Seguritecnia 385
34 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad mismas personas desde hace mucho tiempo (“es el técnico de toda la vida, de total confianza…”). Situaciones parecidas se han ido en- contrando los directores de Seguridad lógica de las organizaciones a lo largo del tiempo: han tenido que concien- ciar a su organización de los riesgos a los que están expuestos los activos corporativos (sobre todo, los riesgos sobre la información) e inculcar una cultura que equilibre la seguridad con la usabilidad. La concienciación se puede dirigir a dos colectivos concretos: ▪ Hacia Dirección o Gerencia: El obje- tivo es instaurar una cultura de segu- ridad lógica a través del ejemplo. Se trata de que cada persona de la or- ganización vea y aprenda compor- tamientos seguros de la persona in- mediatamente superior en el orga- nigrama. ▪ Hacia los cuadros técnicos: Se pre- tende con esto aumentar la invo- lucración del personal altamente cualificado en materia de seguridad lógica, siempre y cuando las medi- das tecnológicas de seguridad im- plantadas faciliten su labor del día a día (de lo contrario, no serviría para mucho). Como recordatorio, el Centro Crip- tológico Nacional (CCN) tiene recogi- dos una serie de riesgos específicos en Control de Procesos y entornos SCADA (serie STIC-480). Entre ellos: ▪ Conectividad entre redes de control y redes corporativas. ▪ Soporte remoto de proveedores. ▪ La utilización de hardware y software de propósito general. ▪ La aplicación de soluciones de segu- ridad lógica no adaptadas a los en- tornos industriales. A esto habría que añadir (gracias a Stuxnet y otros…): ▪ Conexión de portátiles de perso- nal externo (mantenedores sobre todo). ▪ USB (pobrecillos... pero es verdad que son una fuente inagotable de riesgo). Vista-cerebro-manos-memoria Una de las actividades en que más se ha especializado la práctica de seguri- E s de sobra conocido que la aproximación de la Seguridad Integral hacia la prevención de los riesgos es bastante coherente, incluso necesaria según “Ley PIC”. Y también es de sobra conocido que existen dos mundos, comúnmente de- nominados ‘seguridad física’ y ‘segu- ridad lógica’, que deben conocerse a fondo y remar en la misma dirección, sobre todo si hay cumplimiento de ley de por medio. La práctica de seguridad lógica ha experimentado grandes avances a marchas forzadas en los últimos años. En la actualidad constituye una acti- vidad madura que puede aportar eso que se llama “valor” a la práctica de Se- guridad Integral, más si cabe en esce- narios concretos, como por ejemplo en entornos industriales, o para ciertos operadores críticos. El siguiente artículo trata sobre tres aspectos concretos en los que la expe- riencia adquirida por la práctica de se- guridad lógica se puede aplicar y apro- vechar en pro de una Seguridad Inte- gral exitosa. Concienciación Con más frecuencia de la deseada nos encontramos con una falsa sensación de seguridad en entornos que pode- mos considerar “cerrados’”. Los espa- cios industriales son el mejor ejem- plo. Esa sensación suele estar susten- tada en la antigüedad de la instalación (“la red de control es antigua, ¿quién la va a atacar?...”), en que está basada en un único fabricante industrial (“esto no es Windows, aquí no hay virus…”) y en que el mantenimiento lo realizan las En la actualidad, la práctica de la seguridad lógica constituye una actividad madura que puede aportar eso que se llama “valor” SINERGIAS ENTRE LAS FUNCIONES DE SEGURIDAD Aportaciones desde Seguridad Lógica a la PIC Javier Zubieta Responsable de Desarrollo de Negocio de Seguridad de GMV Soluciones Globales Internet
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz