seguritecnia 443

SEGURITECNIA Junio 2017 57 ¿Cómo es que alguien aún se puede extrañar de que todas las co- nexiones de sistemas tecnológicos a un CCV deban estar regidas por los más estrictos parámetros de ciber- seguridad? ¿Cómo podemos dudar de que a las empresas de seguridad homologadas para estas conexiones se les pueda exigir un mínimo cono- cimiento en esta disciplina? Hoy día van apareciendo con cuentagotas es- tas exigencias en algunas ofertas y li- citaciones (lo que no siempre ha sido bien recibido por quienes tienen sus procedimientos algo desactualizados), pero esperamos, y estamos casi segu- ros, que la evolución y desarrollo de la normativa de seguridad tomará car- tas en el asunto y regule como pre- ceptivas las buenas prácticas que el mundo cíber puede aportar a la se- guridad global. Una de estas buenas prácticas podría ser, sin duda, obtener la certificación de la ISO 27001 por “fí- sicos” y que los “lógicos” acrediten co- nocer la tecnología cíber integrada en los dispositivos antes comentados y que puedan implementar un sistema realmente seguro al instalar sistemas susceptibles de ser atacados por am- bas amenazas. Como ya hemos co- mentado, la lista de estos sistemas es larga y cada vez hay menos dispositi- vos de seguridad que no dependan de la cibernética, y sistemas TIC (Tecnolo- gías de la Información y la Comunica- ción) que no tengan algún tipo de vul- nerabilidad física. Normativa Para reforzar la idea sobre la impor- tancia de todo lo expuesto, es conve- niente fijarse en la normativa sobre la Protección de Infraestructuras Críticas, a las que define como “aquellas insta- laciones, redes, servicios y equipos físi- cos y de tecnología de la información cuya interrupción o destrucción ten- dría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funciona- miento de las instituciones del Estado y de las administraciones públicas” y para las que indica que “la seguridad física y la ciberseguridad son áreas que deben ser abordadas de forma interre- lacionada y con una perspectiva holís- tica de la seguridad. Esto redundará en una visión global de la seguridad, po- sibilitando el diseño de una estrategia corporativa única y optimizando el co- nocimiento, los recursos y los equipos”. Sin embargo, a veces es difícil discer- nir dónde acaba lo físico y dónde em- pieza lo cíber y viceversa, y lo que es muy importante, cuál es el nexo de unión entre ambas y quién es el res- ponsable de su enlace. No olvidemos que los buenos estrategas tratan de in- troducirse en las defensas enemigas por el punto de menor cohesión. Es por ello que podemos establecer una relación entre los diferentes concep- tos y tipos de seguridad (física y cíber en este caso) y el conjunto de elemen- tos de apoyo que las pueden entrela- zar, como pudiera ser la aplicación a rajatabla por todos los actores implica- dos de los controles contemplados en la norma ISO 27001. Así les pasaba a los personajes de nuestro show que, aun- que en un principio se consideran en- tes independientes, convergen e inte- ractúan dentro de un mismo escena- rio, donde cualquier vulnerabilidad o fallo de comunicación era inmediata- mente explotada por el amigo Christof. Actor protagonista Llegados a este punto, tendremos que pensar que el “actor protagonista”, el bueno de la película, debiera ser la con- vergencia de la seguridad, pero a la que tuviéramos que proporcionarle las ar- mas adecuadas para que tenga alguna posibilidad de ganar. Una buena arma sería esta norma ISO 27001 que tan in- teresante nos está pareciendo. Incluso No se ha dado suficiente importancia a la vulnerabilidad que supone la comunicación de los sensores basados en comunicaciones cíber Seguridad Integral