Red Seguridad 103

82 red seguridad cuarto trimestre 2023 monográfico servicios esenciales Antes de implementar medidas de ciber- seguridad avanzadas para proteger a los operadores de servicios esenciales es necesario asegurar los cimientos y cons- truir una base sólida a nivel de ciber- seguridad sobre la que sustentar otras medidas. Cumplir con las normativas del sector, tener capacidad de detección de incidentes y disponer de una buena mo- nitorización y de una adecuada gestión de vulnerabilidades y de identidades es determinante. De acuerdo con el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguri- dad de las redes y sistemas de informa- ción, los servicios esenciales son aque- llos necesarios para el mantenimiento de funciones sociales básicas, como la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas. Los operadores de servicios esenciales, por su parte, son aquellas organizacio- nes públicas o privadas que prestan este tipo de servicios. Hablamos de servicios de energía, co- municaciones, salud, transporte, sumi- nistros de agua, centros de producción de bienes y servicios de primera necesi- dad, entre muchos otros. Estos servicios dependen de las redes y sistemas de in- formación comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Estas úl- timas son infraestructuras estratégicas cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción generaría un grave impacto sobre los servicios esenciales. ‘Return to basics’ En un contexto de aumento de los inci- dentes de ciberseguridad en todos los sectores, ¿cómo garantizamos la ciber- seguridad de las infraestructuras de los servicios esenciales? La respuesta se encuentra en volver a lo básico: return to basics . Centrarse en la seguridad esen- cial de los servicios esenciales. Sin embargo, un error frecuente de los responsables de ciberseguridad de las compañías sigue siendo decantarse primero por novedosas y atractivas solu- ciones basadas en inteligencia artificial o en la detección basada en anomalías de comportamiento, entre otros, cuando aún no tienen resueltas cuestiones de base de manera eficaz y eficiente, como la gestión de vulnerabilidades, de identi- dades o de detección y respuesta. Tener una buena base nos hará más resilien- tes. Volver a lo esencial será lo deter- minante para garantizar una adecuada seguridad en los servicios esenciales. Ciberseguridad esencial Los pilares para garantizar una base só- lida en ciberseguridad y proteger a los operadores de servicios esenciales son los siguientes: 1. Cumplimiento normativo. Los opera- dores de servicios esenciales deben atender a un conjunto de políticas, procedimientos y acciones a nivel normativo y de compliance para desa- rrollar su actividad con la más alta exi- gencia de seguridad. Por tanto, deben adecuarse a los estándares de seguri- dad aplicables a cada sector, como el Esquema Nacional de Ciberseguridad, la ISO 27001, el estándar PCI-SSS, la regulación europea sobre servicios de pagos electrónicos o PSD 2, el Regla- mento de Resiliencia Operativa Digital o DORA y el Reglamento General de Protección de Datos, entre otros. Es especialmente importante contar con una buena estrategia de respues- ta a incidentes y con un plan adecua- do. En caso de que se produzca una brecha de seguridad de datos, se requiere estar entrenados para comu- nicar en tiempo y forma a clientes y solventar adecuada y rápidamente cualquier crisis de comunicación. Ciberseguridad esencial para servicios esenciales J avier S evillano Director del Centro de Operaciones de Seguridad de Innotec Security part of Accenture