redseguridad 072

especial red seguridad primer trimestre 2016 33 se traduce en una gran complejidad a nivel organizativo o incluso resulta a veces irrealizable por limitaciones pro- pias de la tecnología de automatización y control o de la operativa de los entor- nos industriales críticos. Es por ello que en estos escenarios la concienciación del personal cobra tanto sentido. Unos empleados con- cienciados y formados son capaces de poder reaccionar frente a ataques de ingeniería social. Es cierto que si el atacante invierte tiempo y es minu- cioso, puede lograr su objetivo, pero en este caso, ha de tener unas habi- lidades muy desarrolladas y, por ello, disminuye la probabilidad de que el ataque consiga su objetivo. Colaboración La cooperación es otro de los puntos clave para la mejora a nivel global del nivel de seguridad de las infraestructu- ras críticas industriales. En particular, la cooperación entre fabricantes y con- sultoras de seguridad es importantísi- ma para mejorar el nivel de seguridad de los sistemas de automatización y control, tanto de forma correctiva sobre equipos ya comercializados e implan- tados en las industrias, como en la fase de diseño los nuevos sistemas. En ambos casos, resultan de vital impor- tancia los laboratorios de pruebas, que faciliten la realización de análisis de seguridad, pero también de diseño de procedimientos de actualización/ parcheo de equipos, incluyendo la posibilidad de “marcha atrás” en caso de necesario. En particular, a la hora de identificar y evaluar las vulnerabili- dades de sistemas ya comercializados e implantados en las infraestructuras industriales, los entornos de laborato- rio permiten realizar pruebas sin riesgo para los entornos en producción, bajo condiciones de trabajo que permiten acotar el alcance y evitar imprevistos. Como resultado de estas iniciativas, los operadores ganarían tiempo en la incorporación de dispositivos seguros, minimizando el riesgo para la opera- tiva de las infraestructuras. Por otro lado, los fabricantes identificarían pro- activamente las vulnerabilidades que afectan a sus soluciones, adelantando posibles soluciones y evitando tener siempre una actitud reactiva. La colaboración entre empresas operadoras de las infraestructuras críticas es de vital importancia para aprender de los errores cometidos, compartir buenas prácticas, y hacer frente común para lograr que los fabri- cantes mejoren la seguridad de sus soluciones, aplicando medidas correc- tivas e incluyendo nuevas prestaciones de seguridad. Para que las buenas prácticas e iniciativas anteriormente comentadas sean adoptadas por todos los actores que influyen en la protección de infra- estructuras críticas, es necesaria una regulación que dicte en cierto modo las pautas a seguir, y que exija unos míni- mos a cada una de las infraestructuras catalogadas como críticas dentro de un Estado. En España, las normativas que afectan a este tipo de infraestructuras son la Ley 8/2011 y el Real Decreto 704/2011 que la desarrolla, donde se refleja claramente la importancia que tiene la seguridad de las infraestructu- ras críticas para un Estado. Junto con la Estrategia Nacional de Ciberseguridad, de 2013, se aclaran las bases de cómo Unos empleados concienciados y formados pueden reaccionar frente a ataques de ingeniería social ha de abordarse la seguridad integral en estas infraestructuras, y se corrigen la deficiencias que en esta materia se daban en España. Planes PIC En lo que respecta a cada uno de los sectores catalogados como críticos en España, los planes sectoriales aportan la regulación que anteriormente ha sido mencionada y que era inexistente. Las empresas que están detrás de las infraestructuras críticas ya pue- den hacerse una idea de las medidas que han de tomar con respecto a la seguridad de sus sistemas siguiendo las pautas marcadas por estos planes diseñados teniendo en cuenta el sec- tor al que se dirigen. Gracias a la diferenciación entre sectores y subsectores de estos pla- nes, no todas las infraestructuras crí- ticas tendrán el mismo tratamiento. Dependiendo del sector al que per- tenezcan, se favorecerá el desarrollo de unas u otras iniciativas, a fin de responder a los riesgos específicos del sector, determinar los patrones de ataque específicos y desarrollar con- tramedidas concretas que fortalezcan los sistemas y les proporcionen una resiliencia aún mayor. Para finalizar, se podría decir que las infraestructuras críticas han vivido hasta ahora en una espiral de comodi- dad sin ser conscientes de la amenaza creciente de los ciberataques. Ataques como BlackEnergy han demostrado que los ciberataques pueden llegar a causar los mismos efectos que un ataque físico a las instalaciones o un fallo humano en la planta. Este tipo de ataques sirven para que las empresas abandonen su estado de tranquilidad y se den cuenta de que una persona, a una distancia de miles de kilómetros, puede llegar a ser capaz de ejecutar código malicioso o robar datos de carácter clasificado. Al igual que las infraestructuras críti- cas, la normativa también ha de evolu- cionar y adecuarse a la realidad del momento, incluyendo nuevas reco- mendaciones, recogiendo matices, identificando nuevas amenazas, etc. A rtículo PIC monográfico