especial

red seguridad primer trimestre 2016 35

de acciones y políticas para proteger

su seguridad.

Un caso particularmente importante

a tener en cuenta son las infraes-

tructuras tradicionales. Estos activos

plantean una serie de problemas de

seguridad, tanto para los gobiernos

como para las organizaciones que los

explotan u operan comercialmente. En

la mayoría de los casos, fueron cons-

truidos de acuerdo con los estándares

de seguridad de hace décadas, sin

tener en cuenta los riesgos actuales, y

tienen una gran cantidad de vulnerabi-

lidades. Además, la destrucción o los

daños en una pequeña proporción de

estas infraestructuras pueden causar

consecuencias económicas y sociales

graves.

Finalmente, ante la economía inter-

conectada de la que formamos parte,

es particularmente importante entender

las relaciones causa-efecto, así como

las consecuencias en cascada de un

evento adverso a nivel internacional.

Inteligencia y gestión de información

Es necesario compartir inteligencia e

información sobre amenazas y vulne-

rabilidades de forma continua entre

los diferentes actores. Para que este

intercambio funcione, son necesarios

acuerdos y protocolos estables entre

industria y gobierno.

La concienciación del ciudadano y del

empleado tiene gran importancia a la

hora de detectar situaciones anómalas

que puedan conllevar riesgos y facilitar

una acción rápida.

Soluciones y niveles de protección

La seguridad total requiere un coste

infinito. Por ello, la gestión de recursos,

que van a ser siempre limitados, y

ubicarlos donde son más necesarios

es de gran importancia. Dado que las

amenazas actuales tienen un elevado

nivel de complejidad y variedad, es

recomendable establecer una segu-

ridad por niveles, en función de los

criterios anteriores.

Una solución de protección requiere

una cobertura de todas las posibles

amenazas, y generalmente el uso de una

combinación de productos y servicios.

Los diferentes niveles de protección

pueden entregarse mediante una com-

binación de productos y capacidades,

idealmente orquestadas bajo un único

sistema. Esta orquestación permite ase-

gurar una acción coordinada, y facilita la

automatización de las acciones.

Las soluciones de protección necesi-

tan ser evaluadas y auditadas de forma

periódica. Asimismo, es necesario eva-

luar su coste tanto de implementación

como de mantenimiento.

Actuación a dos niveles:

Respuesta o acción inmediata:

La

respuesta a amenazas se refiere a

las acciones tomadas inmediatamen-

te antes, durante o inmediatamente

después de un evento adverso. Estas

acciones están diseñadas para:

Ω

Prevenir o reducir al mínimo la

pérdida de vidas, lesiones, daños

a la propiedad y daños a la infra-

estructura.

Ω

Facilitar la investigación de la amena-

za o acto, incluido el procesamiento

de los delincuentes si procede.

Ω

Asegurar que a las personas afecta-

das por la amenaza o acto se les da

un alivio inmediato y apoyo.

Un aspecto a tener en cuenta en la

respuesta es la gestión de la comuni-

cación y las relaciones públicas, para

facilitar la colaboración de los diferentes

agentes y minimizar la incertidumbre.

Recuperación:

Es el proceso de

apoyo a las comunidades afectadas

por el desastre en la reconstrucción

de la infraestructura física, así como

la restauración del bienestar emocio-

nal, social, económico y físico. En

este aspecto, es importante estimar la

capacidad de recuperación a todos los

niveles, y el tiempo y coste de recupe-

ración.

Tanto en la respuesta como en la

recuperación, es importante que en

el marco de la colaboración público-

privada haya una distribución de roles,

tareas y responsabilidades claramente

definida.

Recomendaciones

Desde IDC, presentamos las siguientes

recomendaciones:

ARTÍCULO

Fomentar la coordinación entre los

organismos públicos, propietarios u

operadores de infraestructuras críticas,

en el marco de un plan conjunto que

incluya intercambio de inteligencia e

información, planes de colaboración y

contingencia, así como definición de

roles y responsabilidades. En España,

esta coordinación debe llevarse a cabo

a nivel de las diferentes capas de la

Administración, así como en colabo-

ración con organismos y entidades

internacionales.

Promover activamente la creación de

acuerdos entre diferentes empresas,

tejido asociativo y organizaciones que

tengan que proteger infraestructuras

críticas, para evitar duplicación de acti-

vidades, y compartir información, mejo-

res prácticas e inteligencia de forma

continua.

Impulsar medidas de protección de

infraestructuras críticas por parte de los

gobiernos, mediante un marco regulato-

rio que asegure el cumplimiento de una

serie de normas, tanto a nivel nacional

como internacional.

Auditar de forma continua el nivel de

preparación de la organización a dife-

rentes niveles:

Ω

Evaluación de riesgos.

Ω

Capacidad de vigilancia e inteligencia

para prevenir o detectar un evento

adverso.

Ω

Prevención.

Ω

Agilidad, capacidad de respuesta y

de minimizar el impacto.

Ω

Capacidad de recuperación.

Automatizar, en la medida de lo posi-

ble, los procesos relacionadas con la

detección, identificación y respuesta a

amenazas, lo que evita errores y permite

eficiencias.

Asegurar la protección de la infor-

mación y los activos de propiedad

intelectual, desde la encriptación y la

protección frente a los ataques, hasta

la resiliencia, alta disponibilidad y recu-

peración de las infraestructuras tecno-

lógicas.

Promover un enfoque global para

abordar las preocupaciones de seguri-

dad, y explorar de forma continua las

interconexiones entre los diferentes ries-

gos y sus consecuencias

.

PIC

monográfico

A

rtículo