1 100 Table of Contents 102 156

Seguritecnia 469

SEGURITECNIA Noviembre 2019 101 Protección de Infraestructuras Críticas que son el activo clave a proteger, y no podemos perder de vista que su caída tiene un impacto directo en la socie- dad o la ciudadanía cuando nos centra- mos en el ámbito de las infraestructuras críticas. Por tanto, cualquier proyecto, si no se puede certificar con organis- mos externos, cabe insistir una vez más en que al menos nunca se quede en el plano teórico, sino que se pueda pro- bar siempre de forma efectiva lleván- dolo a situaciones reales, con pruebas piloto, etc. Actualmente, tanto a medio como a largo plazo, la tendencia en el ámbito de las infraestructuras críticas es a la certificación, aunque queda mucho te- rreno por recorrer. También es reseña- ble el hecho de que se ha incremen- tado en gran medida la demanda de asesoramiento para el cumplimiento de determinadas normativas, lo que nos indica cada vez un mayor dinamismo del mercado y una preocupación por abordar estos temas. Para concluir, si realizásemos una foto de conjunto actualmente en España, nos encontraríamos con sectores más avan- zados y con otros que se hallan en un ni- vel intermedio. Desde nuestra propia ex- periencia, entre los más avanzados en la implementación de este tipo de requisi- tos de seguridad estarían la distribución eléctrica, el sector nuclear o el transporte por ferrocarril, por mencionar algunos ejemplos. Otros se encuentran en un punto intermedio de madurez, como se- ría el caso de aguas y logística, así como otros medios de transporte como marí- timo o aéreo, donde aún queda mucho recorrido por andar, pero ya se perciben. Y esto es, sin duda, lo más importante: las ganas de abordar esta seguridad 360 del modo más propicio. S lo serán próximamente a través de or- ganismos específicos. Especial mención requiere el programa ISASecure para la certificación de IEC 62443 a nivel téc- nico en Estados Unidos. De igual ma- nera, en un futuro próximo, otras nor- mas destacadas dentro de esta serie, como la 62443-2-3, la 2-4 o la 4-1, tam- bién podrán ser certificables. Validación No obstante, más allá de las posibles certificaciones, es imprescindible des- tacar que cualquier implementación de medidas de seguridad para TO (y tam- bién para TI) en una organización ha de contar con un proceso interno de vali- dación que garantice el funcionamiento de la estrategia de seguridad imple- mentada: que las medidas aplicadas funcionen como se esperaban, que no impacten en el rendimiento de los siste- mas, que protejan adecuadamente, etc. Para lograr este propósito existen múl- tiples herramientas a nuestro alcance (definición de indicadores, auditorías internas, Red Team , etc.). Sin embargo, desde el punto de vista de la validación de las medidas técnicas, también hay que destacar las siguientes en fase de implementación: pruebas de regresión (permitir descubrir errores, bugs o diver- gencias en comportamientos), pruebas de estrés (corroborar que el sistema se comporta como se espera en situacio- nes límites) y pruebas funcionales (vi- sualizar que los sistemas funcionan co- rrectamente). Llegados a este punto, es esencial su- brayar la importancia de todos estos análisis de 360 grados de la seguridad en el ámbito de las TO. Estamos refirién- donos a un mercado donde las empre- sas cuentan con procesos industriales que hacerlo e incluso certificar qué y cómo se ha realizado. Entre los estándares que se refieren al qué hay que hacer destaca la ISO 27001, muy conocida en el ámbito de la segu- ridad de la información, ya que esta- blece un marco de gestión que permite alinear el negocio con las necesida- des de protección a nivel de procesos y tecnologías. Este marco es muy apro- piado porque permite identificar ries- gos cibernéticos asociados a los pro- pios negocios basados en TI, pero tam- bién es extensible a las TO. Dentro de esta misma serie de estándares nos asis- tirían otros como la ISO 27002, la 27005 o la 27019. Asimismo, existen algunos específi- camente orientados al ámbito de las TO, como es el caso de los estándares IEC 62443-2-3, 2-4 y 4-1, enfocados en el ámbito de procesos, o los IEC 62443-3-3 y 4-2, orientados a requisitos técnicos a nivel de un sistema global de automa- tización y control o de alguno de sus componentes respectivamente. Igual- mente, nos encontramos con estánda- res aún más específicos como NISTIR 7628, para requisitos de seguridad a ni- vel de procesos y organización en el ámbito de las redes inteligentes, o ya a nivel de requisitos técnicos, la IEC 62351- 12, aplicada a sistemas eléctricos. Bajo el paraguas de los estándares orientados al cómo hay que hacerlo existe un amplio número, entre los que podríamos mencionar, a nivel técnico, el 62351-90-2, para la inspección de co- municaciones a nivel profundo (análisis de comportamiento); o también, dentro de la serie IEC 62351, el estándar 62351- 8, que se refiere al control de acceso ba- sado en roles, o el 62351-14, que aborda el registro de eventos de seguridad. Adi- cionalmente, podemos mencionar otros más genéricos relacionados con la se- guridad más tradicional e Internet, pero también de aplicación, como son el es- tándar X509 para PKI (infraestructura de clave pública) en el ámbito de los certifi- cados digitales, el RFC 4511 para LDAP o el RFC 5424 a nivel de Syslog. Algunas de estas normas y estánda- res mencionados son ya certificables o Tanto a medio como a largo plazo, la tendencia en el ámbito de las infraestructuras críticas es a la certificación

RkJQdWJsaXNoZXIy MzA3NDY=