SIS on line - Servicio de Información de SeguridadGrupo Estudios Técnicos OnLine

ii iii iiii iiiii

Portada

Contacto Búsqueda Productos Empresas Anúnciese Libros Formación

VIE 29 MAR 2024

Bienvenido a SISONLINE.COM, el portal de los Profesionales, Empresas, productos y servicios de seguridad

Directorio
Empresas
Productos
Servicios


Búsqueda
avanzada

Seguridad en:

Hoteles
Hospitales
Industrias
Banca
C.Comerciales
Org.Oficiales
Museos
Cen.de Datos
Portal
Convocatorias
Novedades
Noticias
Formación
Libros
Asociaciones
Concursos
Legislación
Latinoamérica
Empleo
Enlaces

Boletín
gratuito, todas las novedades de la web
Infoseguridad


¿No encuentra
su empresa en
el directorio?
PINCHE AQUI

Encabezado de servicios

BANNER PRINCIPAL

Actualidad - Temas

Buscar:

Página nueva 1

SISONLINE.COM News Web Server: Más sobre Infraestructuras Críticas

Más en España

1 de Julio de 2011

Infraestructuras Críticas y Ciberseguridad
Sánchez Gómez-Merelo, Manuel


¿Qué es una infraestructura crítica?

El Plan Nacional de Protección de Infraestructuras Críticas las define como: “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“. Esta definición ya fue establecida por la Directiva europea: 2008/114/CE del 8 de diciembre de 2008, subrayando sobre la importancia de “la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección".
Son infraestructuras críticas las siguientes: Administración (servicios básicos, instalaciones, redes de información, y principales activos y monumentos del patrimonio nacional); Instalaciones del Espacio; Industria Química y Nuclear (producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.); Agua (embalses, almacenamiento, tratamiento y redes); Centrales y Redes de energía (producción y distribución); Tecnologías de la Información y las Comunicaciones (TIC); Salud (sector e infraestructura sanitaria); Transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc.); Alimentación (producción, almacenamiento y distribución); y Sistema Financiero y Tributario (entidades bancarias, información, valores e inversiones).
Un ataque masivo y coordinado a alguno o varios de estos sectores establece una condición importante y crítica para una nación, pues se pone en juego la estabilidad de la misma y la confianza de la ciudadanía en el Estado para enfrentarse a estas amenazas. En este sentido, el concepto de seguridad tradicional se transforma para dar paso a una nueva función del Estado que es la defensa de su soberanía en el espacio digital y la protección de los derechos de sus ciberciudadanos frente a las amenazas emergentes en el escenario de una vida más digital y gobernada por la información.
Por este motivo, por la importancia de su preservación, existe un creciente interés a nivel mundial por desarrollar sistemas de seguridad efectivos que garanticen su continuidad. Pero mientras se sigue apostando por la seguridad física de estos activos, un tipo de amenaza aparece cada vez con más fuerza: los ciberataques, como una irrupción generalizada en Internet junto con el creciente desarrollo de las tecnologías de la información y la comunicación que ha contribuido al aumento exponencial de las amenazas virtuales intangibles, aunque no por ello menos peligrosas.
Consecuentemente, en relación con lo anterior, cuando hablamos de ciberseguridad, necesariamente debemos considerar las acciones básicas que desarrolla una nación para proteger de manera coherente, sistemática y sistémica los activos de información crítica, distribuidos en toda su infraestructura y cómo ellos impactan en las operaciones del Estado.

Y ¿qué es ciberseguridad?

“La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciber entorno”.
En este sentido, en línea con los conceptos de ciberdefensa y ciberseguridad, se han venido desarrollando reflexiones académicas y de la industria relacionadas con algunas amenazas como son el ciberterrorismo y cibercrimen, dos amenazas emergentes en una sociedad digital que inquietan cada vez más a los ciudadanos, quienes, hoy por hoy, se sienten vulnerables frente a la materialización de las mismas y sus efectos reales sobre la confianza en el Estado y sus instituciones.
Si bien la ciberdefensa como la ciberseguridad, son temas de estudio e investigación actual tanto en la industria, la docencia o el Gobierno, es claro que requieren atención inmediata con acciones definidas que permitan comunicar a los potenciales agresores que estamos preparados para enfrentar el reto de un ataque informático coordinado y hacer respetar nuestra soberanía digital.
Por otro lado, definir y desarrollar su misión y visión es fundamental. Misión, para coordinar las acciones necesarias para la protección de las infraestructuras críticas del Estado, frente a emergencias de ciberataques que atenten o comprometan la Seguridad. Visión, como promotora del desarrollo de una cultura de ciberseguridad en los organismos y entes del Estado y las entidades gestoras de las infraestructuras críticas nacionales, enfocada a la protección del ciberespacio, adoptando y promoviendo el desarrollo de estrategias coordinadas de ciberseguridad para contribuir a la seguridad de la nación ante amenazas internas y externas materializadas a través del uso de tecnologías de la información y comunicaciones.
Con todo ello, el eslabón más débil de la cadena de seguridad es el ser humano. Los individuos involucrados en los diferentes procesos, procedimientos de gestión y operación de una Infraestructura Crítica deben estar concienciados y capacitados con la importancia y necesidad de que dicha infraestructura sea segura, basando su sensibilización en los distintos niveles de responsabilidad y funciones.

1. Amenazas, Vulnerabilidades y Riesgos

A continuación, veamos qué entendemos como Amenaza, Vulnerabilidad y Riesgo, principalmente:
Amenazas: Se definen como “aquellos elementos que son peligrosos al hombre y que están causados por fuerzas extrañas o no extrañas a él”.
Vulnerabilidades: Podríamos definirlas como el “conjunto de condiciones y procesos que se generan por efecto de factores físicos, tecnológicos, sociales, económicos y ambientales que aumentan la posibilidad de que una persona, comunidad o instalación pueda ser susceptible de sufrir daños humanos y materiales frente al impacto de los peligros o amenazas”. La magnitud de estos daños estará asociada con el grado de vulnerabilidad. Una forma resumida de definir también la vulnerabilidad puede ser la probabilidad de que, debido a la intensidad del evento y a la fragilidad de los elementos expuestos, ocurran daños en la economía, la vida humana y el ambiente.
Este enfoque hacia la vulnerabilidad contempla factores físicos, sociales, políticos, tecnológicos, ideológicos, institucionales, culturales y educativos que, a su vez, se relacionan dentro de la propia realidad de la vulnerabilidad.
Riesgos: Podemos definir que es “la probabilidad de que una amenaza se convierta en un desastre, con graves consecuencias económicas, sociales y ambientales”. Los riesgos corresponden a un valor relativo probable de pérdidas de toda índole en un sitio específico vulnerable a una amenaza en particular, en el momento de la materialización de ésta y durante todo el período de recuperación y reconstrucción que le sigue. En este sentido existen distintos niveles de riesgo: Riesgo aceptable, razonable o factible.
Consecuentemente, para la protección de las infraestructuras críticas, hay que desarrollar en profundidad los criterios para la evaluación de las amenazas por causas de la naturaleza, riesgos tecnológicos, antisociales y delictivos, e incluso, sociales y laborales. Todo ello, sin olvidar que “infraestructuras críticas son aquellas cuyo funcionamiento resulta indispensable y no permite soluciones alternativas, por lo que su destrucción o alteración tendría un grave impacto a consecuencia de estos tipos de riesgos y sus magnitudes o consecuencias”

