información y ciberseguridad a través de varias organizaciones, entre ellas:

• Asociación para la ciberprotección de la defensa (DCPP) ^[11]
• Asociación de Seguridad Industrial de Defensa (DISA), ^[12] anteriormente Gremio de Controladores de Seguridad (GSC)
• Team Defence Information (el nombre operativo actual del Consejo de Comercio Electrónico del Reino Unido (UKCeB)), que es una organización de miembros sin fines de lucro cuya misión es transformar el intercambio seguro de información para la colaboración a lo largo de la vida en la adquisición y el apoyo de defensa. ^[13]

Entre los antiguos organismos incluidos en esta categoría se incluyen:

• DIPCOG, el Grupo de cooperación de productos de seguridad informática de defensa

Fuerza cibernética nacional (NCF)

La Fuerza Cibernética Nacional consolida las capacidades cibernéticas ofensivas del Ministerio de Defensa y el GCHQ .

Aplicación de la ley

La Agencia Nacional contra el Crimen (NCA) alberga la unidad de aplicación de la ley contra el delito cibernético, que incorpora el Centro de Protección en Línea y Explotación Infantil .

Entre los antiguos organismos incluidos en esta categoría se incluyen:

• Unidad Nacional de Delitos de Alta Tecnología (NHTCU)

Sector público más amplio

El Sector Público en General (SPG) abarca tanto las categorías del Gobierno Central como de Aplicación de la Ley, que se detallan por separado, pero también elementos como:

• Educación
• Salud
• Autoridades locales

Dentro del WPS hay una serie de organismos de colaboración, entre ellos:

• Grupo Asesor de Especialización en Aseguramiento (ASAG), que organiza la serie de conferencias SUAC
• Grupo Asesor Técnico Cibernético (CTAG), ^[14] anteriormente Grupo de Coordinación de Seguridad Electrónica del Sector Público (PSIACG)
• Cyber ​​Aware es una campaña intergubernamental de concientización y comportamiento que brinda asesoramiento sobre medidas simples que las personas pueden tomar para protegerse de los delitos cibernéticos.

Entre los antiguos organismos incluidos en esta categoría se incluyen:

• CIPCOG, el Grupo de cooperación de productos de seguridad de la información civil

Organismos reguladores

Dos organismos reguladores tienen una función específica relacionada con la ciberseguridad:

• La Oficina del Comisionado de Información ( ICO ), ^[15] líder en materia de Protección de Datos (PD) para Información Personal Identificable (PII)
• OFCOM , líder en aspectos de seguridad de telecomunicaciones y transmisión

La mayoría de los demás organismos reguladores contarán con personal que cubra funciones de información y seguridad cibernética tanto para su personal interno como para sus comunidades de clientes.

Academia

El trabajo académico en materia de información y ciberseguridad se puede dividir en investigación y enseñanza.

Centros académicos de excelencia en investigación sobre ciberseguridad

El NCSC ha acreditado varios Centros Académicos de Excelencia en Investigación sobre Ciberseguridad: ^[16]

• Universidad Queen de Belfast
• Universidad de Birmingham
• Universidad de Bristol
• Universidad de Cambridge
• Universidad de Cardiff
• Universidad de Montfort
• Universidad de Edimburgo
• Universidad de Kent
• King's College de Londres
• Universidad de Lancaster
• Colegio Imperial de Londres
• Colegio Universitario de Londres
• Royal Holloway, Universidad de Londres
• Universidad de Newcastle
• Universidad de Northumbria
• Universidad de Oxford
• Universidad de Southampton
• Universidad de Surrey
• Universidad de Warwick

