Seguritecnia 378

SEGURITECNIA Septiembre 2011 51 Protección de Infraestructuras Críticas gradual en función del nivel de riesgo existente en cada momento y cuyo grado de granularidad permita una comprensión del funcionamiento de los servicios, así como las interrelacio- nes entre activos y servicios. ¿Cómo debería plantearse un res- ponsable de Seguridad la organiza- ción y protección efectiva de las in- fraestructuras críticas designadas? Sin duda, la forma más coherente y pro- bablemente menos costosa, porque en muchos casos seguro que ya hay medidas implantadas, aunque quizá no homogenizadas, es un enfoque basado en la continuidad del ser- vicio esencial, tomando éste como elemento central y articulando alre- dedor del mismo los controles nece- sarios. Es por ello que los controles y medidas de seguridad deben dise- ñarse desde un tronco común y no di- ferenciarlos por su naturaleza física o lógica sino por la capacidad de aco- plamiento para una mayor defensa en profundidad. Desde esta perspectiva, hay al me- nos tres puntos importantes a la hora de llevar a cabo una mitigación de los riesgos. El primero es integrar de forma efectiva y eficiente los procesos y controles de seguridad; esta tarea, como no puede ser de otra forma, de- penderá de un sólido sistema de infor- mación que preste los servicios reque- ridos para tener la información dispo- nible inmediatamente. El segundo es la necesidad de concienciación y for- para la protección frente a ataques deliberados , pero ningún responsa- ble de Seguridad puede abandonar la visión de conjunto al hacer un análisis de riesgos. Tampoco debe olvidar que la seguridad es única, aunque tenga diferentes sabores –física, lógica, am- biental, de la información, del perso- nal, autoprotección y laboral–, ya que está en juego en muchos casos no solo la continuidad del servicio sino de la propia organización o empresa. Es por ello necesario hacer un aná- lisis de riesgos realista y dinámico que, acorde con el entorno, las medi- das y los planes ya implantados, per- mita dimensionar de forma efectiva los controles y medidas de seguridad aplicables de manera permanente o pensar que el punto de inicio de la aplicación de esta legislación es el di- seño de un marco de gobierno con una política de seguridad homogé- nea e integral , en la que exista una parte específicamente dirigida al ám- bito de las infraestructuras críticas, mediante la cual se prevean y defi- nan los subsistemas de seguridad que se van a implantar para la protección de las mismas, aprovechando en todo momento el bagaje de experiencia en seguridad requerido y existente. Esta política deberá establecer los criterios necesarios que permitan apli- car controles capaces de minimizar el riesgo, a veces dispersos en la orga- nización, aprovechándolos, comple- mentándolos y, de ser necesario, re- diseñándolos. Es por ello que, desde una perspectiva global, la protección debería ar ticularse tomando como base el servicio esencial prestado, sus dependencias y las infraestructu- ras críticas que los soportan . Es claro que sobre este pilar de los servicios esenciales identificados se deberá fo- calizar la protección sobre los tipos de activos que los soportan: las instala- ciones, los sistemas de información de TI y de control de procesos ( hard- ware y software ), las redes de comu- nicaciones, y las personas. Desde un punto de vista estricto, la legislación mencionada es aplicable Figura 1. Modelo de Marco de Gobierno para la protección. Figura 2. Gestión de riesgos.