2. Programa Europeo para la Protección de Infraestructuras Críticas

Es objetivo prioritario que la Unión Europea debe concentrarse en la protección de las infraestructuras con dimensión transnacional. Así se desarrolla un Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC), con el fin de definir las mismas, analizar sus vulnerabilidades y su interdependencia, así como presentar soluciones que prevengan y protejan ante todo tipo de peligros. Dicho programa debe ayudar a las empresas a integrar las variables de la amenaza y sus consecuencias en sus evaluaciones del riesgo. Las Fuerzas y Cuerpos de Seguridad y de Protección Civil de los Estados miembros también deberían integrar el PEPIC en sus tareas de planificación e información.
Pero, la realidad es que aumentan los ciberataques a las infraestructuras críticas. Transportes, telecomunicaciones y empresas energéticas, son los principales objetivos del cibercrimen.
Un estudio realizado por McAfee, empresa de soluciones de seguridad en red, entre 600 directores de ciberseguridad en compañías con infraestructuras críticas de todo el mundo, muestra que más de la mitad (54%) ha experimentado ataques a gran escala, donde, la media del coste de la inactividad en los mayores incidentes ha sido de 6,3 millones de dólares al día.
Por otra parte, un informe titulado: "En el punto de mira: las infraestructuras críticas en la era de la ciberguerra", realizado por el Centro de Estudios Estratégicos e Internacionales (CSIS), afirma que el riesgo de sufrir un ciberataque está aumentando. A pesar de los avances en materia de legislación y regulación, más de un tercio de los directores de TI (37%) cree que la vulnerabilidad de su sector ha aumentado en los últimos 12 meses, y dos quintas partes espera un incidente de seguridad el próximo año. Sólo el 20 por ciento piensa que está a salvo de importantes ciberataques en los próximos cinco años.
En cualquier caso, un tercio de los encuestados cree que su sector no está preparado para hacer frente a los ataques o infiltraciones de adversarios de alto nivel. En este sentido, Arabia Saudí, India y México emergen como aquellos países menos seguros. El 60 por ciento de los encuestados cree que es representativo que gobiernos extranjeros se hayan visto involucrados, en el pasado, en infiltraciones a infraestructuras. Como países que poseen la mayor amenaza a infraestructuras críticas, encabezan la lista Estados Unidos (36%) y China (33%).
Por otro lado, un estudio reciente alerta de la vulnerabilidad de las infraestructuras de Internet. Científicos suizos han hecho público un informe que demuestra la fragilidad de las principales conexiones troncales de Internet a la acción de los delincuentes informáticos. Los daños físicos a la red podrían acarrear problemas tan serios como un mal mantenimiento de sus funciones. Al menos esto es lo que se deduce del estudio firmado por científicos del Laboratorio de Análisis de Seguridad del Instituto Federal Suizo de Tecnología de Zurich (ETH), publicado en la revista International Journal of Critical Infrastructure. El equipo de investigación sugiere que el daño físico a los puntos clave de las redes de comunicación puede dar lugar a una cadena de fracasos y graves alteraciones de sus funciones debido a la interdependencia entre las diferentes infraestructuras fundamentales de Internet.
En este orden de cosas, también sirva como ejemplo el dato facilitado por el Washington Post hace ya dos años, en el que se daba a conocer que “cientos de veces al día” diversos hackers intentaban acceder a la red de la Constellation Energy Group, entidad británica con clientes en todo el país. También lo dijo la revista Forbes en agosto de 2007, en boca de un hacker estadounidense: el testimonio del atacante ponía en evidencia la fragilidad de las infraestructuras críticas de EEUU, al demostrar la facilidad con la que él mismo había accedido a los sistemas de una estación de control nuclear. Recientemente también hemos visto esto en Irán.
Es por ello fundamental que se tomen medidas en la línea de desplegar una estrategia de seguridad que cuente con múltiples filtros de protección. Un plan completo de seguridad integral.
Respecto a los potenciales ataques terroristas por Internet, ¿por qué de repente parece que estas infraestructuras pueden ser consideradas más vulnerables? Existen dos razones: la primera es el aumento de la amenaza de ataques terroristas incluso desde el interior del propio país; y la segunda, la interconexión de los sistemas de control de las infraestructuras críticas a través de Internet.
Así mismo, el enfoque de la gestión de riesgos no debe ser la confidencialidad o la integridad de la información, sino la tolerancia a fallos, con el objetivo de evitar consecuencias impredecibles, especialmente, la pérdida de vidas humanas.
Mantener el correcto funcionamiento de las infraestructuras críticas es un tema sensible y complejo. Nuestra sociedad está altamente concienciada y, por tanto, muy vulnerable ante eventualidades que impiden el correcto funcionamiento de determinados servicios. Por ello, sea bienvenida una ley que busca prevenir la disfunción de servicios básicos y hacer disponer de planes de contingencia que pongan en marcha y coordinen medios paliativos en el caso en que se produzca un incidente.
Por otro lado, se ha demostrado que las amenazas que pueden hacer peligrar el correcto funcionamiento de infraestructuras críticas van más allá de las que afectan a la seguridad física (esencialmente protección contra atentados u otras formas de intrusión).
En este sentido, es de rabiosa actualidad el caso producido por el caos aeroportuario recientemente originado por la posición de los controladores aéreos en España, donde un pequeño colectivo fue capaz de poner en jaque al país afectando a más de medio millón de personas, obligó al Gobierno español a declarar el estado de alarma y causó perjuicios inmensos a los ciudadanos y a la economía.
Por ello, son también muy importantes las amenazas potenciales que pueden provocar otros riesgos como errores, procesos inadecuados, averías, ciberinseguridad, etc. Riesgos que deben cubrirse mediante procedimientos de seguridad lógica y con sistemas de gestión que garanticen la continuidad de la actividad.
Notables son igualmente las Consecuencias de la exposición de los sistemas de infraestructuras críticas a potenciales ataques de Internet derivadas de nuevos riesgos (conexiones wireless, mantenimiento remoto por terceros, etc.) Eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad y los fallos de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos ante nuevos retos en nuestros habituales escenarios de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación.

3. Seguridad Integral y Convergencia

La gravedad del incremento de riesgos cibernéticos ha suscitado una oleada de reacciones, en las que las autoridades han ejercido muchas veces de director de orquesta, coordinando las actividades entre el sector público y el privado, puesto que la realidad indica que, muchas de las infraestructuras críticas de una nación se encuentran en manos de operadores que, desconocen por sí solos, en mayor o menor grado, cuál es la mejor manera de identificar, diseñar y ejecutar las mejores estrategias en materia de ciberseguridad.
Una de las claves para llevar a cabo estas acciones –además de la necesaria coordinación entre instituciones y empresas- es la disposición de la información exhaustiva y actualizada sobre las nuevas amenazas que desafían la integridad de las infraestructuras críticas. Para ello son necesarios el diálogo, la asociación y la colaboración entre entidades y empresas especializadas y dedicadas, ya sea a nivel nacional como internacional, así como participación de especialistas y expertos en la materia.
En este sentido, hay que recordar que, precisamente una de las más importantes organizaciones internacionales, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), alertó, con motivo de la presentación de su Informe General 2007, sobre la necesidad de unir esfuerzos en materia de ciberseguridad para evitar un “eventual 11S digital”. En forma más precisa, destacó que una de las medidas con mayor éxito para hacer frente a los delitos cibernéticos es la creación de CERTs.
Un CERT, como es sabido, está constituido por un equipo de expertos muy cualificados cuyo objetivo es asumir y centralizar los planes directores de las empresas y entidades en materia de seguridad.
El primero apareció a finales de los 80, en EEUU, y aunque sus siglas en inglés -Computer Emergency Response Team- lo definan como un equipo de respuesta ante incidentes de seguridad, un CERT desempeña en la actualidad todas las funciones requeridas para implementar un servicio integral de seguridad.
El éxito de estas estructuras y las recomendaciones internacionales de organismos vinculados con la seguridad de las redes de telecomunicaciones, han hecho que la implantación de CERTs se haya multiplicado por cinco en la última década, y sólo en 2007 se registraban más de 70 centros en todo el mundo.
Por lo que se refiere a la gestión de la seguridad, hay que recordar que no es posible proteger todas las infraestructuras contra las distintas amenazas, ni siquiera ante la amenaza de atentados terroristas. Sin embargo, mediante técnicas de gestión de riesgos se puede focalizar la atención en los puntos de máximo riesgo permanente o prioritario.
En relación con la gestión de la ciberseguridad, conviene destacar también que es un proceso deliberado de análisis de los riesgos y amenazas, y de decisión y ejecución de acciones, con objeto de reducir el riesgo a un nivel definido y aceptable, a un coste razonable, teniendo en cuenta, igualmente, las vulnerabilidades del sistema y actividad.
En consecuencia, se acuña el término de ciberseguridad como esa connotación sistémica y sistemática que deben desarrollar los Gobiernos para ampliar ahora sus responsabilidades de Estado, en el contexto de la protección de personas y patrimonios en sus fronteras nacionales electrónicas o digitales. Un concepto estratégico de los Gobiernos en el que hemos de ratificar que se requiere la comprensión y abordaje de las distintas variables, principalmente, las vulnerabilidades de las infraestructuras críticas de la nación, las garantías y derechos de los ciudadanos en el mundo online, la renovación de la Administración de Justicia en el entorno digital y la evolución de la inseguridad de la información en el contexto tecnológico y operacional.
