redseguridad 072

destacar la evolución que se está experimentando desde un modelo basado en la protección, hacia otro dotado de inteligencia en el que la monitorización y la respuesta son fundamentales. Todo ello, puntualiza el directivo, bajo unos criterios de "flexibilidad a la hora de aplicar las medidas de seguridad, pudiendo aplicarse medidas extraordinarias en función de niveles puntuales de riesgo". Sectores estratégicos Aunque todas estas medidas pueden ser implementadas por organizaciones con distintas clases de negocio dentro de las infraestructuras estratégicas, la forma de concretarlas no ha de ser similar en todas ellas. Como bien explica Cañizares, de Eulen, no es lo mismo un operador crítico del sector financiero que otro de energía. "Su grado de madurez, los vectores de ataque a los que están expuestos y otra infinidad de parámetros hacen que cada una de ellas implante medidas de seguridad ajustadas a sus propias necesidades", manifiesta. De todos los sectores, a juicio de Zubieta, de GMV, el económico-financiero es el que se encuentra más preparado, "porque lleva más tiempo lidiando con estos temas", sentencia. En los menos preparados, continúa, "la concienciación en el ámbito de la ciberseguridad es escasa, siendo uno de los puntos flacos más apreciables". En cualquier caso, las compañías que operan infraestructuras críticas están obligadas a la definición y puesta en marcha de planes de seguridad concretos, como el Plan de Seguridad del Operador y los Planes de Protección Específicos. Y todo ello se establece desde una perspectiva más amplia a través de los Planes Estratégicos Sectoriales, de los cuales ya se han desarrollado el de energía (electricidad, gas y petróleo), el nuclear, el financiero, el de transporte (aéreo, marítimo, ferroviario y terrestre) y el del agua. En total, según el CNPIC, con todos ellos se cubren ya diez importantes sectores nacionales de producción, llegando a la designación de 93 operadores críticos. En opinión de Municio, de Deloitte, "los Planes Estratégicos Sectoriales están ayudando a las organizaciones a evolucionar y mejorar de manera patente sus capacidades en seguridad integral, incluyendo seguridad física y ciberseguridad". Según otros expertos consultados, estas iniciativas están ayudado a fomentar y dinamizar la comunicación y compartición de prácticas entre las funciones de seguridad física y ciberseguridad, tradicionalmente separadas entre sí, lo que redunda en un beneficio para las organizaciones y la confianza en los servicios prestados a la ciudadanía. Y es que, resume Zubieta, de GMV, "en estos planes se abordan las medidas de seguridad de las que dota el operador crítico, que incluyen medidas organizativas, tecnológicas, de gestión y seguimiento". Y desde el punto de vista de la ciberseguridad, añade el representante de Deloitte, "es un hecho que, tanto los propios planes, como otras iniciativas y publicaciones sobre ciberataques, están contribuyendo a concienciar a todos los niveles en esta materia"; y no sólo entre las grandes empresas del país, sino también entre las compañías estratégicas que, hasta el momento, no 20 red seguridad primer trimestre 2016 especial R eportaje PIC monográfico El papel de las consultoras tecnológicas Desde hace tiempo, los operadores de infraestructuras críticas están invirtiendo una gran cantidad de recursos para dotarse de un abanico de servicios de protección de extremo a extremo, desde la capa de gestión hasta la operativa. En este contexto, destaca la labor que están haciendo las consultoras tecnológicas. "El papel de estas organizaciones es fundamental, ya que los clientes se apoyan en ellas constantemente para conocer y actualizarse respecto a las tendencias y riesgo emergentes, así como en los mecanismos para tener un nivel de protección adecuado", opina Pablo Municio, gerente área de Seguridad y Riesgos TIC de Deloitte. Este punto de vista también lo comparte Ricardo Cañizares, director de Consultoría de Eulen Seguridad: "los proveedores de tecnología y servicios de ciberseguridad están ofreciendo lo que demanda el mercado con los niveles de calidad, eficacia y eficiencia que se requiere"; aunque es necesario, según el directivo, que "en algunos casos modifiquen su actual aproximación a la forma de dar respuesta a las nuevas necesidades de protección que tienen las infraestructuras críticas, con unos escenarios de ciberamenazas muy diversos y siempre en constante evolución", matiza.