La realidad del CiberRiesgo en las Infraestructuras Críticas

Agustín Moyano, Product Manager de Nextel S.A.

Agustín Moyano, Product Manager de Nextel S.A.

Con la premisa de que los riesgos se han multiplicado, simplemente, con la aparición de sus análogos con prefijo “Ciber”, Nextel S.A. presenta su planteamiento de seguridad integral colaborativa dentro de un ecosistema PIC, teniendo en cuenta que una de las primeras acciones debe ser la concienciación de que lo que no se ve, existe y puede ser peligroso.

La Real Academia de la Lengua Española define Seguridad comolibre o exento de todo peligro, daño o riesgo”, sabiendo que esa es una necesidad básica del ser humano representada en el segundo nivel de la pirámide de Maslow, justo a continuación de las fisiológicas. En la mayoría de los casos, es suficiente con tener la percepción de estar seguro.

Si vamos a hablar de Ciberseguridad, empezaremos referenciando a ISACA, que la define como la “protección de activos de información a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Si bien, en Ciberseguridad no vale con tener la percepción de estar seguros. De hecho, la dificultad para identificar situaciones de ciberamenazas, deriva en una doble vertiente: una situación de alerta constante o una relajación absoluta.

Otro concepto que requiere definición es el de CiberDelito. Según el Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest, son ciberdelitos aquellos que atentan contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, como son el acceso ilícito, la interceptación ilícita, la interferencia en los datos, la interferencia en los sistemas o el abuso de los dispositivos. También son ciberdelitos los relacionados con la falsificación y el fraude informático, los relacionados con el contenido, como la pornografía infantil, y los relacionados con infracciones de la propiedad intelectual y de los derechos afines.

Según el Anuario de criminalidad sobre 2013 publicado por Moncloa, se registraron dicho año 42.437 ciberdelitos, situándose alrededor del 2% de la delincuencia total en España. La división por tipo de delito estaría destacadamente encabezada por el fraude informático (62,8%), seguido por amenazas y coacciones (21,4%) y por delitos contra el honor (4,6%), acceso e interceptación ilícita (4,3%) y falsificación informática (3,8%).

INCIBE

Si echamos un vistazo a la prensa digital, se pueden encontrar titulares como “España, noveno país con mayor número de ciberataques” (La Voz de Galicia, 31 de octubre de 2015), “España sufre seis graves ciberataques cada mes” (La Tribuna del País Vasco, 26 de octubre de 2015), “Las infraestructuras críticas de España han sufrido 40 ciberataques en 2015” (El Periódico, 16 de julio de 2015) o uno de los más impactantes: “Los ciberataques causan pérdidas anuales de 14.000 millones de euros en España” (mycomputerpro, 9 de octubre de 2015).

Tras recopilar estas definiciones, es momento de entrar en el mundo de las infraestructuras críticas y de diseñar un ecosistema PIC en el que convivan todos los ámbitos de la seguridad en la gestión integral:

 

Ecosistema PIC

Ecosistema PIC

La vigilancia sobre el correcto funcionamiento del sistema de gestión de seguridad de las infraestructuras críticas corresponde al o a los departamentos de seguridad de los gobiernos correspondientes, en cuyo alcance se localizarán la parte de cumplimiento normativo y el desarrollo de planes y proyectos relacionados con la seguridad física y con la ciberseguridad. Otro punto muy importante es disponer de herramientas que soporten toda la gestión de la seguridad y que sea nodo concentrador del resto de elementos operativos.

Aplicacion práctica de un proyecto PIC

A nivel más operativo, la imagen anterior presenta la ubicación y aplicación práctica de los servicios necesarios en los proyectos de infraestructuras críticas, así como los ámbitos involucrados en cada apartado, que están representado por las cajas de colores, según el código establecido en la Imagen 1.

Análisis Inicial

Se trata de un servicio de análisis de necesidades en materia de protección de las infraestructuras críticas, con el fin de determinar de manera exacta la situación de partida y definir las necesidades concretas existentes de cara al cumplimiento de las exigencias vigentes.

