redseguridad 072

◊ Desarrollo del Plan de Seguridad del Operador: El primer hito sería elaborar un plan de seguridad del operador estratégico, preferible- mente siguiendo las indicaciones de la Resolución del 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprue- ban los nuevos contenidos mínimos de los Planes de Seguridad del Operador. Si ya hay una guía, ¿por qué no aprovecharla?. ◊ Desarrollo de los Planes de Protección Específicos: El siguiente paso debería ser la ela- boración del plan de protección específico de cada una de las infra- estructuras estratégicas del ope- rador. En definitiva, determinar las medidas de seguridad concretas que tanto a nivel físico como lógi- co se van a aplicar para proteger esas infraestructuras. Y de nuevo, la forma más sencilla es seguir las indicaciones de la Resolución del 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Protección Específicos… pero con la tranquilidad adicional de no tener detrás al profesor que corrige el examen. ◊ Despliegue de Planes de Seguridad y Protección: A con- tinuación habrá que desplegar los planes de seguridad y de protección específicos, desarrollando todos los protocolos y pautas de actuación previstas. De esta fase dependerá que el resultado final se convier- ta en una montaña de papeles o logremos disponer realmente de un mecanismo eficaz para proteger las infraestructuras estratégicas. ◊ Implantación de medidas de segu- ridad: A la vez que se despliegan los planes habrá que ir implantan- do todas las medidas de seguridad tecnológicas previstas, tanto a nivel físico como a nivel ciber. Por lo tanto, será necesaria la participación con- junta de todas las áreas para ir apli- cando con éxito los planes definidos. Operación y mantenimiento La finalización de la fase de adecuación no es el final, sino el principio. A partir de este momento comienza la hora de la verdad: aplicar todos los cambios realizados y asegurarse de que se aplican y mantienen de manera eficaz. Dentro de esta fase de operación y mantenimiento de la seguridad es con- veniente tener claras las necesidades de seguridad que van a tener estas infra- estructuras esenciales y los ámbitos de actuación en los que habrá que trabajar: ◊ Gestión de la seguridad: Será necesario un perfil especializado para la gestión de la seguridad, con capacidad para mantener la siste- mática de gestión desarrollada. ◊ Operación de seguridad: También será preciso contar con perfiles que se encarguen de las tareas de operación y mantenimiento de las tecnologías de seguridad (física y lógica) dispuestas en torno a las infraestructuras esenciales. ◊ Despliegue de centros expertos: los operadores esenciales tienen la posibilidad de desplegar centros expertos para la integración de las diferentes funciones que desarrollan las figuras anteriores. Aterrizando todos estos plantea- mientos, la mejor forma de entender las medidas de protección concretas que hay que considerar es recurrir a la Guía de Buenas Prácticas para la Elaboración del Plan de Seguridad del Operador , publicada por el CNPIC, donde se presentan en tres bloques (organizativas, operacionales y técni- cas), según la siguiente imagen: Nextel S.A. ofrece un completo catá- logo de servicios que aportan solu- ciones en el ámbito de la gestión y la ciberseguridad para cada una de las fases del proyecto y por cada una de las medidas de seguridad conside- radas. Hay que tener en cuenta que en aquellas medidas más alejadas de su núcleo de negocio, como son las más relacionadas con la seguridad físi- ca, tenemos establecidos acuerdos de colaboración con empresas líderes en el sector para poder ofrecer proyectos conjuntos de carácter integral. El denominador común de estos servicios es la adaptación que permiten a las necesidades de los operadores y que todos han sido diseñados siguien- do los mejores modelos de referencia, a nivel normativo (ISO 38500, ISO 31000, ISO 27001, ISO 22301, ISO 20000, ISO 17021, ISO 9001, UNE 71505, ITIL, COSO, CobiT) y legal (Ley PIC, LOPD, LAECSP, ENS, ENI). Imagen 3: Medidas de protección. 38 red seguridad primer trimestre 2016 especial A rtículo PIC monográfico