Se cree que existe con ese nombre desde 1985 en el antiguo CESID, al que ya se le asignaban funciones en la materia través de un Real Decreto de 1985: «Criptoanalizar y descriptar por procedimientos manuales, medios electrónicos y criptofonía, así como realizar investigaciones tecnológico-criptográficas y formar al personal especializado en criptología.«
A partir de la creación del CNI ha salido a la luz publica, en parte por que es necesario para el cumplimiento de algunas de sus funciones, ha sido regulado legalmente a través del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
Aunque el decreto se centra en la protección y seguridad de las tecnologías de la información, es evidente que el CCN tiene también dentro de sus funciones la ruptura de códigos (por ejemplo el cifrado de un ordenador incautado a un comando terrorista), o el acceso a sistemas o comunicaciones de terceros, algo lógico siendo una de las funciones principales de un servicio de inteligencia la obtención de información.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información y de protección de la información clasificada, a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional (CCN).
El ámbito de actuación del Centro Criptológico Nacional comprende:
- La seguridad de los sistemas de las tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico, que normativamente requieren protección, y que incluyen medios de cifra.
- La seguridad de los sistemas de las tecnologías de la información que procesan, almacenan o transmiten información clasificada.
Dentro de dicho ámbito de actuación, el Centro Criptológico Nacional realizará las siguientes funciones:
- Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los sistemas.
- Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones.
- Constituir el organismo de certificación del Esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito.
- Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las tecnologías de la información, que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura.
- Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas antes mencionados.
- Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.
- Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países, para el desarrollo de las funciones mencionadas.
El HEXAGONO, edificio donde se ubica el CCN
Estructura:
Dirección
El Director del Centro Criptológico Nacional, es el Secretario de Estado Director del CNI.
Subdirección General
A la cabeza del CCN se encuentra un Subdirector General, cuenta con un Gabinete Técnico, una Secretaria y una Unidad de Comunicación., bajo la Subdirección se encuentran 2 departamentos:
1. Departamento de Ciberseguridad (CCN-CERT)
Funciones:
- Formación, normativa y cultura de ciberseguridad: actividades formativas, acciones de concienciación y sensibilización, y publicación de normas, instrucciones y recomendaciones. Todo ello, con el fin útlimo de mejorar la ciberseguridad de las organizaciones.
- Implementación de seguridad: acreditación de sistemas que manejan información clasificada, así como desarrollo de soluciones y apoyo necesario para la implantación del Esquema Nacional de Seguridad.
- Auditoría: evaluación del estado de la seguridad de los sistemas TIC e inspecciones de seguridad que permiten verificar la seguridad implementada en un sistema y que los servicios y recursos utilizados cumplen con los mínimos especificados y requeridos en la política de seguridad.
- Sistema de Alerta Temprana (SAT): detección rápida de incidentes y anomalías, que permite realizar acciones preventivas, correctivas y de contención.
- Gestión y respuesta a incidentes: constituye el centro de alerta y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques y afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes (CERT/CSIRT) o Centros de Operaciones de Ciberseguridad (SOC) existentes.
- Centros de Operaciones de Ciberseguridad: prestación de servicios horizontales de ciberseguridad que permiten aumentar la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas de información y comunicaciones de la Administración, así como la mejora de su capacidad de respuesta ante cualquier ataque.
Organización:
- Gabinete Técnico
- Oficina de Comunicación
- Área de Normativa y Servicios de Ciberseguridad
- Formación
- Normativa
- Implementación Seguridad: Esquema Nacional de Seguridad (ENS) y Sistemas clasificados.
- Auditorias: formado por 3 Equipos.
- Área de Gestión y Respuesta a Ciberincidentes
- Sistemas de Alerta Temprana (SAT): el CCN tiene desplegadas unas 197 sondas de detección en 192 organismos públicos, y otras 8 en confederaciones hidrografías, servicios médicos e instalaciones nucleares. Cuenta con 50 áreas de conexión.
- Respuesta a ciberincidentes: formado por 3 equipos.
- Forense e ingeniería inversa
- Centro de Operaciones de Ciberseguridad (SOC): A través de un SOC se realizan tareas de prevención, detección y vigilancia, supervisando a las personas, los procesos y la tecnología que intervienen en todos los aspectos operativos de la ciberseguridad.
El SOC realiza 5 grandes funciones:
- Prevención: Gestión de elementos de seguridad perimetral (FW, IPS, IDS, F5, …), Cortafuegos de aplicaciones Web (WAF) / Anti-DoS Capa 7, Análisis de tráfico cifrado con SSL/TLS, Gestión de elementos de seguridad internos (FW, IPS/IDS,…), Navegación segura (Proxy), Correo seguro / Sandbox, DNS Pasivo, Revisión automática de vulnerabilidades, Prevención de fuga de datos (DLP), Seguridad de endpoint / Bastionado / GPO, Acceso remoto (VPN) y Antivirus.
- Operación: Vigilancia digital, Monitorización y correlación de eventos (GLORIA/CARMEN), Monitorización de eventos internos, Auditorías Técnicas, Pruebas de Seguridad: Pruebas de caja blanca (Análisis de código fuente) y Pruebas de cajanegra (Pentest).
- Respuesta: Gestión de incidentes de seguridad, Investigación de ciberamenazas / Análisis forense y respuesta a incidentes, Gestión de vulnerabilidades, Gestión de alertas (SAT), Gestión de alertas anti-DOS, Análisis de código dañino (MARTA/MARÍA).
- Formación: Formación en seguridad y Concienciación en seguridad.
- Mejora: Asesoramiento en ciberseguridad.
2. Departamento de Productos y Tecnologías (CCN-PITEC)
- Promoción y desarrollo de productos de cifra y seguridad TIC: su objetivo es garantizar que los productos utilizados por la Administración cumplan con los niveles de seguridad exigidos.
- Evaluación y certificación: la evaluación y certificación de productos de seguridad TIC son el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información segura Organismo de Certificación del ENS (OC-CCN)
- Seguridad Productos TIC: elabora un Catálogo deProductos STIC, CPSTIC, en el que ofrece un listado de productos de seguridad con unas garantías por el propio CCN.
Medios:
El CCN comparte, personal, presupuesto y medios con el CNI, del que forma parte, se encuentra en la sede central de este, en el edificio conocido como el Hexagono, en sus plantas superiores, que parecen protegidas por una malla, probablemente para evitar ataques TEMPEST, mantiene relación con empresas privadas del sector de la ciberseguridad, y cuenta con ingresos adicionales por ejemplo en Septiembre de 2021 el Gobierno transfirió al CCN 5,2 millones de euros (que alcanzaran los 13 millones en 2023) para implantar el Centro de Operaciones de Ciberseguridad.