1 27 Table of Contents 29 84

Red Seguridad 091

28 red seguridad cuarto trimestre 2020 opinión servicios esenciales monográfico Hacia un nuevo modelo PIC: cuatro ideas fundamentales puesto que, potencialmente, afectan al nivel de seguridad. Es fundamental hacer una identi- ficación exhaustiva de los sistemas en cada una de estas categorías para poder evaluar correctamente el esfuerzo que se debe realizar en el proceso de cumplimiento. Atención a los puntos débiles Si hay algo que hemos visto en las pruebas piloto realizadas es que el algoritmo que calcula la calificación final es bastante bueno en resaltar los eslabones débiles. Al otorgar la califi- cación en función del grado mínimo entre los diferentes entornos (físico y lógico) y ámbitos (organizativo, ope- racional y medidas de seguridad), e igualmente cuando existen distintos sistemas, el resultado es que el esla- bón más débil es el que acaba mar- cando el nivel final. En otras palabras: Si las medidas de seguridad física (o lógicas) están en un nivel A, pero las lógicas (o al revés) están en C, el resultado final será una C. Si las medidas de seguridad ciber de los sistemas de TI alcanzan una B, pero las OT se quedan en la C, el resultado final ciber será una C. Si en el caso anterior, los sistemas de información que dan soporte a H ace ahora un año publicábamos en esta misma cabecera un artícu- lo titulado "El rol de la calificación para mejorar la protección de las infraestructuras críticas", en el que desgranábamos cómo la calificación aportaba al sistema de protección flexibilidad, eficiencia y transparen- cia. Si 2020 no hubiera sido un año digno de la mejor novela de Stephen King, ahora estaríamos hablando de las experiencias durante estos 12 meses en la implementación y audi- torías de un modelo de evaluación de capacidades en seguridad integral (el primero en su especie). Pero la actualidad marca los tiempos y hoy todavía seguimos a la espera de los cambios legislativos necesarios para su aplicación –aunque confío en que no será por mucho tiempo–. Mientras la (necesaria) parte for- mal llega, no deberíamos demorar los preparativos para su entrada en vigor, puesto que los tiempos de adecuación de gran parte de los sistemas que se verán afectados –me estoy refiriendo a los sistemas de control industrial, prin- cipalmente– son más dilatados para no alterar la prestación de los servicios esenciales a los que dan soporte. Si el lector está en esta tesitu- ra y no sabe por dónde empezar, vamos a tratar de ayudarle recopilan- do información que se ha publicado por distintas fuentes en diferentes medios y definiendo una serie de pasos necesarios para aprovechar las lecciones aprendidas en estos meses. Invierte en identificar el alcance Según ha comentado el propio CNPIC (ahora, de nuevo, Centro Nacional para la Protección de Infraestructuras Críticas), se deberán incluir en el alcance los siguientes sistemas: Obviamente, los sistemas de con- trol industrial (OT). Los sistemas de telecomunicacio- nes que son necesarios para la prestación del servicio esencial. Los sistemas de seguridad física (dado que, en la actualidad, las medidas de protección física están muchas basadas en sistemas de información). Y, por último, el resto de sistemas de información (TI) necesarios para el servicio. Por el momento, solo hay que iden- tificar, sin incluir en el alcance, los ser- vicios que estén conectados a estos; pero muy probablemente, en el futuro también sean objeto de certificación, Antonio Ramos CEO y fundador de LEET Security

RkJQdWJsaXNoZXIy ODM4MTc1