1 79 Table of Contents 81 188

seguritecnia 447

80 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas los procedimientos que tienen que lle- var a cabo, hasta el punto de que, en determinadas ocasiones, han optado por gestionarlos ellos internamente. De hecho, llevar unos tres años como operadores críticos ha acrecentado la seguridad de sus responsables con res- pecto a lo que deben hacer en cada caso para cumplir la normativa. Donde se encuentran más indefen- sos, según confesaron los propios re- presentantes de estas organizaciones en la reunión, es a la hora de imple- mentar tecnología en sus infraestruc- turas industriales, porque se encuen- tran a expensas de sus proveedo- res tecnológicos. Las soluciones que van apareciendo en el mercado son a veces complicadas de adaptar e im- plementar en sistemas industriales (SCADA) que, además, suelen tener muchos años, lo cual implica una gran inversión económica. Sin embargo, en ciertos casos eso se convierte en una obligación, puesto que todavía pre- valecen en las instalaciones muchos equipos obsoletos, con actualizaciones complejas y sistemas anticuados que complican su mantenimiento y ges- tión. Por ello, los directivos demanda- ron a los proveedores una mayor res- ponsabilidad a la hora de desarrollar esta clase de dispositivos y equipos. Para finalizar, se destacó la importan- cia de que las empresas participen en proyectos europeos dentro del marco Horizonte 2020, puesto que permiten obtener una vía de financiación adi- cional, aunque no cubran todos los gastos que requieren los proyectos relacionados con el ámbito de la ci- berseguridad. S son ellas quienes responden en caso de incidente en las infraestructuras ener- géticas distribuidas por todo el país. Y es que, según algunos operadores, de- berían existir también procedimientos de comunicación consensuados para relacionarse con cada cuerpo de seguri- dad específico, dependiendo de la ubi- cación y los requerimientos de una de- terminada instalación energética. No obstante, y a pesar que todavía hay que avanzar en algunos aspectos específicos, todos los asistentes coin- cidieron en calificar de alto su grado de satisfacción con la Administración y las FCS. Consultoras y proveedores El bloque final de la reunión se en- focó hacia el apoyo externo que es- tán recibiendo las empresas del sec- tor para ayudarles a cumplir las accio- nes que tienen que llevar a cabo por el hecho de ser designadas operado- res críticos por parte del CNPIC. Todas ellas decidieron apoyarse en consulto- ras externas que les facilitaran el tra- bajo de elaboración del Plan de Segu- ridad del Operador y de los Planes de Protección Específicos de sus infraes- tructuras. Sin embargo, al encontrarse entre los primeros operadores críti- cos designados por el CNPIC, la ma- yoría constató que las consultoras te- nían una metodología elaborada a la que todavía le faltaba algo de prepa- ración en torno a la implantación, así como una gran necesidad de apren- der. Ahora bien, a medida que ha pa- sado el tiempo, esta situación se ha so- lucionado; al igual que los conocimien- tos de las empresas energéticas sobre sector. Y es que, en algunos casos, se han encontrado con ciertos proble- mas de comunicación, en tanto en cuanto no sabían qué tipo de inciden- tes cibernéticos dar a conocer, a qué instituciones (CNPIC, CERTSI, Incibe…) y de qué forma. Por lo tanto, para los operadores, es preciso que la Adminis- tración siga avanzando en una línea de coordinación común que no duplique esfuerzos. De la misma forma, los presentes va- loraron muy positivamente las reunio- nes periódicas que se celebran con presencia de todos los operadores de infraestructuras críticas designados en este sector. De hecho, eso también les está sirviendo para unir lazos con res- ponsables de otras empresas de la in- dustria en situación parecida y crear un diálogo mutuo y fluido muy efectivo en determinadas situaciones. Precisamente, una que destacaron especialmente los asistentes a la reu- nión, fue el incidente del WannaCry el pasado mes de mayo. A su juicio, fue una prueba de fuego real que les per- mitió conocer cómo habían avanzado en su preparación frente a los ciberata- ques durante los últimos años y com- probar el grado de adecuación a los planes que establece el CNPIC. En ge- neral, el resultado para todos fue gra- tamente positivo, a pesar del carácter malicioso del ataque. Sí es cierto que muchos de los pre- sentes echaron en falta un grado más de comunicación por parte del CN- PIC, porque vivieron momentos en los que no se sabía muy bien qué estaba pasando y, por tanto, no tenían argu- mentos para activar los mecanismos de prevención necesarios. En cual- quier caso, la existencia de este cibe- rataque les ayudó a mejorar su res- puesta ante incidentes y a potenciar la comunicación con la Administra- ción, así como con el resto de compa- ñías de esta industria. De igual forma también se hizo hin- capié en la necesidad de estrechar rela- ciones con las distintas Fuerzas y Cuer- pos de Seguridad, en tanto en cuanto Gracias a su designación como operadores críticos, las empresas del sector han avanzado internamente hacia una gestión integral de la seguridad SECTOR ENERGÍA

RkJQdWJsaXNoZXIy MTI4MzQz