Red Seguridad 87

red seguridad cuarto trimestre 2019 71 el bienestar social y económico de los ciudadanos o el eficaz funcionamien- to de las instituciones del Estado y las administraciones públicas) debía y debe compartirse por todas las partes involucradas en este cometido. Riesgos de seguridad Así pues, en Sothis hemos vivido en primera línea la exigencia y esfuerzo de la empresa que implica desarrollar de forma conjunta con el operador crítico el PSO en un sector tan sensible como es el Sanitario. En él, además de los habituales riesgos de seguridad a los que se encuentra expuesta cualquier organización, se presenta el escenario en el que una amenaza asociada a los activos de equipamiento/maquinaria o a la red de comunicaciones, que son necesarios para la intervención médi- ca, se materialice. Y, de igual forma, que genere unas consecuencias tan catastróficas como la posible parada de la actividad de los hospitales. De este modo se produciría, en concreto, un impacto tan alto como la puesta en riesgo de la vida de los pacientes. El elemento más importante para desarrollar esta labor ha sido dis- poner del apoyo de la dirección del organismo, puesto que el punto de partida del PSO precisa establecer claramente cuáles son las líneas de actuación de manera homogénea en materia de seguridad integral (física y ciberseguridad), así como reflejar el apoyo y compromiso en el marco de referencia para la protección de las infraestructuras críticas, es decir, en la política de seguridad. El siguiente paso concernía a la definición y asignación de funciones, tal y como se requiere en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas. La designación del responsa- ble de Seguridad y Enlace, del dele- gado de Seguridad por infraestructura crítica y de los sustitutos de estos, precisaba de un ejercicio de adapta- ción a la estructura organizativa, de forma que la asunción de responsabi- lidades fuera lo menos drástica. Una vez definido el ámbito organi- zativo, era el momento de determinar la metodología o metodologías de análisis de riesgos a emplear por el operador crítico para garantizar la continuidad de los servicios, con- templando tanto las amenazas físi- cas como las lógicas. Aquí debe- mos recalcar la importancia de poder utilizar una o varias metodologías de gestión de riesgos, ya que es necesario cubrir las amenazas de ámbitos tan distintos y a la vez tan complementarios a las que están expuestos los activos que sustentan las infraestructuras críticas. En la actualidad existen diversos marcos de gestión de riesgos o de seguridad que contemplan esta ges- tión y que se pueden utilizar como refe- rencia para adaptarlo a cada entidad, como por ejemplo la ISO 31000:2018, ISO 27005:2018, ISO 27001:2013, Magerit v3.0, IEC 62443, NIST 800- 37, ENSI_ARLI-SI (borrador), etc. Criterios A partir de nuestra experiencia en servicios profesionales de gestión de riesgos en materia de seguridad, con- seguimos ajustar las fases de diferen- tes metodologías a las necesidades del operador. Estas se priorizaron en todo momento por la valoración de los activos desde una vertiente hori- zontal y otra vertical en función de la criticidad, gravedad y consecuencias de la perturbación o destrucción de una infraestructura crítica. Estos criterios, junto a la considera- ción de aquellas amenazas de origen terrorista o intencionado, conforma- ban los dos elementos principales y diferenciadores respecto a otros entornos donde se evalúan y se tra- tan periódicamente los riesgos de seguridad de la información. Como apunte, en aras de evitar posibles retrabajos en el futuro, es aconsejable abordar el PSO desde la integración de aquellos aspectos comunes a las diversas normativas y regulaciones que sean de aplica- ción a la entidad, y no tratándolo de forma aislada. Como ejemplo, se pueden requerir diferentes roles que compartan responsabilidades y que, en el caso de que se analice y que no exista un conflicto de intereses, se puedan integrar; así como dis- poner de objetivos e indicadores de seguridad únicos en el mismo cuadro mando con el fin de poder tomar las decisiones lo más ágil posible y con la información necesaria centralizada. Experiencia previa Ha finalizado el año, uno de los obje- tivos se ha conseguido, pero ahora llega el momento de la verdad, en el que es necesario identificar las medi- das que son necesarias implementar con el desarrollo de los planes de protección específicos. Para ello es necesario, entre otras cosas, resaltar la importancia de dis- poner de experiencia previa en el sector Sanitario para comprender el contexto interno y externo, además del modelo estratégico, táctico y operacional en el que se desarrollan los procesos rutinarios y de mejora continua; elementos clave para el éxito de los proyectos que se llevan a cabo en este tipo de infraestructu- ras críticas. En el sector Sanitario, una amenaza asociada a los activos de equipamiento/maquinaria o a la red de comunicaciones puede generar unas consecuencias catastróficas. servicios esenciales monográfico opinión