Seguritecnia 461

SEGURITECNIA Febrero 2019 51 Artículo Técnico o cibernéticos, multiplicando sus efec- tos dañinos. Por lo tanto, como ya señaló mi com- pañero Enrique Bilbao en un reciente artí- culo publicado en esta revista, “es urgente auditar los CCS, analizar sus riesgos de ci- berseguridad y estudiar el ‘gap’ entre las medidas existentes y las necesarias 3 ”. Dada la naturaleza y multiplicidad de los dispositivos conectados, aplicacio- nes, instalaciones y operaciones bajo responsabilidad del CCS, este tipo de revisiones no pueden ni deben limi- tarse a una tradicional auditoría de se- guridad de la información, como si se tratara del sistema de facturación o del sistema SAP (ERP, Enterprise Resources Planning ) de la empresa. De hecho, un CCS puede considerarse como un complejo sistema ciberfísico más próximo al mundo OT ( Operational Technology ) que al IT ( Information Tech- nology ), en el que resulta crucial un co- nocimiento profundo de los protoco- los propietarios de autenticación mutua y de comunicación entre los elementos de la red y sus servidores, su interrelación con los eventos del mundo físico para el que se diseñaron y con la operativa del personal de vigilancia que los atiende. Así, una auditoría de seguridad de un CCS debería contemplar cuatro dimen- siones básicas: la eficacia de las funcio- nalidades y de los servicios de seguridad que brinda; la operación, dependiente del factor humano que los atiende; las características físicas de las instalaciones donde se ubica y que protegen tanto a servidores como sus conexiones con los elementos de campo; y la ciberseguri- dad de los sistemas, de la red y de los propios dispositivos terminales. Este es el caso de la metodología para la calificación de seguridad de los CCS desarrollada y puesta en práctica por Cuevavaliente Inerco. Se trata de una metodología ligera, basada en un mix procedente, por un lado, de controles generales extraídos de códigos interna- cionales de buenas prácticas del mundo de la seguridad física, seguridad de la in- formación y normativas españolas como el Esquema Nacional de Seguridad, el Reglamento de la Ley PIC (Protección de Infraestructuras Críticas), etc.; y por otro lado, de controles específicos aplicables a los CCS, como el Reglamento de Se- guridad Privada, las normativas EN/UNE (European Norm/Una Norma Española) de seguridad física y de centros de con- trol, según el grado exigible, etc. Metodología Sobre la base del cumplimiento y la efi- ciencia de un conjunto de más de tres- cientos controles, divididos en treinta áreas clave, se define una métrica por cada una de dichas áreas y por cada una de las cuatro dimensiones que las agru- pan, así como unas metas que deberían alcanzarse para poder considerar el CCS en su conjunto como “ciberseguro”. La metodología se ha diseñado para obtener un diagnóstico de situación objetivo y rápido que evite los costosos procedimientos y retrasos asociados a recabar las evidencias documentales o la preparación de pruebas sustantivas que se suelen exigir en los procesos for- males de auditoría llevados a cabo por las firmas de consultoría generalistas. En tal sentido, puede decirse que el servi- cio CBSF de Cuevavaliente Inerco no es estrictamente una auditoría, sino una calificación multidimensional de la ci- berseguridad del CCS, que además per- mitirá al responsable del mismo com- parar sus prestaciones con la califica- ción media obtenida por otros centros similares en cada una de las áreas clave. Pero no sería justo calificar la ciberse- guridad del CCS dejando en la estacada a su responsable. Además de la califica- ción multidimensional, el servicio CBSF proporciona como resultado una bate- ría de recomendaciones de mejoras en todos los ámbitos, con una estimación de plazos y costes para cubrir las caren- cias detectadas. Evidentemente, todo lo anterior lo es sin perjuicio de que, tras la toma de conciencia de situación por parte del responsable del CCS y de la dirección del negocio, pueda dar el paso de cer- tificar su sistema a través de las diversas alternativas existentes en el mercado o de realizar las auditorías formales a las que nos hemos referido. Si por llevar desprotegido su talón pe- reció Aquiles y con él se perdió Troya, esperamos que con el servicio CBSF de Cuevavaliente Inerco contribuyamos a que no se pierda el control de la segu- ridad de las personas y las instalaciones de las infraestructuras críticas, y con ellas los servicios esenciales que prestan. Referencias 1. Cubeiro, E. (2001). Los sistemas de mando y control: Una visión histórico- perspectiva . Madrid. Recuperado de https://dialnet.unirioja.es/descarga/ar- ticulo/4602258.pdf . 2. Galán, C. (2018). Amenazas híbridas: nuevas herramientas para viejas aspi- raciones . Ciber elcano No.39. Real Ins- tituto Elcano. Documento de trabajo 20/2018. 13 de diciembre de 2018. 3. Bilbao, E. (octubre, 2018). Ciberseguri- dad de los sistemas de seguridad físicos: un flanco abierto . Seguritecnia , nº 457 (p 64-66). S

RkJQdWJsaXNoZXIy MzA3NDY=