1 47 Table of Contents 49 164

seguritecnia 457

48 SEGURITECNIA Octubre 2018 Protección de Infraestructuras Críticas rección. Con una Metodo- logía de Análisis de Riesgos Ágil (MARA) de la organiza- ción se podrá realizar una proporcionada gestión de la seguridad en base a los riesgos identificados, evi- tando el despilfarro de re- cursos y ordenando los procesos. Los sistemas de go- bierno, riesgo y cumplimiento deben proveer de información relevante a la dirección para que pueda ajustar las decisiones en base a los indicadores ac- tualizados que posea. Así, el modelo del Grupo SIA está basado en cuatro factores fundamentales: (tabla 1) La situación del tejido empresarial es- pañol, así como de la propia adminis- tración, requiere de un uso eficiente y racional de los recursos y de unas pla- taformas de gobierno que faciliten la toma de decisiones en base a la situa- ción real. La creación de unos proce- sos de control y gobierno que integren a todos los actores y la correcta selec- ción de las medidas de seguridad en un único repositorio serán claves para la in- novación y la digitalización de la socie- dad española. El éxito en la protección de las in- fraestructuras críticas en Endesa es la combinación de la coordinación del Grupo de Trabajo PIC, la normativa interna creada para soportar el Sis- tema PIC y el modelo de control es- tablecido. S tiendo una fácil gestión del tiempo de todas las personas incluidas, así como el detalle exhaustivo del proceso en cual- quiera de sus etapas. La información es consumida por las personas en el mo- mento que la necesitan, dedicando el menor de los esfuerzos y generando un ahorro de tiempo de más de ocho veces del empleado anteriormente. Epílogo La organización debe entender cuál es su máximo común divisor de las me- didas que debe implantar, generando un Modelo Unificado de Controles (MUC), vengan del estándar o ley que sea, para poder realizar un correcto pro- ceso de implantación. Para ello, un mo- delo como el Sistema Integrado de Ges- tión (SIG) permite a la organización es- tructurar sus procesos de control gracias a la definición de un Ciclo de Vida del Control (CVC) de la forma más eficiente para transmitir la información a la di- comprobar la idoneidad de la eviden- cia; así como de un supervisor, ya sea por parte del owner o del revisor, que pueda conocer el estado real de la cer- tificación de la medida de seguridad. El sistema lanza las peticiones de las evidencias en base a la frecuencia esta- blecida a cada uno de los owners . Estos, de forma directa a través de un correo electrónico que le llega a su equipo, móvil o tablet , pueden pinchar directa- mente en el enlace. El usuario, en me- nos de tres clics, y en la mayor parte de los casos, puede adjuntar la evidencia necesaria que satisfaga la demanda del control que debe responder. Con la misma facilidad de uso, el revi- sor validará dicha evidencia, generando la actualización automática de los da- tos en los sistemas de control que infor- man verazmente y de forma online a los supervisores. El modelo permite la automatización de los flujos de información permi- La creación de un SIG, que es el máximo común divisor de todos los principales sistemas de gestión existentes (ISO 22301, ISO 27001, Esquema Nacional de Seguridad, ISO 9000, ISO 14000, etc.). La creación de un MUC, que es el máximo común divisor de todos los principales estándares y leyes existentes en el mundo de la seguridad (ISO 27002, Esquema Nacional de Seguridad, Reglamento General de Protección de Datos, Directiva NIS, Ley de Protección de Infraestructuras Críticas, etc.). La implantación de un CVC, que es el proceso por el cual todos los actores encargados –de una u otra forma– de la implantación de un control puedan colaborar de forma activa y ordenada en el ciclo de vida de su deœnición, implantación y gestión. La utilización de una MARA basada en el activo para que, de forma ágil y sin complicadas herramientas de riesgo que ralentizan el proceso, pero de forma totalmente admitida por los principales estándares internacionales y la legislación española, se pueda obtener, de forma priorizada al riesgo, el conjunto de salvaguardas necesarias para proporcionar la seguridad a la realidad de la organización. Tabla 1

RkJQdWJsaXNoZXIy ODM4MTc1