Por tanto, al hablar de ciberseguridad, hemos de hablar de la convergencia con la interconexión de los sistemas internos, la interdependencia con sistemas externos y la consolidación hacia estándares abiertos (IP). En este sentido, es absolutamente necesaria la convergencia de las seguridades que, aunque tradicionalmente se ha separado la seguridad física clásica de la seguridad lógica de las TIC, en el contexto actual no es posible trabajar con aproximaciones estancas.
Una infraestructura crítica puede presentar vulnerabilidades frente a amenazas físicas y lógicas, no pudiendo considerar las salvaguardas de uno y otro tipo dentro de planes separados. Aunque las seguridades se clasifiquen como físicas o lógicas, la amplitud del concepto de infraestructura crítica, y la multiplicidad de sectores afectados, exige la necesidad de afrontar su protección desde un punto de vista integral y multidisciplinar.
Igualmente, también hay que integrar en un Plan Director todas las seguridades puesto que, actualmente, los operadores de infraestructuras críticas han de seguir muchos planes de seguridad: estratégicos sectoriales, seguridad integral, seguridad del operador, protección de específicos, emergencia, continuidad de negocio, autoprotección, seguridad industrial, etcétera.
Y todo ello, sin olvidar la dependencia que hay entre sectores en caso de un incidente, que implica la necesidad de coordinar e interrelacionar la respuesta de diferentes operadores ante los incidentes.
Por otro lado, y como tenemos que pensar en global, aunque actuar en local, en cuanto al avance en la protección de las infraestructuras críticas en la Unión Europea, como complemento a las medidas adoptadas a escala nacional, la Unión ha adoptado una serie de medidas legislativas que establecen normas mínimas de protección de las infraestructuras en el marco de sus políticas. Se trata, principalmente, del transporte, las comunicaciones, la energía, la salud y seguridad en el trabajo y la salud pública.
Un importante paso fue la creación de entidades como la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) en materia de seguridad de las comunicaciones. Además, en sectores como la seguridad aérea y marítima, donde se han creado servicios de inspección para supervisar la aplicación de la legislación de seguridad en los estados miembros.
Por otro lado, es preciso crear lo antes posible una nueva red de información sobre alertas en infraestructuras críticas que agrupe a los especialistas de los Estados miembros de la UE en materia de protección de infraestructuras críticas. Esta red de alertas podría ayudar a la Comisión a elaborar los distintos programas de seguridad para: asegurar grados adecuados y uniformes para la protección de las infraestructuras críticas, minimizar los fallos y proponer a toda la Unión mecanismos rápidos y consensuados programas de actuación rápida.
En este sentido, cabe destacar que, frecuentemente, a la hora de determinar cuál debe ser la protección de las infraestructuras críticas, se contemplan medidas para neutralizar las amenazas exteriores mediante controles de accesos, cámaras y otras medidas de vigilancia, previsión de atentados, control policial, etc. Sin embargo, son muy frecuentes y menos ponderadas en sus efectos las que provienen de una actuación desde el interior, bien por acción, por error u omisión, tal y como viene ocurriendo en estos últimos tiempos.
No obstante, y sin ánimo de ser exhaustivo, hemos de considerar que el sector y mercado de las seguridades presenta múltiples medios y medidas de prevención y protección de aplicación a las infraestructuras críticas, en general, y a su ciberseguridad, en particular como: Pasarelas de Integración para intercambio de información y coordinación con organismos del estado y otros propietarios de infraestructuras críticas; Protección de la Información mediante cifrado de datos y de comunicaciones; Sistemas de Seguridad TIC, protección y gestión de identidades; Inteligencia Competitiva, análisis de fraude y filtraciones; Vigilancia Tecnológica, etcétera.

