1 94 Table of Contents 96 162

seguritecnia 434

SEGURITECNIA Septiembre 2016 89 dor haga esta evaluación la lleve a cabo de forma amplia, impulsando la conver- gencia en la identificación de amenazas y vulnerabilidades”, manifestó. Puestos todos estos parámetros so- bre la mesa, el representante del CN- PIC confirmó que, desde el punto de vista organizacional, “la experiencia está siendo buena”, y “los operadores es- tán adecuando sus estructuras a los re- querimientos”. Eso sí, confirmó, “algu- nos han hecho los deberes a la primera, mientras que otros los están haciendo poco a poco”. En segundo lugar, desde el ámbito operacional, Carabias detalló la necesi- dad de utilizar herramientas convergen- tes para hacer los análisis de riesgos y utilizar un lenguaje común para que el operador identifique las amenazas que puedan afectar a sus infraestructuras. El objetivo es “implementar todas es- tas medidas para garantizar el servicio esencial para los ciudadanos. El opera- dor nos propone un tipo de medida y se evalúa si está bien en función de su criticidad”, puntualizó. Para concluir, el representante del CNPIC se ratificó en la idea de que abordando de forma in- tegral la gestión del riesgo “se obtienen resultados más eficaces y eficientes”. Ejemplo de seguridad Todo lo analizado hasta el momento por los distintos ponentes tuvo su ejem- plo práctico con la intervención de José Márquez , director de Seguridad para EMEA de Gas Natural Fenosa. El directivo contó el recorrido que está haciendo su compañía para asegurar y proteger sus infraestructuras. Todo empezó en 2014, año en el que la empresa fue designada como operador crítico, y a partir del cual pusieron en marcha una nueva estrate- gado por la convergencia de la seguri- dad física y lógica y la concienciación de que las empresas avancen en el uso de ambos términos de manera con- junta”, explicó. A esto se une, además, una necesaria cooperación público-pri- vada, y destacó la labor que están rea- lizando los operadores en este sentido, “cumpliendo hasta el momento con los planes previstos”. A continuación, Carabias pasó a anali- zar los pasos que los operadores de in- fraestructuras críticas han de dar para proteger sus instalaciones, tanto desde el punto de vista organizacional como operacional. En el primer aspecto, el re- presentante del CNPIC ratificó la impor- tancia del apoyo de la alta dirección a la hora de gestionar su seguridad, así como cuál ha de ser su estrategia en este sentido, para lo que “es preciso crear estructuras como las mesas de coordinación”, añadió. Posteriormente, se ha de realizar un análisis de riesgos integral; esto es, que engloben tanto las amenazas físicas como las cibernéticas. “Recomendamos que cuando el opera- cia ataques a los procesos; por ejemplo, poniendo en riesgo tuberías y genera- dores o abriendo y cerrando válvulas de paso. Todo con el objetivo de cau- sar daños económicos y un impacto en la cuenta de resultados”, añadió Martín. De hecho, ahora ya no resulta extraño atacar piezas que empiezan a incorpo- rar protocolos TCP/IP como los variado- res de motores o los sistemas de detec- ción de incendios y de videovigilancia. Para ejemplificar todo lo comentado, el directivo recordó el caso que se pro- dujo el pasado mes de diciembre en Ucrania, en el que un ciberataque con- tra una distribuidora de energía dejó fuera de control treinta subestaciones eléctricas. “El ataque estuvo perpetrado en varias fases. En un primer paso, in- fectaron los programas SCADA. Por otro lado, lograron hacerse con credencia- les válidas de empleados del control; a continuación, desengancharon las sub- estaciones, borraron los discos duros SCADA y simularon miles de llamadas para colapsar el sistema”, contó el direc- tivo. Todo ello se hubiera podido evi- tar con unas mínimas medidas de se- guridad. Por eso, precisó Martín, es con- veniente que los operadores críticos cuenten con “equipos multidisciplinares que detengan este tipo de ataques par- tiendo del análisis de riesgos y la detec- ción de anomalías”. Infraestructuras críticas Profundizando aún más en la idea de la ponencia anterior, seguidamente inter- vino José Ignacio Carabias , jefe de Área del Centro Nacional de Protección de In- fraestructuras Críticas (CNPIC), quien ex- plicó a los asistentes la situación actual de la implantación del sistema español de protección de infraestructuras críti- cas. “Desde el punto de vista sectorial, ya hay diez planes elaborados, por lo que faltan otros ocho. Eso significa que ac- tualmente contamos con 97 operadores y más de 350 infraestructuras críticas de- claradas de forma oficial”, reveló. Para profundizar en la protección de estas instalaciones, el CNPIC está apos- tando por el concepto de seguridad in- tegral. “Nosotros siempre hemos abo- José Ignacio Carabias (CNPIC) Gest ión del Fraude El CNPIC aboga por la convergencia de la seguridad física y lógica y la concienciación de que las empresas avancen en el uso de ambos términos de manera conjunta

RkJQdWJsaXNoZXIy MTI4MzQz