Seguritecnia 366

SEGURITECNIA Julio - Agosto 2010 49 ▪ Detección: para detectar de forma temprana el inicio de un ataque, tanto combinado como procedente de un único vector, que nos permita activar rápidamente los mecanismos de res- puesta y reaccionar ante dicho ataque. ▪ Respuesta: para minimizar el impacto que puede suponer un ataque y limi- tar sus consecuencias. ▪ Recuperación: para garantizar una rá- pida recuperación del funcionamiento de la infraestructura crítica. Pero no sólo es necesario disponer de metodología, procedimientos y tecnolo- gía, sino también disponer de un equipo de personas multidisciplinar que, con una visión corporativa de la Seguridad, sea capaz de verla y gestionarla como un proceso más del negocio, imprescindi- ble para la continuidad de las operacio- nes, en el que se contemplan de manera conjunta e interrelacionada todos los as- pectos de la Seguridad, sea cual sea su apellido (física, lógica, etc.). En resumen, un equipo humano con la visión de la “Convergencia de la Seguridad”. S es el campo de trabajo que asume este subcomité: ▪ “El campo de aplicación afecta a todas las instituciones, organismos y empre- sas, bien del ámbito público o privado, que operen, presten o proporcionen servicios críticos, y a todos los secto- res que deban proporcionar, o deseen comprometer, una apropiada capaci- dad de recuperación -en tiempos pre- viamente acordados tras una interrup- ción debida a un evento de alto im- pacto- de los servicios prestados al conjunto de la sociedad, facilitando así una apropiada puesta en práctica de los objetivos perseguidos por la Direc- tiva Europea 2008/114/CE”. Igualmente, es necesario disponer de la tecnología adecuada para implantar medidas de protección, tanto de pre- vención como de detección, de res- puesta y de recuperación necesarias: ▪ Prevención: para minimizar la probabi- lidad de que la amenaza se materialice y para evitar que el ataque tenga éxito. neral de riesgos donde se contem- plen las vulnerabilidades y amenazas potenciales, tanto de carácter físico como lógico, que afecten al sector o subsector en cuestión en el ámbito de la protección de las infraestructu- ras estratégicas”. Creo que, después de la lectura de los puntos del borrador, no queda ninguna duda de que la única forma de desarro- llar y ejecutar tanto los Planes Estratégi- cos Sectoriales como los Planes de Se- guridad de los Operadores, es aplicar el paradigma de la “Convergencia de la Seguridad”. Configuración global Para realizar un análisis de riesgos, tal como indica el citado borrador de RD, se debe hacer de forma que “contemple de una manera global tanto las amena- zas físicas como lógicas”. En consecuen- cia, es necesario disponer de una meto- dología que lo permita, que esté prepa- rada para analizar todas las amenazas a las que está expuesta la infraestructura crítica, de forma conjunta, independien- temente del origen y naturaleza de di- chas amenazas, teniendo en cuenta la posibilidad de que exista un ‘ataque combinado’. La posibilidad real y la ma- terialización de un ataque de este tipo puede causar un impacto sobre el fun- cionamiento de la infraestructura crítica muy superior al que causaría un ataque que provenga de un solo vector. La necesidad de disponer de una me- todología y de unos procedimientos aplicables a la protección de las Infra- estructuras Críticas ha sido el origen de que AENOR halla tomado la inicia- tiva de crear el subcomité CTN 196/SC1 “Continuidad de infraestructuras y servi- cios críticos”, del que es vicepresidente el director del Centro Nacional de Pro- tección de Infraestructuras Críticas (CN- PIC). En él participan representantes de las administración públicas, de entida- des públicas y privadas, colegios profe- sionales, universidades y asociaciones empresariales, con competencias e in- tereses relacionados con la protección de las IC. Exponemos textualmente cuál Es necesario un equipo multidisciplinar, que gestione la seguridad como una parte más del negocio