Seguritecnia 498

/ Noviembre-Diciembre 2022 40 Servicios esenciales D e acuerdo con la Ley 8/2011, por la que se es- tablecen medidas para la protección de las infraes- tructuras críticas, un servicio esencial es aquel que es necesario para el mante- nimiento de las funciones sociales bási- cas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las institu- ciones del Estado y las administraciones públicas. En el contexto actual, las ciberame- nazas son un factor que los operadores de los servicios esenciales deben tener siempre en cuenta con el fin de antici- parse a su materialización, la cual po- dría provocar desde la imposibilidad de brindar estos servicios (cortes de luz, agua o sistemas de administración elec- trónica inoperativos) hasta el ofrecerlos de forma deliberadamente delictiva, lo que provocaría daños directos a la po- blación o al funcionamiento de la estruc- tura del Estado. Por ello es necesario que, de forma sistemática, estos operadores realicen un análisis de riesgos que permita me- dir el grado de inseguridad de aquellos componentes que forman parte de la en- trega de los servicios esenciales desde un punto de vista tecnológico (aplicacio- nes, centro de datos, infraestructura de redes, personal técnico encargado de su mantenimiento y operación, etc.). Este análisis, a su vez, identificaría las acciones e iniciativas más críticas en- caminadas a reducir la probabilidad de ocurrencia de las ciberamenazas o a mi- nimizar el impacto que podría producir un ciberataque intencionado o no que fi- nalmente ponga en peligro los servicios que se están prestando. Estas acciones formarían parte del presupuesto anual de la organización, y su implementación sería una de las ta- reas que debieran tener un seguimiento prioritario en los consejos operativos y de dirección. Buenas prácticas La realización de un análisis de riesgos forma parte de las buenas prácticas de la seguridad de la información y es una actividad imprescindible para quienes buscan alguna certificación o necesitan cumplir una determinada norma. Algunas organizaciones suelen rea- lizarla solo por ser un requisito, sin ver la importancia que tiene la herramienta ni encontrar el valor a los resultados ob- tenidos. Esto es porque se entiende el análisis de riesgos más como un fin que como un medio, incluso su realización se considera de poca utilidad y mucho esfuerzo. Las razones de esta situación pueden ir desde una implantación de la metodo- logía enfocada solo en la parte tecnoló- gica y no en la organización en general (sin la participación −y decisión− de los responsables funcionales de los ser- vicios esenciales) hasta una elección no adecuada de la herramienta con un mantenimiento difícil de gestionar en los periodos siguientes. Ante estas situaciones hay que saber detenerse y volver a enfilarse en el ob- jetivo primordial: identificar los riesgos asociados a los servicios esenciales y a sus componentes, determinar el nivel mínimo de aceptación de los mismos y proponer acciones para aquellos que so- brepasen ese límite, las cuales formarán parte del presupuesto y del plan operati- vo del periodo. Para todo ello se pueden usar hojas de cálculos, herramientas informáticas o servicios web. Lo importante es man- tener la disciplina y realizar el ejerci- cio ciclo tras ciclo. Y si después de un tiempo vemos que los resultados ya no son relevantes, quizás sea momento de revisar el proceso. Lo único constante es el cambio y lo que fue bueno en un momento, quizás ya no lo sea tanto en otro. De esa forma se podrán tomar deci- siones más acertadas para proteger los servicios esenciales. La importancia del análisis de riesgos en los servicios esenciales E nrique M orey M atos T eam L eader de C onsultoría en S21 sec