Actualidad

Protección de infraestructuras críticas (IC) y gestión de la seguridad

Diariamente surgen muchas amenazas que provocan situaciones de riesgo de intrusión en los sistemas que ponen en jaque a la seguridad de las infraestructuras críticas, noticias como: ‘Un ´hacker´ denuncia la fragilidad de los sistemas que controlan el suministro de agua’ o Washington investiga un ´ciberataque´ al sistema de distribución de agua en Illinois’, constituyen algunos ejemplos recientes que ponen de manifiesto la vulnerabilidad de estos sistemas.

Por Rafael González, especialista en gestión de riesgos del área de Governance, Risk & Compliance de ECIJA

En nuestro país el pasado 29 de Abril de 2011 se publicó en el BOE la Ley 8/2011 por la que se establecen medidas para la protección de infraestructuras críticas (IC). Más adelante, el 20 de Mayo, se publica el Real Decreto 704/2011 que regula dicha ley.

En estas líneas se plasman unas reflexiones generales sobre los planteamientos que deben tener los proyectos relacionados con la seguridad de las IC, buscando fundamentalmente, proponer criterios comunes.

De la lectura de la Ley y el RD surgen una serie de consideraciones:
- El grado de concienciación de la Administración en cuanto a la necesidad de protección de las IC.

- La priorización de la vida de las personas sobre otros parámetros, como los económicos, medioambientales o sociales.

- La gran cantidad de actores que aparecen en la resolución del problema.

- La clara definición de los instrumentos de planificación y comunicación del sistema

Son los dos últimos puntos los que obligan a planteamientos de Gestión de la Seguridad para poder realizar una aproximación para realizar una gestión integral de la seguridad, tanto física como lógica:

Actores
- La Secretaría de Estado de Seguridad del Ministerio del Interior.

- El Centro Nacional para la Protección de las Infraestructuras Críticas.

- Los Ministerios y organismos integrados en el Sistema,

- Las Comunidades Autónomas y las Ciudades con Estatuto de Autonomía.

- Las Delegaciones del Gobierno en las Comunidades Autónomas y en las Ciudades con Estatuto de Autonomía.

- Las Corporaciones Locales, a través de la asociación de Entidades Locales de mayor implantación a nivel nacional.

- La Comisión Nacional para la Protección de las Infraestructuras Críticas.

- El Grupo de Trabajo Interdepartamental para la Protección de las Infraestructuras Críticas.

- Los operadores críticos del sector público y privado.

Será necesario esperar al final del primer semestre el año próximo para verificar la asignación final de responsabilidades y funciones en materia de seguridad desde una perspectiva sectorial (doce) dado que la selección e implantación de soluciones puede perderse en la maraña de despachos y comisiones.

Instrumentos de planificación y comunicación
El 15 de Noviembre se publica una resolución por la que se establecen los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos. Se trata de un documento detallado donde entre otros temas se cita de:

- Política General de Seguridad del Operador.

- Marco de Gobierno de Seguridad

- Metodología de Análisis de Riesgos

- Buenas prácticas

- Formación

- Reevaluación

Es decir, se define el concepto de GESTION DE LA SEGURIDAD INTEGRAL. En este sentido, aunque no de forma explícita, se hace referencia a Common Criteria como el marco común para la evaluación de la seguridad tecnológica. Independientemente del marco de referencia, Common Criteria, ISO 27001, Cobit, NIST, lo realmente necesario es un marco organizativo y de gestión común que permita aunar las naturalezas individuales de los doce sectores estratégicos recogidos en la Ley.

En lo relativo al análisis de riesgos, se menciona que el Operador deberá describir las medidas de seguridad implantadas, las medidas organizativas y de gestión y las medidas operacionales o procedimentales, alineado con el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

¿No sería razonable que los organismos competentes establezcan una metodología de análisis de riesgos común a todos los operadores de IC? Sería deseable fijar criterios comunes a la hora de establecer probabilidades de amenazas, impactos, planes de tratamiento. De esta forma se ponderarían todos los escenarios posibles con un criterio homogéneo. Estos criterios deberían ir más allá de una recomendación de uso de una metodología “internacionalmente reconocida que garantice la continuidad de los servicios” (Resolución 29 Noviembre 2011 que modifica Real Decreto 704/2011)

Rafael Gonzalez, Ecija  Imprimir  Subir

TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper