Seguritecnia 498

Servicios esenciales importancia de dotarla de la seguridad adecuada. En Telefónica se contempla la segu- ridad de una forma integral, incluyendo bajo este concepto no solo la seguridad digital o seguridad lógica y la seguridad física, sino también todos los aspectos relativos a continuidad de negocio, se- guridad de la cadena de suministro, in- teligencia y gestión del fraude en teleco- municaciones. Centrándonos en la parte de seguridad lógica, es necesario apoyarse en las bue- nas prácticas del sector como puedan ser la ISO 27000, NIST CSF y el Esquema Na- cional de Seguridad (ENS) en los ámbitos en los que se presta servicio a la Admi- nistración Pública. Así como disponer de un equipo de respuesta a incidentes de seguridad (CSIRT) que coordine la ges- tión de incidentes en contacto y comu- nicación con los Computer Emergency Response Teams (CERT) nacionales. Prevención En el ámbito preventivo, hay que sumar las medidas de seguridad lógica que están en ámbito de las leyes y normas existentes (Reglamento General de Pro- tección de Datos, SOX, PCI-DSS, 5G, ISO 27001 o el ya mencionado ENS) cuyas certificaciones persiguen la revisión de medidas de seguridad de las infraestruc- turas críticas. Esta prevención se refuerza utilizando un enfoque orientado a riesgos, tanto a nivel macro, de la compañía, como a ni- vel micro, en cada servicio o aplicación, realizado con apoyo de las actividades de los equipos de seguridad por diseño, arquitectura de seguridad, ciberinteli- gencia y Red Team . Mientras, en un futuro a corto plazo, tenemos la vista puesta en la nueva Ley de Ciberseguridad 5G (Real Decreto-ley 7/2022, de 29 de marzo), que marca los requisitos para garantizar la seguridad de las redes y servicios de comunica- ciones electrónicas de quinta genera- ción; en la Directiva europea NIS2, para la ciberseguridad de todos los servicios esenciales, recién aprobada; y en la Di- rectiva de Resiliencia de las Entidades Críticas (CER). Estas últimas deberán trasponerse a la legislación española. A medio plazo, es deseable que con estas y otras directivas y leyes se avance en diferentes puntos: Coherencia y armonización de las me- didas a cumplir, de forma que las nor- mativas de las entidades críticas (CER) y las de operadores de servicio esen- ciales (NIS2), junto con las distintas leyes y normas que nos son de aplica- ción (Ley de Ciberseguridad 5G, leyes sectoriales de telecomunicaciones, Reglamento General de Protección de Datos, SOX, PCI-DSS, 5G, ISO 27001 o ENS), encuentren un enfoque común en su visión de la protección de la información y sistemas y las buenas prácticas (análisis de riesgos, gestión de incidentes, auditoría, etc.). Coherencia y unificación de la docu- mentación a facilitar en plazo y forma a las autoridades competentes que tuviese en cuenta los solapes entre la información solicitada por las distintas autoridades y permitiese evitar archi- vos duplicados. Normalización de la seguridad de la cadena de suministro, en la actuali- dad delegada a los operadores, que a través de alguna obligación legal armonizase al menos la publicación de vulnerabilidades y notificación de incidentes por parte de todos los pro- veedores y suministradores de opera- dores de infraestructuras críticas. Y en la notificación de incidentes, dife- renciándola de la notificación de cibe- ramenzas que potencialmente pueden o no causar incidentes y creando el tan solicitado punto único de contac- to con la Administración al que remitir estas notificaciones que evite su ac- tual multiplicidad. En resumen, consideramos imprescin- dible asumir la importancia de las tele- comunicaciones como servicio esencial para la sociedad y la necesidad de dotar sus servicios e infraestructuras de una protección integral que garantice su dis- ponibilidad. / Noviembre-Diciembre 2022 29