Seguritecnia 480

SEGURITECNIA Noviembre 2020 71 Seguridad en servicios esenciales guridad o las operaciones puede ser extensible al conjunto de compañías definidas como infraestructuras críticas o servicios esenciales de cualquier otro sector de actividad, como ocurre en el caso expuesto de ATC. Si se dispone de estos registros de ac- ciones del personal durante los inciden- tes de seguridad o durante las opera- ciones habituales se va a mejorar en se- guridad. Además, pueden ser de gran utilidad por diferentes motivos. Entre otros, frente a auditorías internas o ex- ternas, para capacitar al personal, eva- luar el impacto, determinar los puntos críticos, cumplir las normativas y el com- pliance (como la ISO 27001 u otras), me- jorar en los procesos definidos o cum- plir los requerimientos legales de las au- toridades o de organismos reguladores en su caso. Es cierto que algunas com- pañías ya cuentan con algunos de estos sistemas de registro, pero en ocasiones no se definen como parte fundamen- tal del proceso integral de la seguridad. Como se indicaba al inicio, cada vez va a ser más elevado el grado de de- pendencia de dichas infraestructuras críticas de las tecnologías telemáticas. Por tanto, se debe garantizar la ope- ración desde la seguridad en un con- cepto amplio, lo que incluye el conoci- miento del factor humano a través del registro digital de sus acciones. activación de los diferentes procedi- mientos. Como ejemplo, si desde una consola de operaciones se produce una modificación de un parámetro A a B, no solo se debe registrar el cambio del va- lor del parámetro y su almacenamiento correcto en el sistema, control que es posible una vez que ya esté implan- tado, sino que sería recomendable re- gistrar todos los pasos dados o las ac- ciones realizadas por el operador en los interfaces que haya utilizado para com- pletar el cambio del parámetro. Segu- ramente haya utilizado algún software en una pantalla, accionado un teclado, ratón u otros dispositivos. Si activamos una orden de mando por un sistema de comunicaciones, igualmente sería reco- mendable disponer del registro de di- cha acción. En algunos sectores críticos, como ATC ( Air Traffic Control ), esto ya se viene reali- zando de forma generalizada. El motivo es que todas las interacciones de cual- quier tipo en tiempo real que realizan los controladores desde una torre de con- trol, como pueden ser las comunicacio- nes de voz aire-tierra o tierra-tierra y las visualizaciones y acciones en todos los sistemas (por ejemplo, radar, meteo, cri- sis), se registran con sistemas específicos. Según lo expuesto, el soporte y el re- gistro de las acciones realizadas por el personal durante los incidentes de se- raciones con un control exhaustivo de todas las partes implicadas en la in- fraestructura. Y que, además, disponga de la tecnología necesaria para respal- dar las acciones humanas llevadas a cabo durante el proceso de toma de decisiones en el transcurso de un inci- dente de seguridad. ¿A qué acciones humanas nos referi- mos? En general las podemos catego- rizar en dos grupos principales. El pri- mero de ellos incluye las que se reali- zan mediante cualquier tipo de interfaz hombre-máquina interactuando con un sistema de forma activa (por ejem- plo, la voz) o pasiva (como el vídeo). El segundo agrupa las acciones basa- das en documentos, como por ejemplo planes de contingencia aprobados y procedimientos asociados, que diseñan tanto la operación a seguir y la informa- ción a intercambiar como los recursos técnicos y humanos a utilizar. Para ambos grupos es recomendable disponer de sistemas que permitan re- gistrar las actuaciones realizadas por el personal, entendiendo por registro la ge- neración de un soporte digital que ase- gure, si se necesita, la reconstrucción de cualquier incidente con una misma base temporal y los principios básicos de se- guridad (acceso a la información, trazabi- lidad, integridad, autenticidad). Para en- tenderlo con casos de tecnología base que puede tener cualquier organización, podría ser el registro de control de ac- ceso a unas instalaciones o un sistema de grabación de CCTV. Registro No obstante, para dar soporte al des- empeño completo de las personas du- rante un incidente en el sentido más extenso, las infraestructuras críticas y los servicios esenciales también pue- den dotarse de tecnologías especia- lizadas para registrar y generar el so- porte digital durante la utilización por el personal de los diferentes interfaces hombre-máquina disponibles (vídeo, teléfono, radio, pantallas, teclados…), así como para registrar cada paso eje- cutado de los procesos asociados y la información intercambiada durante la