red seguridad 075

requisitos excepcionales de deter- minados sectores o subsectores estratégicos. Por otra parte, de forma general la colaboración con los operadores se extiende al intercambio de infor- mación de interés por ambas partes, revisión de amenazas o vulnerabili- dades que puedan afectar de forma global o sectorial o cualquier otra actividad que derive en un estudio de casuísticas particulares. En definitiva, se trata de un marco de trabajo que tiene por objeto garantizar la comuni- cación fluida entre la Administración y los operadores críticos. Y en el caso de los proveedo- res de seguridad para las TIC, ¿cómo colabora el CNPIC con ellos para conseguir que las solu- ciones sean realmente eficaces para entornos críticos? Según establece la normativa PIC, a través de la Ley 8/2011 y el Real Decreto 704/2011, el operador crí- tico es el responsable último de la protección de las infraestructuras críticas que gestiona o que son de su propiedad. De este modo, el Sistema PIC contemplado en la mencionada normativa se centra en garantizar una adecuada comuni- cación fundamentalmente con esos operadores críticos, y fomentar el nivel de coordinación con el resto de agentes público-privados con algún tipo de responsabilidad en la mejora de la protección de las infraestructu- ras críticas nacionales. Con todo, el objetivo final del CNPIC es identificar aquellos aspec- tos de mejora que pudiesen apli- carse para reforzar la seguridad de las instalaciones o infraestructuras críticas, no entrar a recomendar sis- temas de seguridad concretos que deberían implantarse. Hacerlo de otro modo entraría en conflicto con la debida transparencia que deben tener las Administraciones Públicas y, en todo caso, será el propietario de las infraestructuras el que deberá valorar la oportunidad de una solu- ción concreta, en función de los informes realizados por cualquiera de los agentes que componen el Sistema PIC. Dicho esto, sí que existe una vía paralela de colaboración con los proveedores de seguridad, basada en la identificación de nuevas formas de desarrollo de la industria, y cen- trada en el ámbito de la investigación y el desarrollo. De este modo, desde el CNPIC participamos en distin- tos proyectos de I+D, fundamen- talmente de financiación nacional o europea, para los que aportamos nuestro rol de expertos en materia de protección de infraestructuras críticas. Consideramos que este tipo de proyectos son muy importantes no sólo para mejorar los meca- nismos de seguridad que podrían implantarse en los operadores críti- cos, sino también para fomentar el desarrollo de la industria nacional de seguridad. ¿Cree que es necesario crear espacios en los que los operado- res compartan información sobre las ciberincidentes que sufren? ¿Y de operadores con proveedores e integradores? Considero fundamental promover mecanismos que faciliten el inter- cambio de información, particu- larmente cuando ésta se refiere a incidentes o amenazas sobre los que podemos aprender y, por tanto, mejorar las herramientas de preven- ción. Sin embargo, los problemas que veo a día de hoy para su implan- tación efectiva son: Por un lado, la ausencia de una garantía de privacidad y control de acceso a la información compar- tida. No me refiero a la ausencia de técnicas para conseguirlo, sino a lograr que los usuarios de estas herramientas de intercambio perci- ban de forma clara que se aseguran estos elementos. Considero que cualquiera que comparta una infor- mación debería tener perfectamen- te claro quién ha accedido a ella, de qué modo, en qué momento y cuál ha sido el uso que le ha dado con posterioridad. Por otro lado, la existencia de múltiples espacios y plataformas de intercambio. A día de hoy existen muchas herramientas para materia- lizar el intercambio de información, y al final es difícil encontrar un espacio común de intercambio que evite redundancias y acciones repetitivas. En el caso de las Administraciones Públicas esto es aún más impor- tante, en tanto en cuanto evitaría duplicidades en lo que respecta a las comunicaciones de ciudadanos o entidades jurídicas con éstas. Con todo, siendo para nosotros un aspecto fundamental, a través del CERTSI, operado conjuntamente por el CNPIC e Incibe, ponemos a disposición de los operadores crí- ticos una herramienta de intercam- bio de ciberamenazas, denominada ICARO, sobre la que es posible obtener un mejor conocimiento del estado de situación en materia de alertas de ciberseguridad. De este modo, los operadores críticos podrían valorar qué impacto podría tener en su organización una vulne- rabilidad o tipo de ataque concretos. Por otra parte, desde el CERTSI podríamos reorientar el tipo de infor- mación compartida en este entorno en función de las necesidades de los operadores, y del tipo de consumo que hacen de la información obteni- da. Se trata de una herramienta, por tanto, que tiene por objeto focalizar- se hacia las necesidades reales de los operadores críticos, y que se pule y revisa cada día. "A medida que la mesa de coordinación avance, conseguiremos un marco de trabajo estable" red seguridad cuarto trimestre 2016 19 especial ciberseguridad PIC entrevista