4. Proyecto Multidisciplinar

Por todo ello, se han de plantear políticas y regulaciones orientadas hacia los retos y demandas de cada entorno, diferenciando las necesidades del gobierno, de la industria y de los usuarios.
Necesidades del gobierno como: crear conciencia sobre la importancia de la seguridad en todos los sectores del Estado, confianza de que se tienen suficientes medidas y prácticas para proteger las redes públicas. y suficiente información para permitir la respuesta en situaciones de emergencia.
Necesidades de la industria para: ofrecer seguridad para los sistemas y en los servicios, dar garantías y satisfacción al cliente, y ofrecer confianza al inversor y rentabilidad.
Necesidades del usuario para: tener confianza en los medios de información y comunicación, disponer de seguridad y privacidad de su información, mantener costes asequibles, y conectividad adecuada siempre.
Todo ello, con un carácter y objetivo multidisciplinar, con acciones encaminadas a: Incrementar la sinergia entre todas las partes interesadas como entes de vigilancia y control, entes de políticas y regulación, empresas y usuarios; impulsar el desarrollo de normas compatibles a nivel global; concienciar sobre las vulnerabilidades para proveer protección en forma independiente sobre las amenazas que están constantemente cambiando y pueden ser desconocidas, fomentar la investigación y el desarrollo a través de la academia; colaborar con la industria en el análisis de resultados y en la identificación de soluciones; incentivar la necesidad de conocer los requisitos de los usuarios y de poner a su disposición información detallada en relación con el uso seguro de equipos y servicios; diseñar capacitación especializada en temas prioritarios; fomentar la consistencia a nivel internacional en la clasificación de datos para mejorar el flujo de información; estimular el desarrollo de regulación adecuada; promover la mayor seguridad de la infraestructura interna y externa por parte de los operadores; continuar con la difusión sobre cuestiones de ciberseguridad y la evaluación de mejores prácticas para el establecimiento de estrategias nacionales.
Por tanto, en este contexto, los ejercicios sobre riesgos y controles propios de las empresas para establecer y analizar los activos de información críticos, han dejado de ser “algo que hacen los de seguridad” para transformarse día con día en una disciplina que adopta la organización para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. Por ello, la figura opcional de la seguridad de la información comienza a desvanecerse y a tomar una relevancia estratégica, ahora en un escenario donde la información es la protagonista, para generar, proponer y desarrollar posiciones privilegiadas de personas, empresas y naciones.

