seguritecnia 457

72 SEGURITECNIA Octubre 2018 Protección de Infraestructuras Críticas esta forma, se pro- duciría una caída en cascada de sistemas de otros sectores es- tratégicos que no es- tuviesen protegidos mediante sistemas de suministro ener- gético alternativo. Así pues, debe- mos crear grupos de trabajo sectoria- les y multidisciplina- res para que tanto a nivel institucional e industrial, así como desde el punto de vista del usuario, permita concien- ciar de la importancia, regulación, aná- lisis, incentivo y difusión de cultura de seguridad y ciberseguridad. Hoy mismo aún no estamos concienciados, y so- bre todo, los usuarios no son conscien- tes de la repercusión y gravedad de los riesgos existentes. Por desgracia, la experiencia y las si- tuaciones pasadas nos recuerdan la existencia de cisnes negros, por lo que nos quedan muchos escenarios por ver que ni siquiera contemplamos. Por eso debemos establecer sistemas de alerta temprana llevando a cabo mecanismos de respuesta, impulsando la formación y el empleo en seguridad TIC y promo- viendo normativas de seguridad que certifiquen y acrediten la seguridad de los sistemas. Así, el análisis prospectivo y la autocrítica constante deben ser pi- lares fundamentales de la cultura de se- guridad que debemos implantar y di- fundir para reducir y mitigar los riesgos y vulnerabilidades. En Cyrasa Seguridad tenemos todo lo anteriormente mencionado muy pre- sente, siendo constantes el trabajo y la concienciación en estos aspectos. S de suministro energético, eléctrico y combustibles, telecomunicaciones, co- nexión a Internet y telefonía, servicio de salud y hospitalario, sistema de depu- ración y suministro de agua para con- sumo, transporte y sector financiero. Analizando esto podemos observar cuál es la repercusión y lo importante que es tomar conciencia para poder identificar, proteger, y detectar cual- quier tipo de ataque y poder dar res- puesta para el restablecimiento del ser- vicio en el menor tiempo posible y lo- grar que el daño y las consecuencias sean las mínimas posibles. Humildemente, considero que den- tro de lo anteriormente citado, un ata- que a una infraestructura de red de dis- tribución eléctrica es especialmente sensible. Además, considero que no es especialmente difícil de vulnerar, dado que en muchos casos los sistemas de control industrial para este sistema de redes o son obsoletos o recopilando in- formación sobre estos sistemas de con- trol más actuales por medio de un aná- lisis OSINT ( Open Source Intelligence ) nos facilitaría gran cantidad de datos que sin su debido aseguramiento [o sin la debida configuración] haría vulnerable el control de este tipo de sistemas. De tar escenarios nada agradables en infi- nidad de sectores. En España, la normativa que regula estas infraestructuras es la Ley 8/2011 de 28 de abril. Cierto es que desde su entrada en vigor se han ido estable- ciendo medidas para aumentar y me- jorar la seguridad y la resiliencia y para cumplir debidamente la mencionada normativa. Con la existencia del Plan Nacional y del Plan Sectorial, así como de los planes de protección para cada operador específico, se pretende im- plantar una cultura de seguridad en la que los diversos sectores y actores in- volucrados pongan los medios y me- didas clave que, basados en el análisis concreto de la actividad, permitan dise- ñar un plan global e integral de herra- mientas que posibiliten cualquier tipo de riesgo en función de las amenazas. Ahora bien, todas las medidas son pocas. No es suficiente con el cumpli- miento normativo. Sobre todo a nivel cibernético debemos mantenernos ac- tualizados y realizar ejercicios prospec- tivos de análisis y estudios de vulnerabi- lidades para que junto con las medidas de seguridad de carácter físico poda- mos lograr una protección integral y convergente. Si pensamos en los sistemas físicos- electrónicos, como pueden ser sistemas de videovigilancia, barreras de acceso o tornos, entre otros, todos están interco- nectados en la actualidad, y por tanto, esta ventaja hace que la mencionada infraestructura de interconexión sea uti- lizada como medio para producir o vul- nerar la seguridad de estos dispositivos, logrando una brecha de seguridad que sin la securización adecuada, lejos de mejorar, nos haría más vulnerables. Por tanto, debemos establecer me- didas técnicas y organizativas proacti- vas, así como el previo análisis de siste- mas de control industrial, dado que los ciclos de vida de estos suelen ser muy elevados, y esto es una vulnerabilidad a la que nos exponemos. Respecto a esto, si pensamos en la vida cotidiana, tenemos muchos es- cenarios que nos afectan: sistemas de control de tráfico y transporte, sistemas Todas las actividades dependen, dado que estamos en un mundo interconectado, de otro sector estratégico como es el de las TIC