Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Miguel Ángel Abad Arranz, Jefe del Servicio de Ciberseguridad del CNPIC

“Algunas organizaciones deben replantearse aspectos de su política de seguridad en el ámbito cibernético”

13/06/2014
En el desarrollo de los primeros Planes Estratégicos Sectoriales, el Servicio de Ciberseguridad del CNPIC ha contribuido a fomentar la seguridad integral. Un concepto, según Miguel Ángel Abad, que todavía ha de calar en algunas organizaciones, si bien, apunta, afortunadamente cada vez son menos las que dan la ‘espalda’ a la vigilancia del uso, funcionamiento y protección de las TIC como una parte de un proceso más amplio.

El CNPIC publicará en junio los cinco primeros Planes Estratégicos Sectoriales (PES). ¿Cuál ha sido la función del Servicio de Ciberseguridad a lo largo del proceso de elaboración de los documentos?

El Servicio de Ciberseguridad ha contribuido, fundamentalmente, a que el concepto de seguridad integral que defiende el CNPIC como paradigma de la seguridad en las organizaciones (y por ende, en las infraestructuras críticas) esté presente en la estructura y contenidos de los PES.

Asimismo, gracias al conocimiento adquirido sobre los distintos sectores estratégicos, se ha permitido que los análisis de amenazas/riesgos reflejados contemplen la ‘perspectiva cibernética’ en cada uno de ellos a través de un mejor entendimiento del uso que se da a las tecnologías de la información y la comunicación (TIC) y, respecto a estas, poner de manifiesto el impacto que tendría su mal funcionamiento.

¿Qué procedimiento han seguido para elaborar dichos planes? ¿Cómo han colaborado las diferentes áreas del CNPIC para engranar los contenidos de estos documentos?

Para la elaboración de los PES se han establecido grupos de trabajo sectoriales y se han mantenido numerosas reuniones, en las que el personal del centro, compuesto por funcionarios de todos los servicios, ha colaborado estrechamente con el de las empresas de cada uno de los sectores. De esta forma, ha sido posible conocer profundamente el funcionamiento de cada uno de ellos y, por lo tanto, dilucidar cuáles son los componentes claves para su operativa, que en el caso que nos ocupa se refiere al uso e importancia de las TIC.Por lo que respecta a la coordinación interna, el Servicio de Ciberseguridad ha formado parte del proceso de elaboración de los planes, conjugando sus opiniones e inquietudes con aquellas expresadas por el resto de departamentos del CNPIC.

Dentro de sus competencias, ¿en qué aspectos han encontrado las principales carencias o necesidades de las infraestructuras españolas en relación con las exigencias que presentan los planes?

En general, los operadores propietarios, o gestores de las infraestructuras estratégicas/críticas, con los que el CNPIC ha trabajado en la elaboración de los planes, presentan un grado de madurez avanzado en lo relativo a la integración de la ciberseguridad en sus planes generales de protección. Es cierto que hay algunas organizaciones, las menos, que deben replantearse determinados aspectos de su política de inversión en seguridad en el ámbito cibernético, comenzando con la concienciación top-down (desde el nivel directivo hasta el más operativo).

¿Cuáles son las novedades más destacadas de cada uno de los PES (Electricidad, Gas, Petróleo, Nuclear y Financiero) en lo que al Servicio que usted dirige se refiere? ¿Existen grandes diferencias entre unos sectores y otros?

Los planes tratan de reflejar el funcionamiento de un determinado sector e identificar los puntos vulnerables del mismo, lo cual no deja de ser una actividad de alguna u otra forma ya se está realizando desde hace tiempo por parte de las organizaciones. En cuanto a las diferencias, son las que cabría esperar entre sectores tan dispares como el del petróleo o el financiero en lo que respecta al uso que se da de los activos tecnológicos que soportan las infraestructuras críticas.De este modo, si bien cada vez está más generalizado el uso de las TIC, no se debe perder de vista que se requiere un estudio pormenorizado del papel que juegan en la provisión de los servicios esenciales, así como del impacto que tendría su destrucción o mal funcionamiento en la operativa de cada sector. Y, precisamente, ese es uno de los objetivos de los planes.

¿Cuáles son los principales riesgos de las infraestructuras críticas y en qué consisten las líneas establecidas por su departamento para que los operadores adapten su seguridad a los PES?

Fundamentalmente, las líneas establecidas en los planes son las que determinan qué infraestructuras y operadores son imprescindibles para el normal funcionamiento de los servicios esenciales y, por extensión, de la sociedad. Dada la alta dependencia tecnológica de las TIC que tiene cualquier tipo de infraestructura, uno de los principales riesgos es que estas no operen de forma adecuada, ya sea por causas naturales, accidentales o deliberadas.En cualquier caso, e independientemente de la naturaleza del ataque o incidente, la línea establecida por el Servicio de Ciberseguridad es que las organizaciones implicadas en la protección de infraestructuras críticas sean capaces de determinar qué impacto tendría un mal uso o funcionamiento de las TIC, previendo medidas alternativas de operación. Para ello, se requiere un conocimiento profundo no sólo del papel de las tecnologías en cada sector estratégico, sino también de cuál es el que juegan en cada operador concreto.

¿Cree que la aplicación de esas líneas supondrá una ingente tarea para las infraestructuras de nuestro país, teniendo en cuenta el nivel de seguridad existente en la actualidad?

En la mayoría de los casos, los operadores cuentan con políticas de ciberseguridad que contemplan todos los riesgos que se han identificado como de relevancia en el correspondiente PES. Incluso hay casos en los que se están ejecutando planes que, en cierta medida, integran la seguridad desde los distintos campos (físico, lógico, de personal…). No obstante, el esfuerzo requerido dependerá de la madurez que tenga la organización no ya en la gestión de la ciberseguridad, sino en la de la seguridad desde un punto de vista genérico e integral.

¿Cómo asesorará el CNPIC a los operadores respecto a los cambios que introducirán los PES en la materia?

Estamos manteniendo una serie de encuentros con ellos para explicarles el proceso de elección como operador crítico y designar las infraestructuras críticas de cada uno. En estas reuniones se les informa puntualmente de cuantas dudas puedan plantearse.Por otra parte, desde la vertiente de la ciberseguridad, se están llevando a cabo encuentros bilaterales que explican los servicios que el CERT de Seguridad e Industria ofrece a los agentes implicados en la protección de infraestructuras críticas, lo cual, sin duda, puede reforzar el nivel de asesoramiento y compromiso del CNPIC para con los operadores estratégicos.

A partir de la publicación de los PES, y una vez los operadores los hayan completado, ¿cómo seguirá el CNPIC el cumplimiento de las exigencias relacionadas con el área que usted dirige?

Desde el Servicio de Ciberseguridad se iniciarán trabajos que aseguren que el cumplimiento de la seguridad integral por parte de los operadores es un hecho en los Planes de Seguridad del Operador, integrando, al menos, las amenazas contempladas en los PES correspondientes. De forma particular, se asegurará que los posibles planes de ciberseguridad existentes se incorporen a otros planes unificados que contemplen la seguridad como un concepto integrador.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual