seguritecnia 409

SEGURITECNIA Junio 2014 21 Protección de Infraestructuras Críticas riesgos que se han identificado como de relevancia en el correspondiente PES. Incluso hay casos en los que se es- tán ejecutando planes que, en cierta medida, integran la seguridad desde los distintos campos (físico, lógico, de personal…). No obstante, el esfuerzo requerido dependerá de la madurez que tenga la organización no ya en la gestión de la ciberseguridad, sino en la de la seguridad desde un punto de vista genérico e integral. - ¿Cómo asesorará el CNPIC a los operadores respecto a los cambios que introducirán los PES en la ma- teria? Estamos manteniendo una serie de en- cuentros con ellos para explicarles el proceso de elección como operador crítico y designar las infraestructuras críticas de cada uno. En estas reunio- nes se les informa puntualmente de cuantas dudas puedan plantearse. Por otra parte, desde la vertiente de la ciberseguridad, se están llevando a cabo encuentros bilaterales que ex- plican los servicios que el CERT de Se- guridad e Industria ofrece a los agen- tes implicados en la protección de in- fraestructuras críticas, lo cual, sin duda, puede reforzar el nivel de asesora- miento y compromiso del CNPIC para con los operadores estratégicos. - A partir de la publicación de los PES, y una vez los operadores los ha- yan completado, ¿cómo seguirá el CNPIC el cumplimiento de las exi- gencias relacionadas con el área que usted dirige? Desde el Servicio de Ciberseguridad se iniciarán trabajos que aseguren que el cumplimiento de la seguridad inte- gral por parte de los operadores es un hecho en los Planes de Seguridad del Operador, integrando, al menos, las amenazas contempladas en los PES co- rrespondientes. De forma particular, se asegurará que los posibles planes de ciberseguridad existentes se incorpo- ren a otros planes unificados que con- templen la seguridad como un con- cepto integrador. S infraestructura, uno de los principa- les riesgos es que estas no operen de forma adecuada, ya sea por causas na- turales, accidentales o deliberadas. En cualquier caso, e independien- temente de la naturaleza del ataque o incidente, la línea establecida por el Servicio de Ciberseguridad es que las organizaciones implicadas en la protección de infraestructuras críticas sean capaces de determinar qué im- pacto tendría un mal uso o funciona- miento de las TIC, previendo medidas alternativas de operación. Para ello, se requiere un conocimiento profundo no sólo del papel de las tecnologías en cada sector estratégico, sino también de cuál es el que juegan en cada ope- rador concreto. - ¿Cree que la aplicación de esas lí- neas supondrá una ingente tarea para las infraestructuras de nuestro país, teniendo en cuenta el nivel de seguridad existente en la actualidad? En la mayoría de los casos, los opera- dores cuentan con políticas de ciber- seguridad que contemplan todos los - ¿Cuáles son las novedades más des- tacadas de cada uno de los PES (Elec- tricidad, Gas, Petróleo, Nuclear y Fi- nanciero) en lo que al Servicio que usted dirige se refiere? ¿Existen gran- des diferencias entre unos sectores y otros? Los planes tratan de reflejar el funcio- namiento de un determinado sector e identificar los puntos vulnerables del mismo, lo cual no deja de ser una ac- tividad que de alguna u otra forma ya se están realizando desde hace tiempo por parte de las organizaciones. En cuanto a las diferencias, son las que ca- bría esperar entre sectores tan dispares como el del petróleo o el financiero en lo que respecta al uso que se da de los activos tecnológicos que soportan las infraestructuras críticas. De este modo, si bien cada vez está más generalizado el uso de las TIC, no se debe perder de vista que se re- quiere un estudio pormenorizado del papel que juegan en la provisión de los servicios esenciales, así como del impacto que tendría su destrucción o mal funcionamiento en la operativa de cada sector. Y, precisamente, ese es uno de los objetivos de los planes. - ¿Cuáles son los principales riesgos de las infraestructuras críticas y en qué consisten las líneas establecidas por su departamento para que los operadores adapten su seguridad a los PES? Fundamentalmente, las líneas estable- cidas en los planes son las que deter- minan qué infraestructuras y operado- res son imprescindibles para el normal funcionamiento de los servicios esen- ciales y, por extensión, de la sociedad. Dada la alta dependencia tecnológica de las TIC que tiene cualquier tipo de “Las organizaciones implicadas en la protección han de determinar qué impacto tendría un mal uso o funcionamiento de las TIC”