Organismos profesionales

• La Asociación de Investigadores de Amenazas y Ciberseguridad (ACFTI) es una organización profesional internacional sin fines de lucro que se centra en la academia y la investigación de la ciberseguridad, la ciencia forense digital, la respuesta a incidentes y las investigaciones de amenazas y su influencia en la sociedad. La visión de la asociación es promover la investigación y la educación en los campos de la ciberseguridad, la ciencia forense digital, la respuesta a incidentes y las investigaciones de amenazas y contribuir a la creación y difusión de conocimientos y tecnología en estos dominios. ^[17]
• La British Computer Society (BCS) es un organismo profesional y una sociedad científica que representa a quienes trabajan en el ámbito de la tecnología de la información tanto en el Reino Unido como a nivel internacional. Cuenta con un grupo de seguridad, datos y privacidad. ^[18]
• El Business Continuity Institute (BCI) se creó en 1994 para permitir que los miembros individuales obtengan orientación y apoyo de otros profesionales en continuidad empresarial. El BCI tiene seis estándares de certificación para garantizar que los profesionales individuales tengan conocimientos sobre organizaciones, respuestas y otras estrategias. ^[19]
• El Consejo de Evaluadores de Seguridad Ética Registrados (CREST) ​​es una organización de acreditación y certificación sin fines de lucro. ^[20] CREST no tiene su propio material de estudio y aprovecha los cursos de terceros para que el miembro pueda certificarse. A partir del 24/8/2022, el costo de la membresía de CREST es de 5000 GBP para la membresía de un capítulo de país y 25000 GBP para una membresía regional. En dos ocasiones entre 2012 y 2014, las actividades relacionadas con los exámenes de uno o más empleados y candidatos del Grupo NCC infringieron el Código de conducta de CREST y el Grupo NCC fue, como su empleador, indirectamente responsable de esas personas en ese momento.
• Cyber ​​Scheme es un organismo de examen profesional sin fines de lucro contratado por el Centro Nacional de Seguridad Cibernética para brindar exámenes técnicos en apoyo del programa de pruebas de penetración aseguradas CHECK del gobierno. Los exámenes son independientes y rigurosos y se realizan para los niveles de miembro del equipo de profesionales y líder del equipo.
• El Chartered Institute of Information Security (CIISec), anteriormente el Institute of Information Security Professionals (IISP), es un organismo independiente, sin fines de lucro, gobernado por sus miembros, con el objetivo principal de promover el profesionalismo de los profesionales de la seguridad de la información y, por lo tanto, el profesionalismo de la industria en su conjunto.
• La Institución de Ingeniería y Tecnología (IET) es una institución de ingeniería profesional multidisciplinaria, formada en 2006 a partir de dos instituciones separadas: la Institución de Ingenieros Eléctricos, que data de 1871, y la Institución de Ingenieros Incorporados, que data de 1884.
• ISACA es una asociación profesional internacional que se ocupa de la gobernanza de TI. Anteriormente conocida como Asociación de Auditoría y Control de Sistemas de Información.
• (ISC)² es el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información y una organización sin fines de lucro que se especializa en educación y certificaciones en seguridad de la información.
• La Asociación de Seguridad de Sistemas de Información (ISSA) es una organización profesional internacional sin fines de lucro de profesionales y practicantes de la seguridad de la información. Tiene una filial en el Reino Unido. ^[21]

Grupos industriales

• ADS es una organización comercial para empresas que operan en las industrias aeroespacial, de defensa, seguridad y espacial del Reino Unido. ^[22]
• Alianza para la eliminación de activos y la seguridad de la información, ADISA
• El Foro de Desarrolladores de Criptomonedas (CDF) promueve los intereses globales de la industria de desarrollo de criptomonedas del Reino Unido. ^[23]
• Foro de seguridad informática
• Sociedad de Derecho
• Nominado
• TechUK , anteriormente conocida como Intellect, es una asociación comercial del Reino Unido para la industria tecnológica. ^[24] Tiene un Grupo de Seguridad Cibernética centrado en áreas de “alta amenaza”, que incluyen defensa, seguridad nacional y resiliencia, protección de infraestructura nacional crítica, inteligencia y crimen organizado, presidido por el Dr. Andrew Rogoyski de Roke Manor Research . ^[25] El Grupo de Seguridad y Resiliencia trabaja para construir relaciones entre la industria tecnológica y los responsables de las políticas, los clientes y los usuarios finales, y está presidido por Stephen Kingan de Nexor . ^[26]
• Tigerscheme es un programa de certificación comercial para especialistas en seguridad técnica, respaldado por estándares universitarios y que abarca una amplia gama de conocimientos. ^[27] Tigerscheme cuenta con la certificación CESG en el Reino Unido y los candidatos están sujetos a una autoridad de evaluación académica rigurosa e independiente. Tigerscheme se fundó en 2007 sobre el principio de que un programa de certificación comercial que funcionara de manera independiente daría a los compradores de servicios de pruebas de seguridad la confianza de que estaban contratando a una empresa reconocida y de buena reputación. En junio de 2014, la autoridad operativa de Tigerscheme se transfirió a USW Commercial Services Ltd.
• UK Cloud Pooled Audit Group (UK CPAG) es una organización de miembros formada por los bancos más importantes del Reino Unido. Se creó en 2020 con la misión de utilizar el poder colectivo de los bancos para auditar a los proveedores de servicios en la nube, como Google, Amazon y Microsoft. El grupo está dirigido por la Worshipful Company of Information Technologists
• UK Cyber ​​Security Forum es una empresa social que representa a las pymes (pequeñas y medianas empresas) del sector cibernético del Reino Unido. El foro está compuesto por 20 grupos cibernéticos regionales en todo el Reino Unido. Cada grupo funciona como una subsidiaria del UK Cyber ​​Security Forum y todos están a cargo de grupos de voluntarios. Organizan eventos en todo el Reino Unido para involucrar al público en la ciberseguridad y brindar desarrollo profesional continuo a los profesionales del sector cibernético. Los grupos oficiales son:

