red seguridad 074

especial seg 2 encuentro de la seguridad integral por la convergencia de la seguridad física y lógica y la concienciación de que las empresas avancen en el uso de ambos términos de manera conjunta”, explicó. A esto se une, además, una necesaria cooperación público-privada, y destacó la labor que están realizando los operadores en este sentido, “cumpliendo hasta el momento con los planes previstos”. El ponente analizó los pasos que los operadores de infraestructuras críticas han de dar para proteger sus instala- ciones, tanto desde el punto de vista organizacional como operacional. En el primer aspecto, el representante del CNPIC ratificó la importancia del apoyo de la alta dirección a la hora de gestionar su seguridad, así como cuál ha de ser su estrategia en este sentido, para lo que “es preciso crear estructuras como las mesas de coor- dinación”, añadió. Posteriormente, se ha de realizar un análisis de riesgos integral; esto es, que engloben tanto las amenazas físicas como las ciber- néticas. “Recomendamos que cuando el operador haga esta evaluación la lleve a cabo de forma amplia, impul- sando la convergencia en la identifica- ción de amenazas y vulnerabilidades”, manifestó. Carabias apuntó la necesidad de utilizar herramientas convergentes para hacer los análisis de riesgos y utilizar un lenguaje común para que el operador identifique las amenazas que puedan afectar a sus infraes- tructuras. El objetivo es “implementar todas estas medidas para garantizar el servicio esencial para los ciudada- nos. El operador nos propone un tipo de medida y se evalúa si está bien en función de su criticidad”, puntualizó. Ejemplo de seguridad Todo lo analizado hasta el momen- to por los distintos ponentes tuvo su ejemplo práctico con la interven- ción de José Márquez , director de Seguridad para EMEA de Gas Natural Fenosa. El directivo contó el recorrido que está haciendo su compañía para asegurar y proteger sus infraestruc- turas. Todo empezó en 2014, año en el que la empresa fue designada como operador crítico, y a partir del cual pusieron en marcha una nueva estrategia de seguridad, InCrit. “Desde un primer momento quisimos que nuestro proyecto no se ciñera sólo a España y que tuviéramos un visión integrada de todas las unidades del negocio, trabajando todos juntos en un proyecto transversal”, afirmó. Sin duda, el reto era muy grande, puesto que Gas Natural Fenosa se encuentra presente en más de 30 países, cuenta con 23 millones de clientes y dispone de muchos tipos de instalaciones de generación y distribución en todo el mundo, de las cuales tuvieron que identificar las que consideraron más críticas. Una vez con todo esto claro, el siguiente paso fue realizar un análi- sis de riesgos y un nuevo marco de control, con productos y servicios para este proyecto y otras áreas de la organización. “Empezamos con los planes de seguridad del operador, la protección específica, la seguridad de la información, la resiliencia y la integración del CESEC y del SOC”, explicó el directivo. A esto se añadió la coordinación y la relación con los organismos oficiales y otros sectores con las mismas necesidades. Todo esto dio lugar, según contó Márquez, “a la creación de una nueva estructu- ra organizativa en comités de direc- ción de negocio, de donde deriva el comité del proyecto InCrit, y dentro de él hay grupos de trabajo que desarrollan los planes de protección específicos”. Seguidamente, el directivo habló sobre el fraude en infraestructuras críticas, en general, y en su empresa, en particular. En este último aspecto, reveló que la organización realizó un mapeado completo de su red para poder encontrar todas las vulnerabili- dades posibles. Además, alertó sobre el crecimiento en los últimos meses de ataques de ransomware como una muestra clara de hacia dónde van las tendencias en este sentido. Y en con- creto, en el sector energético, se están detectando otros tipos de fraudes como es “el uso indebido de informa- ción para la elaboración de ofertas competitivas a clientes y la suplanta- ción de contratas”, afirmó. José Ignacio Carabias (CNPIC). José Márquez (Gas Natural Fenosa). Enrique Martín (S21sec). fraude red seguridad tercer trimestre 2016 21 GLOBAL TECHNOLOGY ConsultoríadeSeguridadGlobal e Inteligencia