Seguritecnia 467

78 SEGURITECNIA Septiembre 2019 Control y gestión de alarmas una mayor regulación y concreción. En este empeño destaca la norma UNE- EN 50518, que establece unos criterios esenciales de la actividad de una CRA, desde su ubicación física y especifica- ciones de construcción hasta medidas de autoprotección y requisitos técnicos y operativos, pero donde se echa en falta mayor profundidad en las medidas de protección de los sistemas de segu- ridad de la información y comunicacio- nes de nuestras CRA. No menos importante en este campo normativo son las especificaciones y di- rectrices que aporta la norma ISO 22301 de Continuidad de Negocio, que nos permite reconocer los riesgos de nues- tro entorno y establecer los procedi- mientos que garanticen la continuidad de nuestros servicios de cara a nuestros clientes. El ser víctimas de un ciberata- que en nuestras CRA es una cuestión de tiempo. Por tanto, lo que lo que ver- daderamente hoy nos debe ocupar es cómo recuperar la normalidad tras un ataque en el menor tiempo posible. Disponer de una CRA resiliente es un factor clave de éxito para asegurar la perdurabilidad en el tiempo de los ser- vicios prestados, muchas veces críticos para nuestros propios clientes, puesto que así se garantiza su propia tranquili- dad y su seguridad. Todos los esfuerzos realizados y que sin duda tendremos que continuar rea- lizando, tanto en el aspecto técnico como en el normativo, redundarán fi- nalmente en la calidad de los servicios prestados a nuestros clientes y en la gestión y tratamiento de las alarmas. La realidad hoy configura nuestras CRA como potenciales centros de ges- tión remota de servicios con un obje- tivo común en la seguridad, en donde los servicios de inteligencia emergen como un nuevo protagonista que gana peso día a día. Servicios asociados a la monitorización y análisis de informa- ción en redes abiertas y cerradas que nos posibilitan aportar un importante factor preventivo como elemento adi- cional a la seguridad con mayúsculas que podemos prestar a nuestros clien- tes desde nuestras CRA. S bientales que deberán ser permanente- mente monitorizados. Sin embargo, el reto ya presente en el entorno de nuestras CRA se plantea con la gestión unificada de incidentes, ya sean físicos o lógicos. En realidad existe una gran similitud en procedimientos de gestión de alertas o de cierre de in- cidencias. La clave del éxito deberá converger en una unificación de gestión de incidentes y alertas, con independencia de si vie- nen del ámbito cíber o del mundo físico. Para ello se tendrá que dotar al servicio con carácter global de una protección en seguridad única de cara al cliente, siendo capaces de dar respuesta ante cualquier tipo de amenaza; todo ello en un único servicio de seguridad global y favoreciendo el cumplimiento de la di- rectiva NIS ( Network and Information Sys- tems ), entre otros factores claves de éxito. La norma UNE-EN ISO 27001 de segu- ridad de la información se brinda como una herramienta imprescindible para ese fin partiendo de un correcto diseño de nuestra CRA. Trabajar en este sentido permitirá ga- rantizar a nuestros clientes una protec- ción adecuada de la seguridad de los datos que, en mayor o menor medida, nos proporcionan para prestar nuestros servicios. Continuidad de negocio Hoy ya es insuficiente exclusivamente el ámbito normativo de seguridad fí- sica, donde efectivamente sí existe Ciberseguridad Los cambios mencionados hasta aquí solo han sido un inicio de lo que está por llegar. Hoy ya es impensable plan- tear una CRA sin el asesoramiento y se- guimiento de un departamento de Tec- nologías de la Información específico y conocedor del entorno que haga frente a los nuevos retos y dificultades que se afrontan, como por ejemplo en el campo de la ciberseguridad. La catalogación de la criticidad de los distintos servicios que prestan nuestras CRA y el análisis de las posibles amena- zas a las que están expuestos los acti- vos que se custodian (datos de nuestros clientes y de nuestros sistemas) exigen el establecimiento de metodologías que posibiliten la identificación, evaluación, gestión y respuesta frente a riesgos deri- vados de la seguridad de la información. En instalaciones como nuestras CRA, donde mucha información sensible es visualizada, almacenada, procesada o transmitida utilizando sistemas de infor- mación y comunicaciones, deberán es- tablecerse los requerimientos necesa- rios para asegurar el cumplimiento de los objetivos de seguridad: confidencia- lidad, integridad y disponibilidad, inhe- rentes al mundo TIC. Ejemplos de interrelación del mundo físico y digital, en los citados objetivos de disponibilidad e integridad, tendrían que obligar a la instalación de equipos de detección de incendios, temperatura y humedad o sensores de agua, una combinación de controles medioam-