Seguritecnia 366

SEGURITECNIA Julio - Agosto 2010 59 cionadas con las CI a nivel nacional, así como el punto de contacto a nivel in- ternacional en la materia. Según la definición anterior, es evi- dente englobar en esta categoría a sectores como el de la energía, las te- lecomunicaciones, el transporte, sis- tema de abastecimientos y salud, en- tre otros. Si bien la directiva, en su es- tado actual, establece en su artículo 3.3 que los sectores que se tendrán en cuenta a efectos de su ejecución se- rán los de la energía y el transporte, queda abierta su revisión para la inclu- sión de todos aquellos sectores estra- tégicos que puedan ser de mayor inte- rés en el futuro. Dentro de este panorama, que so- brepasa fronteras geográficas y juris- diccionales, emerge una nueva su- per-infraestructura procedente de la convergencia, por una parte de las in- fraestructuras de diversos sectores in- dustriales y, por otra, de las comunica- ciones por Internet, los mercados y el comercio electrónico. A esto hay que añadir que, según puntualiza la Comi- sión Europea, algunos elementos crí- ticos en estos sectores no son ‘infraes- tructuras’ en sentido estricto, sino re- des o cadenas de suministro que dan soporte a la entrega de productos o servicios esenciales. Las infraestructu- ras de información, que dan sustento a muchos de los elementos de las Infra- estructuras Críticas ya mencionadas, se denominan Infraestructuras Críticas de Información (CII). Independientemente de la defini- ción de infraestructura crítica (en ade- lante CI-CII), surge la necesidad de una gestión comunicativa y eficaz ante las nuevas y cambiantes amenazas. La protección de las CI-CII debe abor- darse mediante una metodología in- tegral basada en los paradigmas men- cionados, que pueda utilizarse en una amplia gama de CI-CII y que permita una evaluación continua y la aplicación de procedimientos de certificación. Como consecuencia de toda esta complejidad, la Unión Europea quiere impulsar un marco común que incluya objetivos y metodologías consensua- das a efectos, por ejemplo, de compa- ración e interdependencia, así como el intercambio de mejores prácticas y la utilización de mecanismos de control. Entre los elementos propuestos para formar par te de este marco común cabe incluir: ▪ Principios comunes en materia de Protección de Infraestructuras Críticas. ▪ Códigos/normas consensuadas. ▪ Definiciones comunes de partida que evolucionen a definiciones específicas para cada sector. ▪ Un catálogo de clasificación sectori- zado de infraestructuras críticas. ▪ Ámbitos prioritarios para la Protección de Infraestructuras críticas. ▪ Descripción de las responsabilidades de los agentes interesados. ▪ Instrumentos de evaluación acorda- dos. ▪ Metodologías para la comparación y el establecimiento de prioridades en- tre infraestructuras de diferentes sec- tores. El enfoque La protección de las infraestructuras críticas debe ser abordada desde una corresponsabilidad entre los sectores públicos y priva- dos, articulando la protec- ción en los dominios físico y lógico mediante la tecno- logía y el desarrollo de es- trategias y mecanismos de operación y evaluación que permitan afrontar los inci- dentes de forma eficiente y eficaz. Este enfoque conlleva implícito, al menos, el siguiente grupo de acciones: ▪ Identificar las interdependencias en las infraestructuras y los efectos cas- cada que puedan producirse, a la vez que se controla la creciente interac- ción de las redes de control operacio- nal mediante los sistemas de TI. ▪ Priorizar los niveles de seguridad y los servicios mínimos fundamentándose en el oportuno análisis de riesgos. ▪ Articular una respuesta coordinada, ya que, ante una amenaza compar- tida, aparece el concepto de res- puesta compartida y esto no es posi- ble sin una estrecha colaboración. La colaboración obliga a sistematizar y a reglamentar el tipo de información que se puede transferir desde un go- bierno a un determinado sector pri- vado y viceversa. Para afrontar la protección de las CI y sus sistemas de información, hay que tener en cuenta la necesidad de ali- neación, convergencia y sinergia en- tre los diferentes componentes del go- bierno corporativo existentes en cada organización (ver Figura 1). Esto último conlleva establecer una metodología que proporcione los mecanismos de protección, detección y comunicación adecuados desde una perspectiva de gestión de la seguridad integrada, que incluya tanto la seguridad física como la ciberseguridad y que tenga como palanca de apoyo la gestión de los riesgos que las afectan. Otro aspecto de la protección inte- gral de la CI debe ser la capacidad de gestionar la interoperabilidad, es de- cir, las comunicaciones y relaciones con el resto de infraestructuras y terce- ros interesados. Se debe establecer un marco de gestión, basada en la estan- Figura 1. Alineamiento de los componentes del gobierno corporativo y TI en la organización.