seguritecnia 447

86 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas tema, los responsables de seguridad de los operadores destacaron que existen carencias en la seguridad operacional (SCADA, PLC…) y que el mercado aún no ofrece gran cantidad de opciones. Sí las hay, opinaron por el contrario, para proteger las tecnologías de la informa- ción y las comunicaciones. Una de las últimas cuestiones en las que derivó la conversación fue la im- portancia de que las empresas reciban información sobre los empleados que trabajan en las infraestructuras críticas para evitar a los denominados insiders , empleados deshonestos que roben in- formación de la empresa o cometan algún otro acto delictivo. Algunos ope- radores vieron en esto un obstáculo normativo al no poder solicitar los an- tecedentes penales de las personas que entran a formar parte de un ope- rador crítico. S sionales porque favorecería la respuesta a incidentes y la gestión de los riesgos. Igualmente, consideraron necesario unificar la respuesta por parte de las FCS en torno a las infraestructuras críti- cas porque, como indicaron, suele ha- ber diferentes criterios entre Cuerpos policiales. Limitaciones Durante el encuentro se abordaron otros temas como el intercambio de informa- ción con la Administración, respecto a lo cual los operadores apuntaron la con- veniencia de aumentar la comunicación y tratar en las mesas de coordinación que organiza el CNPIC asuntos que va- yan más allá del estado del sector, como planteó uno de los invitados. También se habló de la disponibilidad de tecnologías de seguridad para las in- fraestructuras críticas. En torno a este riesgos de manera unificada, otros han decidido implantar un área con sendos departamentos. Más complicado pa- rece, desde su punto de vista, encontrar una metodología de análisis de riesgos que contemple las dos vertientes de la seguridad a la vez. Alguno de los invita- dos hizo referencia a la ISO 31000 para la gestión del riesgo, pero se mostraron de acuerdo en que actualmente no existe una metodología realmente integral. Por otro lado, señalaron que cuando existen dos departamentos diferencia- dos o en los casos de aquellos opera- dores que todavía no cuentan con un área de Seguridad Corporativa, pero sí una de Sistemas que se encarga de los riesgos tecnológicos, pueden produ- cirse fricciones en torno a las compe- tencias de cada uno. A esto añadieron que, cuando hay una separación entre seguridad física y lógica, es frecuente que el responsable de Seguridad y En- lace carezca de capacidad de influencia sobre las decisiones del director de se- guridad TIC (el CISO). Sobre este asunto, Ángel Flores explicó que “el CNPIC soli- cita que haya un CISO en las empresas porque tiene que haber un profesio- nal que conozca y gestione este tipo de riesgos”, pero eso no quiere decir que este perfil esté por encima del respon- sable de Seguridad y Enlace. Ahora bien, como decíamos, no to- dos los operadores críticos del agua cuentan ya con un departamento de Seguridad. Aunque todos hayan desig- nado a un responsable de Seguridad y Enlace con el CNPIC, en ocasiones este cometido recae en un profesional per- teneciente a otra área corporativa, sin experiencia en la materia, que se ha ho- mologado como director de Seguridad expresamente para que la compañía cumpla la regulación PIC. Esta observa- ción dio lugar a la demanda de una ma- yor formación y especialización de las personas con competencias en la pro- tección de las infraestructuras críticas. Para ello, apuntaron los invitados, se- ría beneficioso que las Fuerzas y Cuer- pos de Seguridad (FCS) estuvieran invo- lucradas en la capacitación de los profe- Los operadores críticos del Agua que ya tienen un área de Seguridad han acogido rápidamente el planteamiento integral de la normativa PIC SECTOR AGUA