REDSEGURIDAD 083

red seguridad cuarto trimestre 2018 25 – Debía asegurar que la cadena de valor de los servicios era cohe- rente con esos niveles mínimos de seguridad mencionados ante- riormente. – Por supuesto, debía proporcionar valor a los operadores, y no resultar una mera auditoría de conformidad. – Y, por si fuera poco, se quería que estuviera listo antes de finalizar 2018. Creo que el lector estará de acuer- do conmigo en que el reto era rele- vante. A partir de ahí, tocaba remangar- se y empezar a trabajar. Antes de seguir, creemos justo aclarar que no estábamos solos en el proceso: además del propio CNPIC, contába- mos con la ENAC (Entidad Nacional de Acreditación) e Ineco (ingeniería que había recibido la encomienda para asegurar la adecuación a toda la normativa existente, los PSO y PPE elaborados por los operado- res, así como la aportación de su conocimiento para la identificación de medidas de seguridad física). Un equipo con el que ha sido un lujo poder trabajar. La solución Como decíamos previamente, el haber tenido la oportunidad de colaborar con Incibe para desarro- llar el C4V hacía que tuviéramos mucho terreno ganado, puesto que vimos claramente que el enfoque de evaluación de capacidades de seguridad 5 que habíamos utilizado era la base para la construcción del esquema. – Nos permitía, mediante mapeos de controles, construir la equivalencia con el ENS y el C4V, de forma que las organizaciones que hubieran realizado trabajos de adecuación/ evaluación de conformidad con dichas referencias pudieran reutili- zarlos (para los que nos conozcan, saben que la eficiencia es una de nuestros live motiv –el otro es la transparencia– y evitar procesos duplicados de evaluación es una de nuestras obsesiones). De hecho, en el futuro se podrán realizar mapeos con otras normas que contengan requisitos específi- cos en materia de seguridad (PCI DSS, NERC, etc.). – La existencia de cinco niveles de capacidades de seguridad apor- ta la flexibilidad para reconocer diversas realidades, tanto por sec- tor como por madurez del propio operador, permitiendo conjugar tanto el cumplimiento de requisitos mínimos como el reconocimiento de aquellos que exceden dichos mínimos. A su vez, estos niveles permitían recoger la diferencia entre ope- radores críticos con una mayor exigencia en materia de seguri- dad (dada su mayor criticidad) y aquellos que, estando en sectores esenciales, no operan una infraes- tructura crítica. – La propia filosofía de un modelo de capacidades aporta esa visión de ayuda en la mejora del nivel de seguridad. Al final, cuando alguien se evalúa respecto a un modelo de este tipo e identifica en qué nivel se encuentra y qué le falta para estar en el nivel siguiente está identifican- do al mismo tiempo: cuáles son sus puntos débiles (aquellas áreas que hoy por hoy están limitando su nivel de seguridad) y cuál es la ruta para mejorar sus capacidades. ¿Qué faltaba por desarrollar? Dos piezas fundamentales del engranaje: – El mecanismo utilizado para que las evaluaciones proporcionen un nivel de garantías elevado, de manera que sirvan al CNPIC para confiar en las mismas. Esto se consigue haciendo que las evaluaciones sean realizadas conforme a la ISO 17065 (al igual que hace el ENS). Esto supone una diferencia funda- mental con el modelo propuesto en su momento por el C4V que, si bien identificaba requisitos que se debían esperar de una entidad evaluadora, no era un requisito tan formal como la acreditación pro- puesta en el esquema del CNPIC. – Y, obviamente, el desarrollo de un modelo de gestión de capacida- des en materia de seguridad inte- gral. Este proceso, que ha sido la parte más laboriosa, ha significado desarrollar un marco integral de medidas partiendo de las prime- ras orientaciones recogidas en los documentos de contenidos míni- mos para generar un marco que aúna las medidas de ciberseguri- dad (aportado por Leet Security) y de seguridad física (generado por Ineco). En definitiva, después de meses de trabajo intenso podemos decir que se ha desarrollado el primer modelo de evaluación de capaci- dades en seguridad integral que, adicionalmente, se apoya en un esquema de certificación para dotar de un mayor nivel de con- fianza a las evaluaciones que se realicen contra el mismo. Ahora solo queda que dicho modelo pase todos los tramites pertinentes para su revisión por las partes interesa- das y sea publicado y oficializado como legalmente corresponda. Ya sabemos que este proceso puede llevar algunos meses, pero, sin duda, este proyecto ya está llegan- do a sus momentos definitivos. Esta aproximación al problema de aumentar la seguridad en los sectores esenciales y, en particular, en los operadores críticos, es total- mente innovador y único en Europa, y que puede ser posicionado como referente en el ámbito internacional como el modelo a seguir. opinión pic monográfico 1 http://www.leetsecurity.com/blog/LEET- Security-industrial-cybersecurity-capacity- building-INCIBE/ 2 https://www.incibe-cert.es/publicaciones/ ensi/ensi_c4v 3 https://www.incibe-cert.es/publicaciones/ensi 4 Más información en https://www.enac.es/ web/enac/que-hacemos/servicios-de-acredi- tacion/certificacion-de-producto 5 Más información en http://www. leetsecurity.com/dl/whitepaper/ request/?wpslug=datasheet-leet-cybersecuri- ty-capabilities