5. Legislación y normativa. Antecedentes

De forma especial, el Consejo Europeo de 17 y 18 de junio del año 2004 pidió a la Comisión correspondiente que elaborase una estrategia global para una mayor protección de las infraestructuras críticas. En respuesta a dicha petición la Comisión publicó, el 22 de octubre de 2004, una Comunicación que describe las acciones que la Comisión adopta actualmente para proteger las infraestructuras críticas y propone medidas adicionales para consolidar los instrumentos existentes.
Así el proyecto de la Comisión de proponer un Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC) y una Red de Alerta en relación con las Infraestructuras Críticas (CIWIN) fue finalmente aceptado en el Consejo Europeo de 16 y 17 de diciembre de 2004, tanto en las conclusiones del Consejo relativas a la prevención, preparación y respuesta ante ataques terroristas, como en el programa de solidaridad que el Consejo aprobó el 2 de diciembre de 2004.
Como principal prioridad, el 15 de septiembre de 2005 fue aprobada la Decisión C/2005/3179 sobre financiación de un proyecto piloto relativo a acciones preparatorias para reforzar la lucha contra el terrorismo, puesto que el riesgo de ataques terroristas catastróficos contra infraestructuras críticas se considera en aumento y, como las consecuencias de un ataque contra los sistemas industriales de control de las infraestructuras críticas podrían ser muy variadas, aunque se da por supuesto que un ciberataque podría no causar víctimas, pero provocaría la pérdida de servicios de infraestructura vitales.
Por todo ello, los estados miembros deberán, por tanto, determinar sus respectivas infraestructuras críticas, según una fórmula armonizada a escala de la UE, conjuntamente con los organismos o personas responsables de su seguridad.
Por último, España en el año 2007 creó el plan para proteger las principales infraestructuras críticas (más de 3.500) de los sectores de las telecomunicaciones, energía, transportes, agua y sanidad, principalmente. De su coordinación se encarga el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).

6. Ley española

El pasado 5 de noviembre de 2010, el Consejo de Ministros aprobaba el proyecto de Ley de Protección de Infraestructuras Críticas. Seguía, de esta forma, las disposiciones de la Directiva Comunitaria del año 2008 de identificación y designación de infraestructuras críticas europeas y evaluación de la necesidad de mejorar sus protecciones.
Finalmente, el día 28 de abril de 2011, se aprueba por las Cortes Generales españolas la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas.
La Ley consta de 18 Artículos, estructurados en 3 Títulos. El Título I se destina a las definiciones de los términos acuñados por la Directiva 2008/114/CE, así como a establecer las cuestiones relativas al ámbito de aplicación y objeto. El Título II se dedica a regular los órganos e instrumentos de planificación que se integran en el Sistema de Protección de las Infraestructuras Críticas. El Título III establece, finalmente, las medidas de protección y los procedimientos que deben derivar de la aplicación de dicha norma. Asimismo, la Ley consta de cuatro Disposiciones Adicionales y cinco Disposiciones Finales.
Una ley donde, desde el punto de vista de la ciberseguridad, cabe destacar en su prólogo algunas referencias de importancia como:
“Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las infraestructuras, que están expuestas a una serie de amenazas. Para su protección se hace imprescindible, por un lado, catalogar el conjunto de aquéllas que prestan servicios esenciales a nuestra sociedad y, por otro, diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones”…
Subrayando igualmente que:
“Estas infraestructuras críticas dependen cada vez más de las tecnologías de la información, tanto para su gestión como para su vinculación con otros sistemas, para lo cual se basan, principalmente, en medios de información y de comunicación de carácter público y abierto”...
“En consecuencia, y dada la complejidad de la materia, su incidencia sobre la seguridad de las personas y sobre el funcionamiento de las estructuras básicas nacionales e internacionales, y en cumplimiento de lo estipulado por la Directiva 2008/114/CE, se hace preciso elaborar una norma cuyo objeto es, por un lado, regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético) y, por otro lado, la definición de un sistema organizativo de protección de dichas infraestructuras que aglutine a las Administraciones Públicas y entidades privadas afectadas. Como pieza básica de este sistema, la Ley crea el Centro Nacional para la Protección de las Infraestructuras Críticas como órgano de asistencia al Secretario de Estado de Seguridad en la ejecución de las funciones que se le encomiendan a éste como órgano responsable del sistema”…

El objetivo básico de la Ley y su desarrollo reglamentario no es otro que asegurar que se ponen en marcha los planes de seguridad y otras medidas, con el fin de que aquellas infraestructuras consideradas estratégicas no queden paralizadas. Se entiende como críticas aquellas instalaciones, redes, sistemas y sistemas físicos cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su interrupción o destrucción tendría un gran impacto en la salud, la seguridad, el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas.

