redseguridad 080

40 red seguridad primer trimestre 2018 protagonista segurtic entrevista Protección de las Infraestructuras Críticas (Ley PIC) y su reglamento de desarrollo. La Directiva NIS empodera la idea de protección de los sistemas de información y comunicación, que el Anteproyecto de Ley ha entendido como la necesidad de protección de los sistemas de información y comu- nicación utilizados para la provisión de los servicios esenciales; luego ambas regulaciones deben ir de la mano. Para la transposición no se ha con- tado con el colectivo de responsables de seguridad de los operadores de servicios esenciales hasta la consulta pública, en la que se nos ha permitido comentar y proponer mejoras. Ha sido un ejercicio que se ha hecho directa- mente por parte de la Administración, pero desde los operadores considera- mos que ciertos aspectos no se han tratado debidamente. El primero y más evidente es el de identificar dentro de las organizacio- nes quién debe velar y ser el garante del cumplimiento de esta ley. La Ley NIS establece obligaciones para las organizaciones en cuanto a la identi- ficación, prevención, detección, recu- peración, comunicación y respuesta ante incidentes que produzcan un efecto perturbador significativo. Pero, sin el reglamento que establezca las reglas para su aplicación, esto queda a criterio de las organizaciones, que actuarán según su sensibilidad y madurez en materia de seguridad. Se echa en falta que el anteproyecto haya identificado la necesidad de que las organizaciones cuenten con un responsable de seguridad designado para tal fin, que sea capaz de analizar y gestionar los riesgos de seguridad de los sistemas de información y comunicaciones, y proponer las medi- das de seguridad oportunas para su tratamiento. Creo que, como ya ha hecho el CNPIC [Centro Nacional de Protección de Infraestructuras y Ciberseguridad], esta ley debe obligar como medida adicional a designar un responsable de seguridad de la infor- mación (CISO, siguiendo la nomen- clatura del CNPIC) y espero que así se recoja en el texto definitivo de la ley. El responsable de seguridad debe ser quien garantice las medidas de seguridad aplicables según el riesgo, siendo el garante del cumplimiento ¿Y por dónde cree que debería pasar esa obligación, a través de estándares, de leyes...? Considero que hay varias opciones. La primera sería confiar en que los fabricantes se van a encargar de facto; es decir, que van a proporcio- narnos dispositivos donde la seguri- dad venga por defecto, en su ADN. La seguridad de los productos puede ser un valor diferencial a la hora de elegir uno u otro fabricante y, por tanto, los fabricantes pueden ver en este factor diferencial un desarrollo de negocio. Pero teniendo en cuenta la realidad, quizá la opción más razonable es la de regular la obligatoriedad por parte de la Administración. Habida cuenta de que la Administración nos están exigiendo a los operadores de ser- vicios esenciales que garanticemos nuestro servicio, ¿por qué no exigir a los fabricantes acreditar la seguridad de sus dispositivos, que son los que nosotros utilizamos para la prestación de los mismos? Creo que es lo suyo. ¿Qué opinión le merece el Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información (Ley NIS), con el que se transpondrá la directiva europea sobre la materia? ¿Cuáles son las principales dificultades que se encontrarán los responsables de Seguridad de la Información? En España jugamos con ventaja por- que, para la protección de las infraes- tructuras críticas, ya contamos como punto de partida con la Ley sobre efectiva. Pero la realidad en España es que se avanza despacio, especial- mente en cuanto a la protección del mundo industrial. Falta capacitación, recursos y herramientas específicas. Los escenarios actuales en los que nos movemos todavía son dos: el de los especialistas de seguridad IT que intentan trasladar su conocimiento directamente al mundo OT sin enten- der realmente las peculiaridades de este ámbito o el del personal cono- cedor del mundo OT que no cree que deba considerarse la seguridad den- tro de sus funciones. Hay que recor- dar que el tiempo de vida medio de los dispositivos de los entornos indus- triales puede ser de 20 ó 30 años, con lo cual, cuando se fabricaron, se crearon bajo unos parámetros y con- diciones de entorno que en muchos casos han cambiado drásticamente. Por tanto, estos dispositivos no están preparados para aplicar la seguridad tal y como lo hacemos en el mundo IT. Queda mucho trabajo también desde la Administración, que debería obligar a que los fabricantes apli- quen la seguridad en el diseño y por defecto. Las empresas depende- mos totalmente de los fabricantes de soluciones. Y en el mundo OT esta situación se agrava por la baja com- petitividad entre fabricantes. Por ello, además de que la industria demande productos más seguros, creo que la Administración debe disponer de los mecanismos necesarios para garan- tizar que dichas soluciones cumplen con unos mínimos de seguridad.