1 63 Table of Contents 65 116

Seguritecnia 464

64 SEGURITECNIA Mayo 2019 Opinión tegoriza a su vez en diferentes sec- ciones que hacen referencia a distin- tas áreas, actividades y capacidades propias de la dimensión en cuestión que se está evaluando. En la dimen- sión de ciberseguridad los controles y medidas seleccionadas se categori- zan en 14 secciones que permiten cu- brir totalmente las distintas áreas con- sideradas por las regulaciones y nor- mativas de seguridad informática de referencia consideradas (gestión de la seguridad de información, resilien- cia, controles de red o cumplimiento, entre otros). Para facilitar la compren- sión del resultado obtenido del diag- nóstico desarrollado para cada una de las secciones que afectan a la dimen- sión de ciberseguridad, los resultados se presentan también gráficamente. En el gráfico 2 se puede observar un ejemplo del resultado que se obten- dría (el paso de 14 a 10 secciones se debe a que en algunos casos no apli- can todas). Este ejemplo es extrapolable a cada una de las demás dimensiones evalua- das. En la dimensión de funcionalidad del sistema de seguridad administrado se consideran controles específicos para cada uno de los subsistemas de seguridad (detección de intrusión, con- trol de accesos o circuito cerrado de televisión, entre otros), mientras que en la dimensión de operación se tie- nen en cuenta controles que evalúan, por ejemplo, la gestión de incidentes y operativa de los distintos operadores del centro de control de seguridad. Por último, en la dimensión de medidas de seguridad física se evalúan tanto las medidas de protección empleadas para proteger la instalación del centro de control, como medidas adicionales que consideran la calidad y el diseño ergonómico tenidos en cuenta. Fase de Especificación de Medidas Correctoras: En la segunda etapa se especifican las medidas correctoras en base al Plan de Actuación desarrollado en la fase ante- rior de auditoría. En este plan se esta- blece la priorización, la importancia y el planteamiento a seguir para conse- guir un nivel adecuado en cada una de las dimensiones estudiadas. La especificación de medidas co- rrectoras tiene la finalidad de permi- tir que el cliente pueda llevar a cabo una fase de petición de ofertas de los suministros y servicios necesarios para dotarse de las medidas correctoras re- comendadas, ya sea como petición interna al departamento correspon- diente del cliente o a empresas exter- nas correspondientes de cada especia- lidad. Desde Inerco Security se apoyará en todo momento al cliente en la fase de ejecución e implementación de di- chas medidas para que se cumpla con las especificaciones definidas. Los suministros y servicios especifi- cados que no sean característicos de consultoría podrán ser prestados por empresas especializadas de servicios de ciberseguridad externas o prestarse directamente por servicios internos del propio cliente. Servicios relacionados Como labor de consultoría adicional que ofrecemos para complementar el servicio del CBSF, proponemos la mo- nitorización continua del sistema me- diante la revisión del cumplimiento del plan de trabajo a partir de la realiza- ción de auditorías periódicas (anuales o semestrales) que permitan al cliente conocer en todo momento la evolu- ción y mejora del estado de cada una de las dimensiones evaluadas en fun- ción de la implantación de las diferen- tes medidas correctoras especificadas que son llevadas a cabo. Por otro lado, una vez obtenido un nivel adecuado de ciberseguridad apoyamos y acompañamos al cliente, si así lo requiere, en procesos de certi- ficación de la seguridad implantada en diferentes organismos de certificación nacionales o internacionales. Adicionalmente, desde Inerco Secu- rity ofrecemos otros servicios relacio- nados como revisiones en legal com- pliance y realización de análisis de ries- gos tanto físicos como lógicos. Necesidad Como hemos visto, la aparición de las nuevas amenazas informáticas que afectan directamente a los sistemas que ya no se encuentran aislados y que permiten la operación y gestión de los centros de control de seguridad tiene varias consecuencias. Es necesario cambiar la mentalidad actual en cuanto a los requerimien- tos que han de tenerse en cuenta durante el diseño e implementación de estos centros. Se precisa evaluar consecuente- mente el estado de la ciberseguri- dad de los sistemas físicos, los cua- les se han convertido en un flanco abierto para los ciberdelincuentes que podrían explotar las distintas vulnerabilidades de estos sistemas y, por tanto, causar incidentes graves en infinidad de instalaciones. Referencias 1. Bilbao, E. (octubre, 2018): “Cibersegu- ridad de los sistemas de seguridad fí- sicos: un flanco abierto”. Seguritecnia , nº 457 (p 64-66). 2. Carpio, M. (febrero, 2019): “Los cen- tros de control de seguridad en la próxima guerra híbrida” . Seguritecnia , nº 461 (p 50-51). S La principal vulnerabilidad y el origen de otras que explotan las amenazas es, en muchos casos, la no existencia de un administrador del sistema informático

RkJQdWJsaXNoZXIy MzA3NDY=