redseguridad 072

y su enlace con terceros organismos responsables en materia de cibersegu- ridad el Ministerio del Interior es capaz de hacer frente a este reto. En eses sentido, ¿cuántas acciones llevó a cabo la OCC en 2015 y cuán- tas afectaron a las infraestructuras críticas? En el año 2015, la OCC llevó a cabo 266 actuaciones en el marco de la coordinación de la respuesta ante cibe- rincidentes por parte del CNPIC, el CERTSI y las unidades tecnológicas de las FCSE, del intercambio de informa- ción en materia de ciberdelincuencia y ciberterrorismo, así como de la emisión de alerta temprana ante ciberamena- zas. Esto representa un incremento de más del doble respecto al año anterior; un crecimiento que no sólo es debido al aumento de ciberataques, sino tam- bién a que el grado de madurez de los integrantes de esta red de respuesta ante ciberincidentes ha aumentado de manera notable, por lo que la detección y puesta en conocimiento de dichos ciberincidentes también se ha agilizado. También contribuye a esto que el número de acuerdos de prestación de servicios especialmente dirigidos a los operadores críticos nacionales se amplía conforme avanzan las labores de estudio sobre los sectores estra- tégicos de nuestro país que realiza el CNPIC. Esto es el conocimiento que se obtiene de cómo funcionan dichos sectores, quiénes son sus actores prin- cipales y a qué amenazas se enfrentan es más fidedigno, lo que se traduce en una mayor colaboración entre las partes y un mayor número de actua- ciones contra la ciberdelincuencia y el ciberterrorismo. Desde un punto de vista técnico, ¿qué tipo de herramientas son imprescindibles para que los opera- dores protejan sus infraestructuras críticas frente a ciberataques? Las herramientas que considero impres- cindibles son aquellas que permitan identificar comportamientos anómalos, es decir, aquellos que se enmarcan en la prevención e identificación de inci- dentes. Las considero imprescindibles porque son las que facilitarán la tarea de estudiar con más profundidad si se trata de un incidente real que afecta a la segu- ridad de una determinada infraestructura o si, por el contrario, se trata de un falso positivo. En cualquiera de los casos, son herramientas que nos permiten tener un conocimiento más preciso de lo que está ocurriendo en un determinado entorno tecnológico. Por otra parte, considero también de gran importancia herramientas que facili- ten y agilicen el proceso de compartición de amenazas. De especial relevancia resulta la herramienta ICARO, que ofre- cemos desde el CERTSI a los opera- dores para posibilitar el intercambio de información estructurada, no sólo entre analistas, sino también entre ciertas herramientas preventivas de las mencio- nadas anteriormente, como es el caso de los sistemas de detección de intru- siones. De este modo, la información intercambiada puede ser directamente consumida de forma automática por las herramientas preventivas, facilitando el proceso de adecuación y adaptación a las amenazas emergentes. El sistema de protección de infra- estructuras críticas va poco a poco completándose a medida que se aprueban los Planes Estratégicos Sectoriales y los consiguientes pla- nes, tanto de los operadores como de las Fuerzas y Cuerpos de Seguridad. De los avances que se han produci- do hasta ahora, ¿han observado una gran diferencia entre las medidas de las que disponían los operadores antes de ser designados críticos y las que van a implementar ahora a través de sus planes de seguridad? La principal diferencia que hemos cons- tatado es que los operadores ya tratan de una forma cada vez más natural al CERTSI y a la OCC como elementos que pueden ayudar no sólo a la mejora de la protección de sus infraestructuras tecnológicas, sino también a la gestión de los incidentes que puedan recibir en materia de ciberseguridad. De hecho, tanto en los Planes de Seguridad del Operador como en los Planes de Protección Específicos, los operadores críticos deben reflejar cómo se mate- rializa la comunicación de incidentes al CERTSI, así como los responsa- bles asignados en función del nivel de impacto que puedan tener éstos. Estos aspectos, referidos a la inclu- sión de elementos procedimentales de ciberseguridad en planes de protec- ción que hasta el momento habían sido referidos exclusivamente a la seguridad física, considero que se traducen en que los operadores críticos se han concienciado de afrontar la seguridad de sus infraestructuras desde un punto de vista integral. Por otro lado, a la hora de realizar los análisis de riesgos, a los operadores se les requiere que contemplen todos los tipos de amenaza, tanto los que provie- nen de la vertiente física como las refe- ridas al ciberespacio. En este sentido, hemos observado que esto facilita el proceso de evaluación de las medidas de protección de las infraestructuras. Preocupa especialmente la vulnera- bilidad de los sistemas SCADA y, de hecho, la industria va tomando con- ciencia del problema. No obstante, ¿cree que se están produciendo avances suficientes en este campo? Como bien es sabido, los sistemas PIC monográfico E ntrevista especial red seguridad primer trimestre 2016 25