redseguridad 072

entornos pueden tener implicaciones en otros países. En el caso de las tecnolo- gías de la información, las implicaciones pueden ser globales. Por ello, la gestión de infraestructuras críticas tiene una dimensión internacional. Por ejemplo, la Comisión Europea ha desarrollado una estrategia de protección de infra- estructuras críticas que contempla un conjunto de acciones multinacionales coordinadas. A continuación, se describen los pasos del ciclo de protección, desde la identificación de infraestructuras críti- cas, el análisis de riesgos, la gestión de la información, la creación de solucio- nes y niveles de protección, la respues- ta y la recuperación. Identificación de IC Una infraestructura crítica puede defi- nirse como el conjunto de instalaciones físicas, cadenas de suministro, tecno- logías de la información, provisión de energía y redes de comunicación que, de ser destruido o no estar disponible durante un período de tiempo, podrían afectar significativamente al bienestar social y económico de un país, su capacidad de defensa o su seguridad nacional. El primer paso de la estrategia es identificar los activos críticos. Una vez, identificados, se debe determinar su grado de criticidad. Cada gobierno o autoridad competente debe tener una clasificación o escala de criticidad, que va a determinar las políticas de protec- ción de dicho activo. La Comisión Europea ha desarrolla- do el Programa de la Unión Europea para la Protección Europea de Infraestructuras Críticas para la ener- gía, el transporte y las finanzas, que se centra en varias áreas: Ω La creación de un procedimiento para identificar y evaluar las infraes- tructuras críticas europeas y apren- der cómo protegerlas. Ω Medidas para fomentar la protección de estas infraestructuras, incluyen- do la creación de grupos de exper- tos en la UE así como la creación de la Red de alertas en infraestruc- turas críticas (CIWIN), un sistema de comunicación basado en Internet para el intercambio de información, estudios y mejores prácticas. Ω La financiación de proyectos de protección de infraestructuras crí- ticas, abarcando una variedad de temas, como los sistemas de alerta en el intercambio nacional y euro- peo de información, el desarrollo de métodos para evaluar la interde- pendencia entre las TIC y las redes de transporte de electricidad, y la creación de una manual de "bue- nas prácticas" para los responsa- bles políticos. Ω La cooperación internacional con el Espacio Económico Europeo (EEE) y países de la Asociación Europea de Libre Comercio (AELC), así como reuniones de expertos entre la UE, EEUU y Canadá. Análisis de riesgos En primer lugar, es necesario identificar en detalle qué partes especiales de la infraestructura representan el activo crítico. Después, es necesario realizar un análisis exhaustivo de riesgos, que incluya no solamente el activo y sus vulnerabilidades, sino su cadena de valor, su entorno, sus interdependen- cias con otros elementos y las posibles consecuencias de un evento adverso. Este análisis debe realizarse de forma continua. Tras este análisis, es necesario deter- minar el nivel de riesgo, de forma que, al combinarlo con el nivel de criticidad de la infraestructura, genere una serie Alberto Bellé Research Manager de IDC Research 34 red seguridad primer trimestre 2016 especial PIC monográfico E l objetivo de una estrategia de pro- tección de infraestructuras críticas es la continuidad del funcionamiento de los servicios esenciales de un país, asegu- rando su prestación a los ciudadanos así como a empresas, y gobiernos. Esta estrategia debe de ser impul- sada por los gobiernos, pero para que funcione es necesaria una colaboración estable entre empresas y gobiernos. En primer lugar, que los propietarios y ope- radores de las infraestructuras críticas gestionen de forma eficaz y proactiva los riesgos previsibles para la continui- dad de sus operaciones. En segundo lugar, facilitar que éstos tengan la capa- cidad de respuesta adecuada ante los riesgos imprevistos, minimizar el impacto de un evento adverso y habili- tarles para gestionar la continuidad de sus operaciones, o bien recuperar los servicios con la máxima rapidez. Los gobiernos nacionales son los principales responsables de la protec- ción de sus instalaciones críticas. No obstante, en un mundo interconec- tado, las incidencias en uno de estos El enfoque estratégico de la protección de las IC A rtículo