1 79 Table of Contents 81 156

Seguritecnia 469

80 SEGURITECNIA Noviembre 2019 Protección de Infraestructuras Críticas sirve de nada si no se ha hecho ese en- trenamiento común, en el que todos se han coordinado, han puesto en marcha los procedimientos y se han enfrentado juntos a esas simulaciones de respuesta ante un ataque. Este entrenamiento, si se hace correctamente y con todas las partes implicadas, puede marcar la di- ferencia entre ganar el partido (conti- nuidad del servicio crítico) o perder la liga (discontinuidad del servicio crítico y quizá de la operación de negocio del operador). Por último, es importante recalcar que todos los operadores críticos deben uti- lizar los requisitos fijados por el regula- dor como un trampolín que permitirá la mejora de las funciones de seguridad, y que será un gran aliado dentro de las or- ganizaciones para construir equipos co- hesionados y alineados que obtengan la mejor respuesta en los peores esce- narios. Con todo ello, las organizaciones dispondrán de las herramientas clave para subsistir e incluso despuntar en los momentos más complicados. S dad (CSO – Chief Security Officer – y CISO – Chief Information Security Officer –) es- tén alineadas, se comuniquen de forma constante y estén preparadas para cola- borar ante los diferentes escenarios que se les pueden plantear. Entrenamiento Por otro lado, y efectuando una analo- gía con el mundo del fútbol, para ganar un partido hay que entrenar mucho. No tiene sentido que cada jugador se ejer- cite por separado y que la primera vez que jueguen juntos sea en el partido. Cada jugador debe realizar las tareas de preparación física y, posteriormente, to- dos juntos ver la estrategia, ensayar las jugadas o entenderse con el resto de compañeros. Para lograr el éxito en ese “partido”, que es la respuesta ante un ataque, es necesario que todas las funciones de seguridad hayan entrenado, que cada una de ellas haya perfeccionado sus procesos y que todos los profesionales por separado hayan estado “haciendo sus ejercicios”. No obstante, todo eso no cualquier incidente que pudiera afec- tar a los servicios críticos. Así, además, se garantiza la correcta prestación del servicio, incluso cuando esté sufriendo o haya sufrido un ataque, sin distinguir si el origen o método utilizado para el ataque es físico o lógico. Funciones alineadas Y es que, hoy en día, trazar esa línea que separa los dos conceptos de segu- ridad es complejo. Basta pensar que, ac- tualmente, la mayoría de los sistemas de control de accesos o de videovigi- lancia, cuya competencia ostentan los responsables de seguridad de las orga- nizaciones, se basan en tecnologías (sis- temas) que comprueban los accesos contra bases de datos o cámaras cuya información viaja por redes IP. Las cá- maras de videovigilancia han cambiado los métodos de envío de las imágenes hasta las centrales de visionado de en- foque tradicional con cable coaxial de- dicados a líneas IP (Internet Protocol), que son las mismas por las que viajan los datos cuando navegamos por Inter- net, y por tanto son susceptibles de su- frir ataques lógicos. Asimismo, todos los sistemas lógicos están basados en máquinas (servido- res, ordenadores, etc.) y redes de comu- nicaciones que son susceptibles de su- frir ataques físicos, ya sea contra las ubi- caciones donde se encuentran los CPD (Centros de Procesos de Datos) o con- tra las conexiones (cables y comunica- ciones inalámbricas), que comunican las diferentes instalaciones y componen un ecosistema necesario para las ope- raciones. En este escenario en el que los ata- ques se han sofisticado y evolucionan cada día, en el que las funciones de se- guridad convergen cada vez más e inte- raccionan y en el que los reguladores se han fijado como una de las piezas más importantes para garantizar el funcio- namiento normal de los estados, se per- cibe como una necesidad para todas las organizaciones que quieran estar pre- paradas para sobrevivir a un ataque (in- dependientemente de que sea físico o lógico) que sus funciones de seguri- Las infraestructuras críticas son un objetivo prioritario con la finalidad de provocar el caos, obtener un beneficio económico o sembrar el pánico

RkJQdWJsaXNoZXIy MzA3NDY=