Adecuación a las exigencias legales

Son una serie de servicios encaminados a facilitar a los operadores críticos la adecuación de sus infraestructuras a las exigencias legales vigentes en torno a su seguridad y protección:

  • Desarrollo del Plan de Seguridad del Operador: Nextel S.A. elabora el plan de seguridad del operador de acuerdo a lo establecido en la Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador

  •  Desarrollo de los Planes de Protección Específicos: Nextel S.A. elabora el plan de protección específico de cada una de las infraestructuras del operador denominadas críticas, de acuerdo a lo establecido en la Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Protección Específicos

  •  Despliegue de Planes de Seguridad y Protección: se ofrece soporte para el despliegue de los planes de seguridad y de protección específicos. En este servicio, ofrecido de manera conjunta desde las áreas de Consultoría y de Ingeniería, implica la participación de Nextel en el despliegue de las medidas de seguridad establecidas en dichos planes

  •  Implantación de medidas de seguridad: Implantación de todos los componentes tecnológicos necesarios para la mejora de la seguridad en las infraestructuras críticas, de acuerdo a lo establecido en los planes de acción específicos definidos previamente

Operación y mantenimiento de la seguridad

Dentro de la fase de operación y mantenimiento de la seguridad de las infraestructuras críticas, una vez que ya se ha llevado a cabo la adecuación de las mismas a las exigencias legales, se ofrecen los siguientes servicios con el fin de facilitar a los operadores críticos la optimización de estas tareas:

  • Soporte a la gestión de la seguridad: Soporte especializado para la gestión de la seguridad, con el fin de que los operadores críticos puedan contar con la colaboración del equipo de Consultoría para que, en forma de oficina técnica de seguridad, puedan colaborar de manera permanente en la protección y el mantenimiento de la sistemática de gestión desarrollada en torno a ellas

  •  Operación de seguridad: en esta fase, los operadores críticos pueden contar con la colaboración del área de Ingeniería para llevar a cabo las tareas de operación y mantenimiento de las tecnologías de seguridad dispuestas en torno a las infraestructuras críticas

  •  Despliegue de centros expertos: los operadores críticos tienen la posibilidad de desplegar centros expertos para la externalización de la seguridad en las infraestructuras críticas

A la hora de hablar de medidas técnicas, hay que tomar como referencia las establecidas e indicadas en la normativa, que son recogidas y desarrolladas en la guía de buenas prácticas para la elaboración del Plan de Seguridad del Operador, publicada por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), donde se presentan en tres bloques (organizativas, operacionales y técnicas), según la siguiente imagen:

Medidas de protección

Y por cada una de las medidas, Nextel S.A. ofrece un catálogo de servicios que aportan soluciones en el ámbito de la gestión y de la ciberseguridad, teniendo en cuenta que en aquellas medidas que se puedan escapar de su alcance, como son las más relacionadas con la seguridad física, existen acuerdos de colaboración con empresas líderes en el sector para poder ofrecer proyectos conjuntos de carácter integral.

CatalogoServiciosConsultoria

El denominador común de estos servicios es la adaptación que permiten a las necesidades de los operadores y que todos han sido diseñados siguiendo los mejores modelos de referencia, a nivel normativo (ISO 38500, ISO 31000, ISO 27001, ISO 22301, ISO 20000, ISO 17021, ISO 9001, UNE 71505, ITIL, COSO, CobiT) y legal (Ley PIC, LOPD, LAECSP, ENS, ENI, LFPDPPP, MAAGTICSI).

Y, por completar el ecosistema, cabe destacar el listado de proveedores tecnológicos líderes a nivel mundial que respaldan nuestros proyectos en el ámbito de Integración, como se puede ver en el siguiente enlace: http://www.nextel.es/partners/

Apariciones en prensa:

Seguritecnia, diciembre 2015 – Versión impresa booklet PDF

Seguritecnia, diciembre 2015 – Versión Online

Share

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Captcha *