Seguritecnia 394

37 SEGURITECNIA Febrero 2013 Protección de Infraestructuras Críticas ceso a un ordenador cuyo propieta- rio no se encuentra en el edificio. œ Soporte integral a la investigación y al análisis forense: gracias a la infor- mación manejada en el CCSI, se pue- den aportar evidencias tanto de tipo lógico como físico que permitan tra- zar por completo un incidente. Por ejemplo: registros de control de ac- ceso físico, de cámaras de CCTV, logs de acceso a ordenadores, etc. Así, podría identificarse al autor de múlti- ples llamadas telefónicas internacio- nales desde un terminal telefónico cuyo propietario no estaba presente. œ Respuesta y escalado de incidentes de seguridad: desde el CCSI se tiene una visión completa y se puede por tanto coordinar una respuesta al in- cidente, con independencia del tipo de medidas que se requieran. Por ejemplo, en el caso de un incendio en un edificio de la compañía, po- dría identificarse de forma inmediata el personal que se encuentra den- tro y que debe ser evacuado, inclu- yendo los empleados críticos que deben trasladarse a un centro alter- nativo de respaldo. œ Mantenimiento de un cuadro de mando de seguridad integral: facilita al responsable de seguridad de la compañía entender y conocer todos los riesgos a los que se enfrenta real- mente, así como su capacidad para responder a ellos de manera ágil. El CCSI se convierte en una fuente de datos centralizada que apoya en la toma de decisiones y en las necesi- dades de reporting a la dirección de la compañía o a organismos exter- nos como el propio CNPIC. La agilidad que proporciona manejar todos estos conceptos con una visión integral dota a la empresa de una ca- pacidad de respuesta y análisis de las amenazas a las que se enfrenta muy superior al enfoque tradicional. Correlación La herramienta clave para lograr esta perspectiva es una plataforma de inte- ligencia basada en correlación. Un co- tro de operaciones de seguridad (SOC), pero también en un concepto más evolucionado que denominamos Cen- tro de Control de Seguridad Integral (CCSI). El CCSI La realidad es que muchas de las gran- des empresas susceptibles de ser de- claradas operadores críticos poseen ya un CCSI, que puede ser un punto focal para dar cumplimiento a la ley. Habitualmente estas instalaciones están orientadas a la monitorización de alarmas de seguridad física, contro- les de acceso, CCTV o de sistemas in- dustria l es SCADA. Algunas compañías están aprovechando ya la infraestruc- tura y capacidades de estos centros para enfocar la protección desde una perspectiva integral. Así, estos CCSI pueden tener funciones como las si- guientes: œ Detección de intrusiones tanto físicas como lógicas: la combinación de los eventos de ambos mundos nos da una mayor potencia de detección, una visión más global de los proble- mas de seguridad. De este modo, se podría detectar, por ejemplo, un ac- servicios esenciales de un país ante la materialización de cualquier tipo de estas amenazas. En las guías de buenas prácticas pu- blicadas por el Centro Nacional para la Protección de las Infraestructuras Críti- cas (CNPIC) se remarca la importancia de la tipología de amenazas a las que se enfrenta la entidad en este caso, que tienen las siguientes característi- cas diferenciales: œ La intencionalidad de muchas de las amenazas que deberá recoger el ca- tálogo utilizado. œ Dado el tipo de activos a los que afectan y los servicios a los que dan soporte, el impacto tiene ma- yor relevancia que la probabilidad. El operador debe definir de manera clara qué tratamiento dará a las ame- nazas de alto impacto y baja proba- bilidad. œ La importancia de controles clave como la monitorización y la gestión de incidentes. Conceptos como monitorización e incidente nos llevan casi de forma au- tomática a pensar en una central re- ceptora de alarmas (CRA) o en un cen- El CCSI se convierte en una fuente de datos centralizada que apoya al responsable de seguridad en su toma de decisiones y en sus necesidades de ‘reporting’