redseguridad 079

La gestión de los ciberriesgos en un operador crítico H ace ya más de seis años que se aprobó la legislación que regula la protección de las infraestructuras crí- ticas (Ley 8/2011 y Real Decreto 704/2011). Durante todo este tiem- po, la Comisión Nacional para la Protección de las Infraestructuras Críticas ha avanzado en su misión de designar operadores críticos, y ya son 120 los operadores identificados, per- tenecientes a ocho de los principales sectores afectados por la Ley 8/2011 sobre Protección de Infraestructuras Críticas (Ley PIC). Muchos son, por tanto, los Planes de Seguridad del Operador (PSO) que se han desarro- llado, y la experiencia acumulada en la materia ha ido creciendo. Fruto de esa experiencia fueron los ajustes que llevó a cabo, en 2015, la Secretaría de Estado de Seguridad al establecer los nuevos contenidos mínimos de los PSO y la correspon- diente Guía de Buenas Prácticas, con el fin de que los operadores críticos pudieran orientar mejor sus planes de seguridad. Sin embargo, pese a los esfuerzos realizados, tenemos la sensación de que la gestión del cibe- rriesgo sigue siendo uno de los aspec- tos peor abordados por unos planes de seguridad que todavía hoy siguen teniendo una gran preponderancia por los riesgos físicos y patrimoniales. La resolución que establece los con- tenidos mínimos de los PSO ya indica que, en el ámbito de los activos que soportan los servicios esenciales de las infraestructuras críticas se deben considerar como tipologías de activos: * Los sistemas informáticos nece- sarios para dar soporte a los servicios esenciales (hardware y software). * Las redes de comunicaciones necesarias para la prestación del ser- vicio esencial. Parece evidente entonces que la gestión de los ciberriesgos es un aspecto clave en la definición de los PSO, y que debe tener un reflejo en los Planes de Protección Específicos (PPE) de cada infraestructura crítica. De hecho, la normativa sobre la mate- ria destaca la necesidad de garantizar la adecuada prestación de los servi- cios esenciales a través de mecanis- mos que posibiliten una seguridad integral de las infraestructuras críticas, debiendo ser el ciberriesgo parte inhe- rente a dicha seguridad integral. De hecho, con el objetivo de refor- zar los aspectos relativos a la ciber- seguridad, se puso en marcha un servicio de gestión de incidentes de ciberseguridad en infraestructuras críticas, constituyéndose el CSIRT de Incibe (CERTSI) como Centro de Respuesta a Incidentes de Seguridad en infraestructuras críticas, mediante un convenio suscrito el 4 de octu- bre de 2012 entre los ministerios del Interior e Industria, Energía y Turismo. Actualmente el CERTSI cuenta con capacidades que permiten a los ope- radores críticos contar con un servicio de alerta temprana, disponer de equi- pos técnicos especializados, acceder a servicios preventivos orientados a la protección de las infraestructuras, así como el seguimiento de los incidentes que se puedan reportar. El creciente peso de la cibersegu- ridad se percibe incluso en el recien- te Real Decreto 770/2017, de 28 de julio, sobre la estructura orgáni- ca básica del Ministerio de Interior, donde no sólo se contempla expre- samente entre las funciones de la Secretaría de Estado de Seguridad la dirección y coordinación de las políti- cas de ciberseguridad, en consonan- cia con los nuevos riesgos y amena- zas que representa la ciberdelincuen- cia, sino que incluso se establece la nueva denominación del CNPIC, mediante la cual las siglas "IC" pasan 12 red seguridad cuarto trimestre 2017 David Imizcoz Consultor Senior TI de Nextel opinión PIC monográfico Joseba Enjuto Director de Consultoría de Nextel