Table of Contents Table of Contents
Previous Page  33 / 76 Next Page
Information
Show Menu
Previous Page 33 / 76 Next Page
Page Background

especial

red seguridad primer trimestre 2016 33

se traduce en una gran complejidad

a nivel organizativo o incluso resulta a

veces irrealizable por limitaciones pro-

pias de la tecnología de automatización

y control o de la operativa de los entor-

nos industriales críticos.

Es por ello que en estos escenarios

la concienciación del personal cobra

tanto sentido. Unos empleados con-

cienciados y formados son capaces

de poder reaccionar frente a ataques

de ingeniería social. Es cierto que si

el atacante invierte tiempo y es minu-

cioso, puede lograr su objetivo, pero

en este caso, ha de tener unas habi-

lidades muy desarrolladas y, por ello,

disminuye la probabilidad de que el

ataque consiga su objetivo.

Colaboración

La cooperación es otro de los puntos

clave para la mejora a nivel global del

nivel de seguridad de las infraestructu-

ras críticas industriales. En particular,

la cooperación entre fabricantes y con-

sultoras de seguridad es importantísi-

ma para mejorar el nivel de seguridad

de los sistemas de automatización y

control, tanto de forma correctiva sobre

equipos ya comercializados e implan-

tados en las industrias, como en la

fase de diseño los nuevos sistemas. En

ambos casos, resultan de vital impor-

tancia los laboratorios de pruebas,

que faciliten la realización de análisis

de seguridad, pero también de diseño

de procedimientos de actualización/

parcheo de equipos, incluyendo la

posibilidad de “marcha atrás” en caso

de necesario. En particular, a la hora

de identificar y evaluar las vulnerabili-

dades de sistemas ya comercializados

e implantados en las infraestructuras

industriales, los entornos de laborato-

rio permiten realizar pruebas sin riesgo

para los entornos en producción, bajo

condiciones de trabajo que permiten

acotar el alcance y evitar imprevistos.

Como resultado de estas iniciativas,

los operadores ganarían tiempo en la

incorporación de dispositivos seguros,

minimizando el riesgo para la opera-

tiva de las infraestructuras. Por otro

lado, los fabricantes identificarían pro-

activamente las vulnerabilidades que

afectan a sus soluciones, adelantando

posibles soluciones y evitando tener

siempre una actitud reactiva.

La colaboración entre empresas

operadoras de las infraestructuras

críticas es de vital importancia para

aprender de los errores cometidos,

compartir buenas prácticas, y hacer

frente común para lograr que los fabri-

cantes mejoren la seguridad de sus

soluciones, aplicando medidas correc-

tivas e incluyendo nuevas prestaciones

de seguridad.

Para que las buenas prácticas e

iniciativas anteriormente comentadas

sean adoptadas por todos los actores

que influyen en la protección de infra-

estructuras críticas, es necesaria una

regulación que dicte en cierto modo las

pautas a seguir, y que exija unos míni-

mos a cada una de las infraestructuras

catalogadas como críticas dentro de un

Estado. En España, las normativas que

afectan a este tipo de infraestructuras

son la Ley 8/2011 y el Real Decreto

704/2011 que la desarrolla, donde se

refleja claramente la importancia que

tiene la seguridad de las infraestructu-

ras críticas para un Estado. Junto con la

Estrategia Nacional de Ciberseguridad,

de 2013, se aclaran las bases de cómo

Unos empleados

concienciados y formados

pueden reaccionar frente a

ataques de ingeniería social

ha de abordarse la seguridad integral

en estas infraestructuras, y se corrigen

la deficiencias que en esta materia se

daban en España.

Planes PIC

En lo que respecta a cada uno de los

sectores catalogados como críticos en

España, los planes sectoriales aportan

la regulación que anteriormente ha

sido mencionada y que era inexistente.

Las empresas que están detrás de

las infraestructuras críticas ya pue-

den hacerse una idea de las medidas

que han de tomar con respecto a la

seguridad de sus sistemas siguiendo

las pautas marcadas por estos planes

diseñados teniendo en cuenta el sec-

tor al que se dirigen.

Gracias a la diferenciación entre

sectores y subsectores de estos pla-

nes, no todas las infraestructuras crí-

ticas tendrán el mismo tratamiento.

Dependiendo del sector al que per-

tenezcan, se favorecerá el desarrollo

de unas u otras iniciativas, a fin de

responder a los riesgos específicos

del sector, determinar los patrones de

ataque específicos y desarrollar con-

tramedidas concretas que fortalezcan

los sistemas y les proporcionen una

resiliencia aún mayor.

Para finalizar, se podría decir que

las infraestructuras críticas han vivido

hasta ahora en una espiral de comodi-

dad sin ser conscientes de la amenaza

creciente de los ciberataques. Ataques

como BlackEnergy han demostrado

que los ciberataques pueden llegar

a causar los mismos efectos que un

ataque físico a las instalaciones o un

fallo humano en la planta. Este tipo de

ataques sirven para que las empresas

abandonen su estado de tranquilidad

y se den cuenta de que una persona,

a una distancia de miles de kilómetros,

puede llegar a ser capaz de ejecutar

código malicioso o robar datos de

carácter clasificado.

Al igual que las infraestructuras críti-

cas, la normativa también ha de evolu-

cionar y adecuarse a la realidad del

momento, incluyendo nuevas reco-

mendaciones, recogiendo matices,

identificando nuevas amenazas, etc.

A

rtículo

PIC

monográfico

1 28 29 30 31 32 33 34 35 36 37 38 39 76  FlippingBook