7. Conclusiones

A modo de resumen, cabría destacar la importancia de consolidar una Estrategia de Ciberseguridad Nacional con los objetivos principales de: Establecer una línea de defensa contra todas las amenazas actuales con el fin de mejorar el intercambio de información de alertas, vulnerabilidades, amenazas y eventos que se detecten en las redes de la Administración que permitan actuar rápidamente; defenderse contra todo el espectro de amenazas, mejorando las capacidades de contrainteligencia e incrementar la seguridad de las tecnologías y sistemas desde su fase de diseño; fortalecer el entorno futuro de ciberseguridad, mediante acciones de formación en seguridad de sistemas de las Tecnologías de Información y Comunicaciones (TIC); coordinar y dirigir los esfuerzos de investigación promocionados por todas las Administraciones; definir estrategias que disuadan la actividad amenazante en el ciberespacio.
Para ello, habría que establecer una estrategia específica de ciberseguridad para: Reducir el riesgo de uso del ciberespacio para minimizar la amenaza, disminuyendo la motivación y capacidad del atacante y reducir las vulnerabilidades de los sistemas; aprovechar las oportunidades en el ciberespacio para la obtención de inteligencia de los actores de la amenaza y actuar contra ellos; facilitar la toma de decisiones, mejorando el conocimiento y la concienciación, así como las capacidades técnicas y humanas.
En este sentido y, para desarrollar y consolidar el Esquema Nacional de Seguridad, se debería de priorizar sobre un Plan de Acciones en línea para: Reforzar la realización de auditorías que verifiquen el estado de las seguridades; elaborar un programa de concienciación y formación para crear cultura de seguridad en el desarrollo y el uso de sistemas TIC; mejorar las capacidades de los organismos responsables y coordinadores; Priorizar sobre la gestión de redes con criterios comunes y conexiones fiables a Internet mediante un eficaz despliegue de Sistemas de Alerta Temprana; establecer mecanismos de respuesta y realizar ejercicios para verificar esta capacidad; impulsar el empleo de nuevas configuraciones de seguridad como base de un programa de reducción de amenazas y vulnerabilidades; promover el uso de normativa de seguridad para la certificación y acreditación de seguridad de los sistemas TIC; y fomentar la cooperación nacional e internacional con grupos multidisciplinares de expertos en materia de seguridad, en general, y ciberseguridad, en particular.
Manuel Sánchez Gómez-Merelo©
Consultor Internacional de Seguridad
Director para Europa de la World Security Federation (WSF)

Fuente: SEGURIDAD GLOBAL

Más información:

SISONLINE.COM le ofrece un servicio gratuito de contacto para ampliar la información a través de Internet sobre sus PRODUCTOS, TECNOLOGIAS y SERVICIOS.

Solicitud:

Indique sus datos de contacto:

Nombre y Apellidos *
Empresa *
Actividad de la empresa *
Cargo *
Provincia *
País *
Teléfono *
Correo Electrónico *
Si no tiene, indique un número de móvil y/o un fax

He leído y estoy de acuerdo con la política sobre Protección de Datos Personales de este servicio web.

-En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, le informamos que los Datos que nos facilite mediante la cumplimentación del presente formulario pasarán a formar parte de un fichero propiedad de GE GRUPO ESTUDIOS TECNICOS SL con el fin de ofrecerle información sobre el sector y mercado de la Seguridad. No existe venta, comunicación ni cesión de sus datos a ninguna entidad u organización. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la dirección get@getseguridad.com..

Borde inferior compartido