REDSEGURIDAD 083

red seguridad cuarto trimestre 2018 21 pic monográfico La seguridad es un proceso continuo que no finaliza nunca y en el que es necesario ir siempre un paso por delante de los ciberataques, especialmente en entornos tan importantes como las infraestructuras críticas que tenía como objetivo la industria eléctrica de Europa del Este y que pretendía conseguir una denegación de servicio en la industria infecta- da mediante sabotaje. Este ataque supuso el primer ciberataque que logró afectar a un servicio esencial. Sabotajes como el de Maroochy Shire (Australia), que supuso el verti- do de aguas residuales por parte de un antiguo empleado despedido que disponía de las claves de acceso, y el ataque a la central nuclear de Natanz (Irán) mediante el empleo de Stuxnet, que permitía atacar a los PLC reprogramándolos y permitien- do apagar y encender los refrigera- dores, son otros ejemplos. Obviamente, a lo largo de los últi- mos años hemos conocido diversos ataques que, en ocasiones, han pasa- do desapercibidos para el público en general; pero que, por su impacto, se deben tomar como referencia de lo que puede implicar para la sociedad una amenaza de este tipo. Concienciación de los Estados Para hacer frente a esta situación, desde los gobiernos se están reali- zando diferentes esfuerzos en varios ámbitos, con el fin de hacer frente a la problemática y afrontar los retos de los sistemas industriales. Desde el ámbito europeo, se ha desarro- llado una nueva normativa con el objetivo de que las infraestructu- ras dispongan de unas medidas de seguridad mínimas. Dichas medidas se enmarcan dentro de la Directiva europea destinada a garantizar un elevado grado común de seguridad de las redes y sistemas de informa- ción en la Unión (UE 2016/1148), también conocida como Directiva NIS, de reciente transposición a la legislación nacional española. También tenemos que destacar los esfuerzos que, desde el punto de vista nacional, se están reali- zando y que se basan en el desa- rrollo de la Ley de Protección de Infraestructuras Críticas (Ley 8/2011) y la creación de organismos espe- cíficos que coordinan la respues- ta ante estos nuevos retos, como es el CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad). El reto de la ciberseguridad Ante las situaciones que se dan en este tipo de sistemas y basándo- nos en la experiencia acumulada en diferentes proyectos nacionales y europeos, el planteamiento que realizamos para establecer y mejo- rar las ciberseguridad es global. Por ello, y con el objetivo de obtener un grado de seguridad acorde con las necesidades de cada organización y que nos permita dar respuesta a los retos actuales, así como a los futuros que puedan venir, estable- cemos varios puntos que habría que desarrollar: 1 La realización de evaluaciones de seguridad por parte de personal especializado de forma periódica y que comprendan el contexto de este tipo de organizaciones y la infraestructura de que disponen. El objetivo que se persigue es la evaluación de las medidas de seguridad y el grado de adecua- ción de las mismas, permitiendo establecer acciones de mejora que ayuden a fijar aquellas acciones técnicas, organizativas y procedi- mentales que permitan alcanzar un mayor nivel de seguridad. 2 Ejecución de acciones de concien- ciación y formación de los usua- rios como pilar fundamental de la ciberseguridad, que incluyan a los operadores de las infraestructuras críticas, con el fin de disponer de Cada vez son más habituales los ataques a infraestructuras críticas, poniendo en riesgo la seguridad de todo tipo de servicios esenciales para el buen desarrollo de la sociedad.