Red Seguridad 87

La importancia de asegurar las infraestructuras críticas L as infraestructuras críticas des- empeñan un papel central en el fun- cionamiento de nuestras sociedades. Detrás de esta expresión encon- tramos abreviaturas como CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) en España u OES (Operador de Servicios Esenciales) para Europa. Pero esto no es todo. En términos más gene- rales, este concepto se refiere a toda infraestructura pública y privada cuyo funcionamiento continuo es vital para la buena marcha del Estado o de la sociedad. Dentro de este mundo se integran organizaciones que operan en los sectores de telecomunicaciones, transporte o energía y, por supuesto, cualquiera para la que una interrupción de sus servicios pueda tener conse- cuencias dramáticas. Por lo tanto, garantizar la marcha satisfactoria de estas estructuras es trascendente para el funcionamiento cotidiano de nuestras sociedades y la seguridad de nuestros ciudadanos. Sin embargo, por su importancia, este tipo de infraestructuras suelen convertirse en el blanco principal de los actos terroristas o de sabotaje perpetrados mediante ciberataques. Para evitar que tales ataques se produzcan a través de sus sistemas informáticos, los gestores de infraes- tructuras críticas deben esforzarse por conseguir la máxima seguridad, tal y como se especifica en la jungla de diferentes directivas, versiones y textos normativos tanto a nivel nacio- nal como europeo. Una densa legislación Ahora bien, el carácter crítico de esta infraestructura ha llevado a los Estados miembros de la Unión Europea a adoptar leyes, reglamentos y directivas para garantizar que esta infraestructura pueda resistir los cibe- rataques. Realmente, aunque no sea- mos capaces de prevenirlos, debemos intentar, cuanto menos, bloquearlos o poder restaurar los servicios afectados con la mayor premura posible. En España, por ejemplo, la Directiva NIS (Directiva de la Unión Europea 2016/1148) del Parlamento Europeo y sus correspondientes transposicio- nes al ordenamiento jurídico español, así como el Reglamento General de Protección de Datos y el Real Decreto- ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, consideran la gestión de incidentes de ciberseguridad como una imposición legal para todas las organizaciones públicas y algunas privadas de España que prestan ser- vicios esenciales. Este marco incluye el apoyo de entidades clave, como la Plataforma Tecnológica Española de Seguridad Industrial, cuyo objetivo es promover la innovación y el desarrollo tecnológico encaminado a la mejora de la seguridad integral de la empresa española a través de la cooperación entre agentes industriales (incluyendo ingenierías, compañías de consultoría y servicios: seguridad, protección de riesgos laborales y tecnologías de la información y la comunicación) y centros tecnológicos. De igual modo, la capacidad de res- puesta a incidentes de seguridad de la información del Centro Criptológico Nacional (CCN), creada en 2006, como CERT gubernamental/nacional, cuyas funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, en el Real Decreto 421/2004 de regulación del CCN y en el Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad, ha sido un factor clave en la protección del cibe- respacio español. Además de acatar leyes y regla- mentos, las empresas que gestionan infraestructuras críticas deben seguir unos buenos hábitos en ciberseguri- dad. Esto incluye, en primer lugar, la elección de soluciones recomenda- das y/o aprobadas por organismos internacionales, ya que una solución certificada cumple con el marco regu- latorio y ofrece mayor tranquilidad al haber sido probada a niveles muy exigentes. De igual modo, el apoyo de especialistas también es útil para ayudar a este tipo de organizacio- nes a sacar el máximo provecho de las soluciones implementadas en un entorno restringido. Ejemplo de despliegue Como ejemplo de despliegue de solu- ciones de ciberseguridad en infraes- tructuras críticas vamos a analizar el caso de la integración entre la red informática y operacional de uno de 68 red seguridad cuarto trimestre 2019 Antonio Martínez Algora Responsable técnico de Stormshield Iberia opinión servicios esenciales monográfico