redseguridad 079

red seguridad cuarto trimestre 2017 13 PIC monográfico opinión de ser Infraestructuras Críticas a ser Infraestructuras y Ciberseguridad. Teniendo en cuenta que las infra- estructuras tecnológicas son un ele- mento clave de protección, y que la gestión y respuesta ante incidentes ha supuesto que desde 2013 se hayan atendido más de 1.200 incidentes de ciberseguridad contra operadores críticos, se hayan realizado 150 actua- ciones de intercambio y alerta tem- prana, haya habido 200 casos trasla- dados a las unidades tecnológicas de las Fuerzas y Cuerpos de Seguridad del Estado para su investigación y se hayan requerido 14 dispositivos extraordinarios de ciberseguridad, parece evidente que el aspecto de la gestión del ciberriesgo en las infra- estructuras críticas supone un factor elemental en la defensa nacional y la seguridad ciudadana. Retos de los operadores Pese a todo ello, la dificultad de la identificación de los riesgos y su tra- tamiento en el ámbito de la cibersegu- ridad sigue suponiendo un verdadero reto para los operadores críticos, dado que éstos se enfrentan de manera particular a desafíos de diversa consi- deración. Entre los más significativos podemos identificar: * Cómo articular la organización de la seguridad en el propio operador. * Cómo incorporar a los gestores de la seguridad TIC en una gestión integral de la seguridad. * Cómo analizar y gestionar los riesgos de las tecnologías de la infor- mación y las comunicaciones. * Cómo entender los riesgos de las redes de información respecto a las redes de operación, abordando el gap IT (Information Technology) versus OT (Operation Technology). * Cómo incorporar las métricas e indicadores de seguridad de la infor- mación en la definición estratégica del PPE. * Cómo realizar una gestión integral del riesgo. * Cómo aprovechar otros factores de cumplimiento normativo a los que están vinculados las TIC como un fac- tor vertebrador como una oportunidad en la gestión de las ciberamenazas, aprovechando el Esquema Nacional de Seguridad o el Reglamento General de Protección de Datos, y su gestión de riesgos como un elemento a la hora de definir los PSO. * Cómo establecer mecanismos de gestión proactiva de la cibersegu- ridad, que no se queden únicamente en la gestión reactiva de incidentes de ciberseguridad. * Cómo hacer frente a nuevos escenarios de amenazas tecnológicas avanzadas, tanto de manera genérica (APT, ataques DDos, etc.) como de manera específica ( malware industrial como win32/industroyer, ataques de ransomware de amplia distribución como Wannacry, ataques a redes WiFi mediante Krack, etc.). Integración Gran parte de ésta problemática podría resolverse implantando siste- mas de gestión que permitan uni- ficar y abordar de manera integral estas problemáticas. Esta propuesta, que desarrollaremos con mayor deta- lle en el evento de Protección de Infraestructuras Críticas de Euskadi el 21 de noviembre en Bilbao, supone el desarrollo de un Sistema de Gestión de Ciberseguridad Industrial que arti- cule de manera integrada las necesi- dades específicas de la seguridad IT con las necesidades particulares de la seguridad OT, y que además pueda ser compatible con los estándares de referencia de ambos mundos, como son la ISO 27001 y la IEC 62443 respectivamente. Pueden constituir la piedra angular sobre la que afianzar: * La gestión estratégica de la ciber- seguridad del operador. * La sostenibilidad de las instala- ciones. * El refuerzo de la cultura de segu- ridad en el operador crítico. * La gestión unificada del riesgo. * El cumplimiento normativo. * Y la resiliencia. La implantación de estos sistemas de gestión, con una visión global del riesgo, permitirá a los operadores críti- cos una mejor definición de sus cibe- rriesgos dentro de sus planes de seguridad, a la vez que garantiza que sus PPE van a contar con una siste- mática de soporte que va a garantizar la adopción de medidas de seguridad específicas para abordar estos riesgos con una visión integral. Gran parte de la problemática de los operadores podría resolverse implantando sistemas de gestión integral.