Seguritecnia 470

22 SEGURITECNIA Diciembre 2019 evento Jornada presentación del estudio sobre la amenaza interna en el ámbito de las Infraestructuras Críticas jetivo es que los trabajadores se con- ciencien y sepan el daño que pueden ocasionar si caen en las trampas de los hackers ”, comentó. Un razonamiento que tuvo el res- paldo de José Miguel Villar y David Vi- llalba, quien reconoció que, en lo re- ferente a la ciberseguridad, “el ata- que de WannaCry marcó un antes y un después”. Tanto es así, apuntó Javier Zubieta, que ha crecido la demanda de servicios para combatir amenazas como el ransomware . “Lógicamente, los proveedores agradecemos que cada vez haya más concienciación en las or- ganizaciones”, razonó. Verificación de probidad Por lo que respecta a la influencia que tienen los departamentos de Seguri- dad en los de Recursos Humanos a la hora de realizar verificaciones de pro- bidad para conocer el perfil de quienes desean trabajar en una empresa o cola- borar con ella, Alfonso Bernabé admi- tió que la misma es muy poca. “Se trata de una cuestión compleja. A nivel repu- tacional, en Recursos Humanos puede que no les parezca bien, por ejemplo, solicitar los antecedentes penales a un candidato a un puesto de trabajo. Y luego está la parte legal. Si no estamos respaldados, poco se puede hacer”, ar- gumentó. En la misma línea, Jordi Lean- dro opinó: “los operadores críticos ne- cesitamos una legislación clara que diga si, desde el punto de vista de la seguri- dad, podemos verificar la probidad de una persona”. En sintonía con sus compañeros de mesa, José Miguel Villar calificó de “complicada” la posibilidad de llevar a cabo verificaciones de probidad y es- timó necesaria una normativa ad hoc . Seguidamente, David Villalba añadió que “la cosa se complica aún más si en la ecuación entra un tercero”, en refe- rencia a los contratistas. Y sobre este último apunte, y como ejemplo de lo que sucede fuera de España, Javier Zu- bieta recordó que el screening de per- sonal está autorizado en países como Estados Unidos o Reino Unido. “A las empresas de servicios de seguridad nos lo ponen como requisito y nos te- nemos que adaptar a ello”, señaló. Proveedores y normativa Los últimos minutos de la mesa re- donda fueron aprovechados para abordar asuntos como la dependen- cia de proveedores o la incongruencia normativa. En lo relativo a la primera cuestión, los panelistas estuvieron de acuerdo en la conveniencia de solici- tar certificaciones a las empresas con- tratistas involucradas en procesos es- pecialmente críticos. Y respecto al se- gundo tema, pusieron como ejemplo la normativa Seveso o los contratos pú- blicos, que obligan a aportar una infor- mación sensible que puede acabar en manos de cualquiera, contradiciendo así la confidencialidad que exige el mo- delo PIC. S Iván Márquez (Eulen Seguridad). Inteligencia aplicada a la protección de infraestructuras críticas Iván Márquez , técnico especialista en la Dirección Técnica de Seguridad de Eulen, habló de la inteligencia como factor clave en la prestación de servicios de seguridad en operadores críti- cos. Para ello expuso el motivo por el cual las infraestructuras críticas deben contar con la inte- ligencia como uno de los principales pilares de una política de seguridad adecuada: “este tipo de instalaciones necesitan garantizar la continuidad de sus servicios esenciales, necesitan estar seguras, necesitan saber a qué tipo de amenazas se enfrentan, necesitan anticiparse. Necesitan, por tanto, inteligencia”, aseguró. Para ilustrar esta idea, Márquez explicó el proceso de inteligencia desarrollado por Eulen, que busca garantizar la continuidad de los servicios de la infraestructura crítica. Dicho proceso se trata, en resumen, de anticiparse y de tomar decisiones gracias a sus diferentes fases: dirección (en la que se establece qué es lo que se quiere conocer), obtención, análisis, difusión y explota- ción de la información. Pero existen multitud de especialidades para obtener datos. Así, para el representante de Eu- len, las cinco disciplinas que afectan directamente a la inteligencia aplicada a la protección de infraestructuras críticas son: OSINT (inteligencia de fuentes abiertas), IDINT (inteligencia obte- nida del análisis de los datos internos de las organizaciones), NETINT (inteligencia adquirida del tráfico de red), SOCMINT (inteligencia basada en la información de las redes sociales) y HUMINT (inteligencia cosechada y facilitada por fuentes humanas). Eulen Seguridad Evento SEGURITECNIA