Seguritecnia 450

200 SEGURITECNIA Febrero 2018 Artículo Técnico tegral en los que se desarrollen lazos de relación de estos ámbitos, lo que supone un avance importante. En este sentido, y aunque de dife- rente forma, otras regulaciones tam- bién apuestan por el carácter integral de la seguridad. Es el caso de la direc- tiva europea NIS sobre las medidas de seguridad de las redes y sistemas de información y el Reglamento General de Protección de Datos comunitario – que, evidentemente, precisan de una coordinación más estrecha en las orga- nizaciones para poder maximizar ac- tuaciones y no caer en duplicidades–, así como el futuro Reglamento de Se- guridad Privada. Evidentemente, las compañías tie- nen estructuras organizativas muy dis- tintas, pero normalmente los ámbitos de seguridad física y lógica correspon- den a direcciones o departamentos diferentes y la relación entre ambos mundos hay que trabajarla de acuerdo a las posibilidades que cada organiza- ción pueda proponer. Eso sí, con independencia de las ca- racterísticas particulares de cada enti- dad, estas estructuras organizativas no pueden ser un freno a la tendencia de ampliar nuestras miras y mejorar la se- guridad de la empresa. Plan director Para optimizar esta convergencia hay que empezar por desarrollar un plan director que nos marque el camino a seguir y que cada uno deberá adap- tar a sus características, pero conside- rando, entre otros, los aspectos detalla- dos a continuación: Organización. Es imprescindible que se defina un marco de gobierno que estructure cla- ramente los roles y responsabilidades en cada ámbito para clarificar tanto las actuaciones como el alcance y, lo más importante, para asegurar que se lle- gan a cubrir todos los campos de la se- guridad. En referencia a los aspectos organi- zativos, es necesario definir con más claridad la responsabilidad de seguri- dad dentro del mundo de los sistemas productivos o de operación, puesto que en muchas organizaciones estas actividades están poco definidas o lo están pero sin una clara segregación de funciones de la responsabilidad propia de operación. Además, la organización que se de- fina en este ámbito deberá favorecer y garantizar que se comparta informa- ción y que se genere una misma visión de los riesgos de la compañía y de su seguridad. Marco de gestión. El marco de gestión deberá incorporar los procedimientos de actuación que han de cubrir todos los ámbitos y que tendrán que aportar un modelo inte- gral y estructurado. Este marco es fundamental porque debe representar todos los dominios de seguridad de la organización. En este sentido, existen múltiples marcos de gestión que engloban una definición precisa de qué es lo que es necesario contemplar a la hora de ha- blar de seguridad en cada ámbito (fí- sico, de sistemas de información y de sistemas operacionales o productivos), pero el desafío está en que los mode- los verdaderamente integrales de se- guridad todavía son muy inmaduros. Por ello, cada organización deberá es- forzarse en desarrollar un modelo in- tegral que homogenice los existentes. Operación y monitorización de la seguridad. La operación de la seguridad, tanto en lo relativo a la operación de los dis- positivos o elementos de seguridad como a la gestión de sus configura- ciones, es un tema a considerar. Ac- tualmente, este aspecto operativo está muy separado de los diferentes acto- res de la seguridad, pero si lo unimos al mundo de la monitorización surgen cla- ras oportunidades. Estas labores de operación, e incluso la monitorización de eventos para anti- cipar incidentes, han evolucionado en La interconexión facilita muchas sinergias, pero también provoca la aparición de vectores de ataque y nuevos riesgos de seguridad