redseguridad 072

como las capacidades de detección y respuesta", opina Pablo Municio, geren- te del área de Seguridad y Riesgos TIC de Deloitte. No en vano, el Sistema de Alerta Temprana en Internet (SAT-INET) del Centro Criptológico Nacional (CCN) detectó el pasado año 500 ataques informáticos de este tipo, un 150 por ciento más que los registrados en 2014, que fueron 200, muchos de los cuales iban dirigidos a operadores de infraes- tructuras estratégicas. Tanto es así que este organismo se ha visto obligado a publicar un documento en el que pro- pone una serie de medidas para ayudar a hacer frente a este tipo de amenazas. Y por último, los expertos consulta- dos también destacan otro tipo de ata- ques que se están produciendo. "Las ciberamenazas originadas de forma interna también poseen un riesgo ele- vado, ya que no son el tipo de inciden- tes que las empresas se esperan y no se necesitaría un gran conocimiento técnico para lograr el objetivo", matiza Flecha, de S21sec. Para poder afirmar- lo, este profesional se basa en suce- sos como los que se produjeron hace unos años en un planta de aguas de Maroochy (Australia), donde un exem- pleado realizó accesos al sistema de forma no autorizada, poniendo en ries- go el suminisitro a la población. Medidas efectivas Afortunadamente, las administraciones y las empresas están luchando de forma efectiva por mitigar estas amenazas crecientes. Lo bueno es que estas organizaciones juegan con una baza a su favor, tal y como detalla Gómez Hidalgo, del Incibe: "Los sectores estratégicos pertenecen en un alto porcentaje a grandes empresas, muchas de ellas incluidas también en el selecto IBEX35, por lo que su capacidad de inversión y gasto en ciberseguridad es muy notable". Esto, a juicio del directivo, les permite "disponer de buenas salvaguardas y medidas de seguridad, de un equipo especializado y de una buena preparación frente a ciberataques y ciberamenazas". Sobre este aspecto también abunda Dafael Pedrera, jefe de Operaciones de la Oficina de Coordinación Cibernética del CNPIC, para quien las empresas y organismos que tienen bajo su responsabilidad la operación de una de estas infraestructuras "son normalmente entidades en las que el grado de madurez en lo concerniente a la preparación de sus infraestructuras IT y OT suele ser bastante elevado". De hecho, confirma que las inversiones en la actualización constante de sus sistemas de seguridad y en la formación y preparación de los responsables de la ciberseguridad de sus departamentos de seguridad son "constantes". Eso requiere también, por supuesto, adaptar y actualizar sus sistemas con el fin de mitigar los ataques. Por ejemplo, desde el punto de vista de Repsol, este tipo de empresas deben trabajar en varios ámbitos, los cuales resume en seis puntos su director de Ciberseguridad y Riesgo Tecnológico: conocer las amenazas y su evolución; implantar medidas de protección, detección y reacción; tener equipos y servicios especializados; preparar las reacciones, es decir, probar la resiliencia; concienciar y formar a empleados y colaboradores; y proteger lo que importa. "Todo esto implica asegurarnos de que focalizamos los recursos disponibles para proteger la cadena de generación de valor de la compañía", asegura. En concreto, en Repsol, dentro de una línea base de seguridad, trabajan apoyados en análisis de riesgos, por lo que, según el directivo, "las metodologías de riesgos se convierten en fundamentales". Es algo que también se encarga de destacar Zubieta, de GMV: "Todas aquellas organizaciones que hayan hecho un análisis pormenorizado de riesgos, cuya gestión forme parte de sus procesos, podrán saber su grado de preparación ante las amenazas que les acechan". Y es que, tanto la seguridad en general, como la ciberseguridad en particular, han de lograr un equilibrio entre la gestión eficiente y eficaz de los riesgos y los recursos disponibles para ello, los cuales suelen ser siempre escasos. A pesar de ello, los expertos consultados confirman que muchos operadores de infraestructuras críticas están realizando cambios internos en su de red para obtener una segmentación de la misma lo más robusta posible, evitando así que posibles intrusiones en sus sistemas puedan comprometerlos. "Los cambios que se han de realizar dentro de este tipo de entornos, al tratarse de sistemas delicados, suelen ser leves pero continuos, llevando a cabo el máximo número de pruebas para comprobar que los cambios no afectan al buen funcionamiento de los procesos", comenta Flecha, de S21sec. En otras palabras, la seguridad se está transformando a todos los niveles, implantando nuevas medidas o mejorando las capacidades ya existentes. Es más, los operadores están llevando a cabo un gran número de iniciativas en este sentido. Por ejemplo, Municio, de Deloitte, menciona "la definición de modelos organizativos y comités integrados por especialistas en diferentes facetas de seguridad, tanto física como lógica"; así como "un mayor conocimiento de sus activos, su impacto sobre los servicios a la ciudadanía, y sobre las amenazas y medidas de seguridad existentes". También es importante 18 red seguridad primer trimestre 2016 especial R eportaje PIC monográfico