Durante las XVIII Jornadas STIC del CCN-CERT, el responsable de seguridad de Aragonesa de Servicios Telemáticos, Ignacio Pérez Helguera y la ingeniera y la gestora de proyectos también del AST, María Eugenia Pamplona, han ofrecido una charla magistral sobre el pasado, presente y futuro de la entidad, en proceso de ser conocido ya como el Centro de Ciberseguridad de Aragón.
AST-CERT fue creado en 2019 sin presupuesto ni personal específico, pero con el claro objetivo de proteger los sistemas del Gobierno de Aragón frente a las crecientes amenazas cibernéticas. A lo largo de los años ha logrado hitos significativos, como la certificación en el Esquema Nacional de Seguridad (ENS) en categoría ALTA y la implementación de la Red de Notificaciones de Seguridad (RNS).
Intercaladamente, Pérez y Pamplona han destacado que «el modelo operativo de AST.CERT se basa en dos componentes principales: el SOC (Centro de Operaciones de Seguridad) y el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática)». El SOC actúa como los “ojos” del sistema, monitorizando continuamente la superficie de exposición, gestionando amenazas y realizando análisis iniciales para identificar y mitigar riesgos.
Por su parte, el CSIRT se enfoca en la respuesta a incidentes más complejos, utilizando herramientas avanzadas para analizar el contexto general y proponer soluciones concretas. Esta división de funciones permite abordar los problemas desde perspectivas complementarias, profundizando en áreas críticas cuando es necesario.
A pesar de estas diferencias funcionales, SOC y CSIRT no operan de forma completamente aislada, explican. Los equipos comparten ciertas actividades, especialmente en los niveles más avanzados de análisis, y fomentan la especialización progresiva de los profesionales interesados en gestionar incidentes de mayor complejidad. Este enfoque ha permitido optimizar la gestión de alertas y diferenciar entre eventos de menor relevancia y verdaderos incidentes de seguridad, en función de criterios claros como impacto y evidencia.
En términos de infraestructura, el entorno de AST.CERT comprende más de 3.000 servidores, 3.000 aplicaciones, una red con 3.000 elementos electrónicos y 2.000 ubicaciones distintas, que incluyen hospitales, juzgados y redes de emergencias a día de hoy. Este ecosistema soporta a 55.000 empleados públicos y representa el 10% del territorio de Aragón. Además, la organización utiliza más de 40 tecnologías diferentes para monitorización, análisis y respuesta, lo que refleja un alto nivel de complejidad.
La gestión de incidentes sigue un procedimiento basado en normativas internacionales como el marco NIST, estructurando cada fase con responsabilidades claras para garantizar una respuesta eficaz. Además, tienen playbooks propios que documentan las acciones específicas según el tipo de ataque, facilitando una actuación consistente y la transferencia de conocimiento dentro del equipo, que no para de crecer día a día.
Uno de los retos clave para AST.CERT, destaca Pérez, ha sido y sigue siendo la coordinación entre múltiples grupos y empresas externas con dinámicas distintas. Esto les ha llevado a establecer una estrategia global para la respuesta a incidentes, priorizando calidad sobre cantidad en la gestión de alertas. En términos de recursos humanos, AST.CERT cuenta actualmente con entre 20 y 30 analistas, complementados por personal de áreas específicas como correo y usuarios finales.
No obstante, ha querido dejar caer el dato preocupante de la temporalidad, que afecta al 60% del personal, y los salarios son bastante más bajos en comparación con los del sector privado. A pesar de esto, dice, el equipo mantiene una alta motivación impulsada por el sentido de servicio público e incluso se han llegado a dar casos de que se pagan su propia educación, lo que desde nuestro medio nos parece inadmisible. Síguenos.