Órganos intersectoriales

Los organismos actuales que abarcan múltiples sectores incluyen:

• British Standards Institution (BSI), ^[28] el organismo nacional de normalización del Reino Unido (NSB), que no sólo produce normas británicas (BS) y especificaciones disponibles al público (PAS) en las áreas de seguridad informática y cibernética, sino que también proporciona la interfaz del Reino Unido con las organizaciones internacionales de desarrollo de normas (SDO), incluidas ISO, IEC, ITU-T, CEN, CENELEC y ETSI. Los principales comités de expertos de BSI relacionados con estos temas son IST/33 (seguridad informática y cibernética) e ICT/003 (sistemas fiables).
• Get Safe Online (GSOL) es una campaña y una iniciativa nacional con sede en el Reino Unido que tiene como objetivo enseñar a los ciudadanos sobre seguridad informática básica y privacidad en Internet . Incluyó a ITSafe.
• Foro Nacional de Garantía de Información (NIAF), ^[29] un comité independiente de los principales expertos en Garantía de Información (IA) del sector público y privado del Reino Unido, que reemplazó en gran medida el papel de GIPSI
• Trustworthy Software Foundation (TSFdn) ^[30] es una iniciativa de bien público del Reino Unido que tiene como objetivo fomentar la proactividad en la especificación, realización y uso de sistemas, y proporcionar evaluaciones independientes relacionadas de conformidad organizacional y de soluciones. Surgió de la Trustworthy Software Initiative (TSI), anteriormente la Software Security, Dependability and Reliability Initiative (SSDRI) y la Secure Software Development Partnership (SSDP), que fueron patrocinadas ^[31] por la NPSA del gobierno del Reino Unido, con el objetivo de "mejorar el software".
• El Consejo de Ciberseguridad del Reino Unido ^[32] es el organismo de autorregulación de la profesión de ciberseguridad del Reino Unido. Desarrolla, promueve y administra estándares de ciberseguridad reconocidos a nivel nacional en apoyo de la Estrategia Nacional de Ciberseguridad del Gobierno del Reino Unido para hacer del Reino Unido el lugar más seguro para vivir y trabajar en línea.
• Los puntos de advertencia, asesoramiento e informes ( WARP ) proporcionan un entorno confiable donde los miembros de una comunidad pueden compartir problemas y soluciones. ^[33]

Entre los antiguos organismos incluidos en esta categoría se incluyen:

• Red de transferencia de conocimientos sobre ciberseguridad (CS KTN), patrocinada por Innovate UK (anteriormente Technology Strategy Board)
• El Consejo Asesor de Garantía de la Información (IAAC) trabajó en conjunto con la industria, el gobierno y el mundo académico para garantizar que la sociedad de la información del Reino Unido tenga una base sólida, resistente y segura. ^[34] El IAAC fue creado por la baronesa Neville-Jones , quien presidió la organización hasta 2007, ^[35] pasando el mando al actual presidente Sir Edmund Burton . Entre los afiliados se incluyen BT Group , Northrop Grumman , QinetiQ , Raytheon , PwC , O2 UK , Ultra Electronics y GlaxoSmithKline . ^[36] El programa de trabajo 2012/13 se centró en la consumerización y sus efectos sobre la garantía de la información.
• El Grupo de Coordinación de Garantía de Información (IACG, por sus siglas en inglés) se formó tras la conferencia nacional de garantía de información del Reino Unido en 2006. ^[37] El IACG fomenta una mayor colaboración entre la base de suministro comercial de productos y servicios de garantía de información que operan dentro del sector público del Reino Unido. ^[38] El grupo mantenía el mapa de la comunidad de garantía de información del Reino Unido, ^[39] alojado en el sitio web del CESG. Tiene dos copresidentes: Colin Robbins de Nexor y Ross Parsell de Thales. El IACG dejó de funcionar en 2014.
• Iniciativa General de Productos y Servicios de IA (GIPSI), ^[40] que fue reemplazada en gran medida por NIAF
• ITSafe (IT Security Awareness for Everyone) era una antigua organización financiada por el gobierno que proporcionaba alertas y que se incorporó a GetSafeOnline.
• NDI era una antigua organización financiada por el gobierno que construía cadenas de suministro para el Ministerio de Defensa y los fabricantes que utilizaban PYME en el Reino Unido. ^[41]

