Blindar las infraestructuras críticas, aquellas necesarias para prestar los servicios básicos a la sociedad y para el funcionamiento de la Administración, se ha convertido en una necesidad. En España, en el año recién terminado, se ha aprobado una ley que obliga a los operadores de este tipo de instalaciones a poner en marcha planes concretos para proteger sus activos de ataques físicos y cibernéticos. Indra ha sido una de las compañías que han participado en el grupo de trabajo que ha elaborado la regulación de estos planes.
Indra ha contribuido dentro del Grupo Informal de Protección de Infraestructuras Críticas (GIPIC) a elaborar los requisitos de estos planes. El GIPIC está liderado por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), dependiente de la Secretaría de Estado de Seguridad (SES) del Ministerio del Interior.
El director de Protección de Infraestructuras Críticas en Indra, Antonio González Gorostiza, da las claves para entender este proyecto y cómo se desarrolla.
Portaltic: ¿Qué es una infraestructura crítica?
Antonio González Gorostiza: El Plan Nacional de Protección de Infraestructuras Críticas las define como “instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría mayor impacto en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”.
P: ¿Qué infraestructuras necesitan protección en nuestro país?
AGG: La ley instrumenta el Catálogo Nacional de Infraestructuras Estratégicas para la recopilación ordenada y sistemática de la información de las principales infraestructuras de España, en el que se incluyen 3.500 instalaciones. Indra ha desarrollado para el CNPIC el sistema dedicado a la gestión del catálogo. Este sistema ha sido certificado conforme a la norma internacional ISO/IEC 15408 de Common Criteria.
P: ¿Qué exige la nueva ley en materia de seguridad a estas infraestructuras?
AGG: La reciente legislación establece que las empresas, organizaciones o instituciones designadas como operadores críticos están obligadas a la elaboración de sendos instrumentos de planificación: los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE).
Asimismo, prevé que los operadores críticos nombren un Responsable de Seguridad y Enlace y un Delegado de Seguridad por cada una de las infraestructuras críticas identificadas e insta por primera vez a las empresas a abordar la seguridad desde una perspectiva integral para que contemplen equiparar en sus planes de seguridad la amenaza cibernética a la vez que los riesgos tradicionales de carácter físico.
P: Recientemente el Ministerio de Interior ha publicado unas guías de obligado cumplimiento en materia de seguridad ¿En qué consisten?
AGG: Estas guías, elaboradas por el GIPIC, se han planteado para orientar y ayudar a los operadores críticos en la elaboración del PSO y de los PPE. Pretenden formular recomendaciones y referencias de seguridad para la correcta aplicación de los mencionados planes, no sólo para los operadores de Infraestructuras Críticas sino para todas aquellas organizaciones que las consideren de utilidad para incrementar las medidas de seguridad de sus activos.
P: ¿Qué planes de seguridad van a ponerse en marcha?
AGG: La legislación establece los agentes que forman parte del Sistema de Protección de Infraestructuras Críticas así como un conjunto de planes que estos agentes, públicos y privados, deben cumplir como son: el Plan Nacional de Protección de las Infraestructuras Críticas, los Planes Estratégicos Sectoriales, los Planes de Seguridad del Operador, los Planes de Protección Específicos y los Planes de Apoyo Operativo.
P:¿Cuáles son los riesgos potenciales a los que se exponen? ¿Qué tipo de acciones deberán ponerse en marcha para contrarrestarlos?
AGG: Después del 11-S, los ataques terroristas han acortado distancias. Por otro lado, el crimen organizado cuenta con medios cibernéticos que antes no formaban parte de sus “capacidades”, y hay que considerar un nuevo perfil de atacante: los “ciberactivistas”. Esto hace necesaria la mejora y el desarrollo de nuevas medidas de seguridad y tecnologías, así como el refuerzo de la organización y el entendimiento de todos los integrantes del sistema de protección.
P: ¿Qué papel juega la tecnología a la hora de reducir riesgos? ¿Qué tipo de soluciones se han desarrollado en Indra?
AGG: La tecnología sola no puede salvarnos; es un medio tanto para proporcionar el servicio esencial como para protegerlo y no un fin en sí misma, debe considerarse como un vector de potenciación de la actividad y de los recursos empleados en asegurar la continuidad del servicio prestado.
Indra ha desarrollado una solución completa para la Protección de Infraestructuras que incluye sistemas aplicables tanto en el ámbito de la protección física como de la Ciberseguridad y la Ciberdefensa, sin olvidar la formación y concienciación de las personas y la generación y puesta en práctica de procedimientos y planes
Indra utiliza tecnología propia para lo cual invierte en I+D+i el 8% de sus ventas. Indra ha desarrollado soluciones de Visualización 3D, Centros de Control de Seguridad Integral (Fisíca y Lógica), Simulación, Detectores de Radioactividad y Explosivos, Comunicaciones Seguras, Centros de Alerta Temprana contra Incidentes Informáticos CERT -CSIRT, Herramientas de Información e Inteligencia, etc.
P:¿Los ataques cibernéticos van en aumento? ¿Son una realidad también en nuestro país
AGG: Las posibilidades de ciberataques que antes eran accesibles para unos pocos, ahora están al alcance de personas que utilizan herramientas y módulos tecnológicos de dominio público.
Aquí en España, según los datos que maneja el Centro Criptológico Nacional, son más de 80 los ciberataques producidos en 2010 en administraciones e instituciones clave, un 50% más que en el año anterior.
P: ¿Cómo pueden reducirse este tipo de ciberataques, qué medidas se tomarían para ello?
AGG: En este tipo de ataques hay un alto componente tecnológico; aunque la seguridad es un proceso dentro del cual las personas juegan el papel preponderante, es necesario ser conscientes del adversario al que nos enfrentamos y las medidas de protección que debemos aplicar.
Una vez producido el ataque debemos ser capaces de reducir su impacto por lo que es necesario tener preparada una respuesta que permitan tanto minimizar el daño como aprender la lección y mejorar. La formación y concienciación debe ser uno de los focos principales en la construcción de la protección a la que habría que añadir las innovaciones de nuevas medidas y elementos tecnológicos que cubran el vacío actual y sean flexibles para ajustarse a los cambios de las amenazas y modelos de ataque.
P: ¿Qué medidas deberían tomarse desde los gobiernos para solucionar este tipo de ataques?
AGG: Sería muy útil la creación de organismos de cooperación nacionales e internacionales que de una forma efectiva puedan prestar apoyo para gestionar la crisis y de ser necesario proporcionar una respuesta, a la vez que faciliten la preparación de simulacros y mantenimiento de centros experimentales y de prueba.
Un paso en este sentido es la aparición de centros de respuesta ante incidentes (CERT). Indra ha colaborado con el INTECO para arrancar y operar el CERT que ayuda a PYMES y ciudadanos, así como el Centro de Respuesta a Incidentes Informáticos de Andalucía.
Fuente: eleconomista.es
Artículos relacionados
Etiquetas: nuevas tecnologías, proteccion contra ataques, seguridad física y cibernética