redseguridad 079

red seguridad cuarto trimestre 2017 7 Estudio Fundación Borredá PIC no se nombra por motivos de confi- dencialidad), así como proveedores de seguridad (todos ellos socios protecto- res de la Fundación Borredá ). El con- tenido de estos encuentros ha dado lugar al estudio "10 años del Sistema PIC" en el que uno de los puntos princi- pales de interés ha sido la evolución de la integración de seguridades (lógica y física). Para llevarlo a cabo, la entidad se ha apoyado en el acerbo de las revistas RED SEGURIDAD y SEGURITECNIA (ambas de la editorial Borrmart) para extraer unas conclusiones finales. Conclusiones La convergencia de la seguridad físi- ca y lógica es uno de los principales retos de los operadores críticos. En la práctica, especialmente en los sec- tores donde la seguridad está más madura, la integración ha dado lugar a problemas organizativos para los ope- radores, que se han visto obligados a modificar sus estructuras internas. Lo habitual entre los operadores con una trayectoria de seguridad anterior a su designación como críticos es contar con dos áreas diferenciadas: una para la seguridad física y otra para abordar los riesgos tecnológicos. A pesar de que ahora hayan implantado algunos procedimientos comunes y vías de comunicación –como, por ejemplo, a través de comités interdisciplinares–, lo cierto es que la diferenciación entre ambas es patente. Algo que, en mayor o menor medida, suele dar lugar a fricciones entre ambas en torno a las competencias y el nivel jerárquico en la toma de decisiones. A pesar de ello, según se desprende del estudio de la Fundación Borredá , hay sectores, como el del Agua o la Electricidad –menos maduros que el resto en materia de ciberseguridad–, para los que la integración no ha sido tan traumática. De hecho, se han adaptado rápidamente a los reque- rimientos de los Planes Estratégicos Sectoriales y se han concienciado a través de este documento sobre la necesidad de abordar los riesgos tanto del entorno físico y como del lógico. En algunos casos, la designación como operadores críticos ha propiciado la reorganización de sus estructuras de protección corporativa de mane- ra que integren ambas seguridades bajo la dirección del responsable de Seguridad y Enlace, la figura desig- las reuniones, nuestro país ocupa el puesto 33 en el índice de ciberseguri- dad de la ITU (Unión Internacional de Comunicaciones), donde se mide no sólo la regulación, sino también aspec- tos como la formación y desarrollo de programas, superada por la mayoría de los países europeos. Por otra parte, la media europea de alumnos que cursan titulaciones uni- versitarias sobre TIC está en el 17 por ciento, mientras que en España está muy por debajo; lo que nos augura un futuro poco halagüeño para la gestión de la seguridad. Continuando con el ámbito de las tecnologías, el estudio señala también dos retos importantes para los pro- veedores de seguridad. El primero, la gestión de vulnerabilidades ciber: los ataques futuros vendrán a través de estas vulnerabilidades, por lo que no sólo hay que identificarlas sino ges- tionarlas, tanto en el parque informá- tico como en el de las tecnologías de seguridad TIC. El segundo, la gestión de incidentes: aunque las diferentes compañías vienen prestando atención a esta cuestión, hay que perfeccio- nar las plataformas de gestión de la seguridad. Asimismo, los operadores que desa- rrollan procesos industriales ponen de manifiesto la carencia de tecnologías de seguridad que protejan estos procesos, hasta ahora aislados como medida de seguridad más efectiva, pero que están abocados a conectarse con el exterior. Señalan además la frecuente incom- patibilidad de los sistemas industria- les (con sistemas/lenguajes operativos muy antiguos) con las tecnologías de seguridad diseñadas para entenderse con sistemas actuales. El informe con estas conclusiones y otras específicas de cada sector estu- diado pueden consultarse en la página web de la Fundación Borredá : www.fundacionborreda.org nada por el CNPIC como interlocutor válido con las empresas que gestionan las infraestructuras críticas. Por todo ello, los operadores deman- dan al CNPIC un nuevo impulso nor- mativo que ayude las organizaciones a solucionar la resistencia interna hacia una convergencia real de la seguridad. No obstante, el CNPIC transmitió en los encuentros que acepta, en prin- cipio, cualquier política de seguridad que establezca medidas para la mejor coordinación o integración de las segu- ridades física y lógica, sin inmiscuirse en la capacidad de cada empresa para establecer la estructura orgánica que estime más conveniente. Por otro lado, al referirse a la gestión de los riesgos, los representantes de los operadores reconocieron que las áreas de seguridad TIC han ido por delante de las de seguridad corporativa históricamente en lo que a procedi- mientos y normas de referencia se refie- re. Sin embargo, con independencia del modelo interno escogido por cada empresa para protegerse, se acusa la falta de una metodología común para el análisis de riesgos integral (que aborde los ámbitos físico y lógico a la vez), máxime teniendo en cuenta que la mayoría de los responsables de Seguridad y Enlace designados por los diferentes operadores provienen del mundo de la seguridad física, donde no es frecuente la utilización de meto- dologías concretas para el análisis de riesgos. Limitaciones Las conclusiones de los encuentros sectoriales incluyen también varias limitaciones actuales percibidas por los operadores. Una de ella es la tecnología, no porque no haya solu- ciones TI en el mercado o capaci- dad de desarrollo, sino porque hay muchos países que superan a España ampliamente. Según se recordó en Los operadores echan en falta una metodología de análisis de riegos físicos y lógicos realmente convergente