Vínculos internacionales

Muchas de estas categorías proporcionarán vínculos desde el Reino Unido a las actividades de otras naciones en materia de ciberseguridad, entre ellas:

• Vínculos intergubernamentales
• Vínculos en materia de defensa, en particular con la OTAN y los aliados del grupo Cinco Ojos
• Enlaces de normas, predominantemente a través de BSI
• Vínculos con comunidades de práctica, como la Open Systems Software Foundation (OSSF)

Véase también

• Agencias de inteligencia británicas

Referencias

1. El Reino Unido no está "en absoluto" preparado para detener un ciberataque devastador, advierten los diputados The Guardian
2. "EURIM".
3. "Estrategia de ciberseguridad del Reino Unido". HMG.
4. "Grupo de Oficiales de la Guardia Costera".
5. Gobierno de Su Majestad (1 de noviembre de 2016). «Estrategia nacional de ciberseguridad 2016-2021» (PDF) . gov.uk . Consultado el 2 de noviembre de 2016 .
6. "Comités".
7. "OCSIA". Archivado desde el original el 23 de enero de 2013. Consultado el 14 de enero de 2013 .
8. "ISN". Ministerio de Relaciones Exteriores. 14 de diciembre de 2023.
9. "El Secretario de Defensa anuncia un Centro de Operaciones de Ciberseguridad de 40 millones de libras esterlinas". Ministerio de Defensa. 1 de abril de 2016. Archivado desde el original el 25 de abril de 2019. Consultado el 2 de abril de 2016 .
10. Hammick, Murray (30 de octubre de 2018). «El presupuesto y la defensa». The Military Times . Londres. Archivado desde el original el 22 de octubre de 2019 . Consultado el 7 de mayo de 2020 .
11. "DCPP". Gobierno de Su Majestad. 23 de noviembre de 2023.
12. "DISPARO".
13. "Reino Unido CeB".
14. "Grupo de asesoramiento técnico cibernético" . Consultado el 24 de diciembre de 2023 .
15. "ICO - Acerca de". 20 de noviembre de 2023. Consultado el 24 de diciembre de 2023 .
16. "Centros académicos de excelencia en investigación sobre seguridad cibernética". NCSC.
17. "ACFTI Reino Unido".
18. "Seguridad BCS".
19. Kaye, David. (2008). Gestión de riesgos y resiliencia en la cadena de suministro. Londres [Inglaterra]: BSI Business Information. ISBN 978-1-62198-414-6.OCLC 849744629  .
20. "Inicio". crest-approved.org .
21. "AISS Reino Unido".
22. "ANUNCIOS".
23. "FDC".
24. "tecnología UK".
25. "Seguridad cibernética de Intellect". Archivado desde el original el 14 de junio de 2013. Consultado el 14 de enero de 2013 .
26. "Defensa y seguridad intelectual". Archivado desde el original el 14 de junio de 2013. Consultado el 16 de enero de 2013 .
27. "Inicio". tigerscheme.org .
28. "BSI - NSB". www.bsigroup.com . Consultado el 24 de diciembre de 2023 .
29. "NIAF" . Consultado el 24 de diciembre de 2023 .
30. "Fundación de software confiable" . Consultado el 24 de diciembre de 2023 .
31. Proteger y promover el Reino Unido en un mundo digital: 2 años después – Comunicado de prensa del Gobierno, consultado el 12 de diciembre de 2013
32. "UKCSC" . Consultado el 24 de diciembre de 2023 .
33. "DEFORMACIÓN".
34. "IAAC". Archivado desde el original el 10 de abril de 2018. Consultado el 14 de enero de 2013 .
35. "IAAC - Neville-Jones".
36. "Patrocinadores del IAAC". Archivado desde el original el 7 de junio de 2017. Consultado el 17 de mayo de 2016 .
37. "Creación del IACG". Archivos Nacionales. Archivado desde el original el 5 de marzo de 2008.
38. "Descripción general del IACG".
39. "Mapa de la comunidad IA" (PDF) . Archivado desde el original (PDF) el 2013-07-31 . Consultado el 2013-01-14 .
40. EC2ND 2006 - Actas de la Segunda Conferencia Europea sobre Defensa de Redes Informáticas, 2006
41. "NDI UK". Archivado desde el original el 21 de octubre de 2016. Consultado el 21 de agosto de 2013 .