seguritecnia 447

117 SEGURITECNIA Noviembre 2017 ARTÍCULO TÉCNICO Protección de Infraestructuras Críticas y Estratégicas Lo fundamental en la implantación de un SOC es reunir a los técnicos y las he- rramientas que realmente se necesitan para soportar la seguridad informática que la actividad de negocio requiere en nuestras infraestructuras críticas. Solo de esta forma nuestro objetivo se verá cumplido. En las infraestructuras críticas es muy recomendable realizar un análi- sis de riesgos una vez al año como mí- nimo, o bien cuando se haya producido una vulnerabilidad grave en la seguri- dad y cada vez que se cambie el pres- tador del servicio en caso de que se tu- viera externalizado. Con una buena pre- vención se puede detectar con mayor eficacia una amenaza y reaccionar con una respuesta también eficaz. En resumen, para gestionar una in- fraestructura crítica y sus vulnerabilida- des mediante un SOC, es necesario iden- tificar los servicios esenciales prestados por las empresas y, sobre todo, a la socie- dad por los determinados como sectores estratégicos y críticos, su funcionamiento, las principales amenazas y sus principa- les vulnerabilidades desde el punto de vista físico y lógico de las infraestructuras frente a cualquier tipo de amenaza. Si so- mos capaces de hacer esta identificación, tendremos bajo control los problemas de seguridad y nuestros sistemas trabajarán con altas garantías de éxito. S Que nuestras infraestructuras críticas estén bajo el paraguas de un SOC nos dará una serie de ventajas y sólo la com- binación de conocimientos, herramien- tas, procesos y desempeños pueden proporcionar la seguridad que necesita cada entorno. Hay que saber y hay que estar organizado en la defensa de nues- tros sistemas ante ataques externos. En- tender e implementar la seguridad sim- plemente como una característica más con la que se tiene que operar los servi- cios y recursos aporta poco a la tranqui- lidad que necesita el funcionamiento de las tecnologías de la información. La estrategia de defensa en materia de ciberseguridad en infraestructuras críticas no debe de plantearse como un proceso independiente dentro de la actividad del área de la información. No es algo más que haya que tener en cuenta cuando se opera el sistema. Solo adoptando la seguridad como un proceso integrado se puede tener una perspectiva de conjunto sobre las ne- cesidades de seguridad, los riesgos y amenazas a las que realmente hay que enfrentarse, los controles que se les ha de confrontar, la monitorización de su eficacia y, lo que es también muy im- portante, estimar los recursos técnicos, humanos y económicos que hay que dedicarle. sus sistemas. Con alertas, identificación de actividades sospechosas y la inves- tigación forense, se obtendrá una visión de conjunto de los riesgos de ciberse- guridad real. Así, el SOC es el centro neurálgico de toda infraestructura crítica, pero debe- mos diferenciarle entre dos tipos: SOC emplazado en la propia infraestructura crítica y SOC remoto o externalizado. En ambos casos, la recopilación de la información de las arquitecturas es pri- mordial y debe de contemplarse que el flujo de información esté garantizado y securizado durante su transmisión. En el caso de gestión remota de nuestras infraestructuras críticas, de- bemos de atender a la seguridad de los sistemas de transmisión. En el caso de transmisión de datos mediante tecnología de fibra óptica, los datos deberán de ser encriptados utilizando algoritmos del tipo Aes Fips 197 fun- cionando con claves de 256 bits . Ade- más, debería de existir un cambio au- tomático frecuente de claves, infe- rior a un minuto, mediante algoritmos de intercambio de claves teniendo en cuenta que nunca se debe de pau- sar la comunicación. Otro punto im- portante es que hay que garantizar la autenticación segura extremo a ex- tremo entre el harware de los com- ponentes encriptadores, impidiendo cualquier tipo de suplantación o ata- ques man in the middle . Requerimientos El SOC en la gestión de la seguridad de las aplicaciones críticas alojadas en su infraestructura debe de cumplir una serie de requerimientos: monitorizar la seguridad de los servicios críticos, gestionar las vulnerabilidades, alerta temprana, gestionar las incidencias de seguridad, crear bases de datos de co- nocimiento de resolución de las inci- dencias, análisis de malware , análisis de dispositivos, proveer de servicios de ci- berinteligencia, adaptarse a requisitos especiales de seguridad y ser fuente de conocimiento.