Hace ahora un año publicábamos en esta misma cabecera un artículo titulado «El rol de la calificación para mejorar la protección de las infraestructuras críticas», en el que desgranábamos cómo la calificación aportaba al sistema de protección flexibilidad, eficiencia y transparencia. Si 2020 no hubiera sido un año digno de la mejor novela de Stephen King, ahora estaríamos hablando de las experiencias durante estos doce meses en la implementación y auditorías de un modelo de evaluación de capacidades en seguridad integral (el primero en su especie). Pero la actualidad marca los tiempos y hoy todavía seguimos a la espera de los cambios legislativos necesarios para su aplicación –aunque confío en que no será por mucho tiempo–.
Mientras la (necesaria) parte formal llega, no deberíamos demorar los preparativos para su entrada en vigor, puesto que los tiempos de adecuación de gran parte de los sistemas que se verán afectados –me estoy refiriendo a los sistemas de control industrial, principalmente– son más dilatados para no alterar la prestación de los servicios esenciales a los que dan soporte.
Si el lector está en esta tesitura y no sabe por dónde empezar, vamos a tratar de ayudarle recopilando información que se ha publicado por distintas fuentes en diferentes medios y definiendo una serie de pasos necesarios para aprovechar las lecciones aprendidas en estos meses.
1.- Invierte en identificar el alcance
Según ha comentado el propio CNPIC (ahora, de nuevo, Centro Nacional para la Protección de Infraestructuras Críticas), se deberán incluir en el alcance los siguientes sistemas:
- Obviamente, los sistemas de control industrial (OT).
- Los sistemas de telecomunicaciones que son necesarios para la prestación del servicio esencial.
- Los sistemas de seguridad física (dado que, en la actualidad, las medidas de protección física están muchas basadas en sistemas de información).
- Y, por último, el resto de sistemas de información (TI) necesarios para el servicio.
Por el momento, solo hay que identificar, sin incluir en el alcance, los servicios que estén conectados a estos; pero muy probablemente, en el futuro también sean objeto de certificación, puesto que, potencialmente, afectan al nivel de seguridad. Es fundamental hacer una identificación exhaustiva de los sistemas en cada una de estas categorías para poder evaluar correctamente el esfuerzo que se debe realizar en el proceso de cumplimiento.
2.- Atención a los puntos débiles
Si hay algo que hemos visto en las pruebas piloto realizadas es que el algoritmo que calcula la calificación final es bastante bueno en resaltar los eslabones débiles. Al otorgar la calificación en función del grado mínimo entre los diferentes entornos (físico y lógico) y ámbitos (organizativo, operacional y medidas de seguridad), e igualmente cuando existen distintos sistemas, el resultado es que el eslabón más débil es el que acaba marcando el nivel final. En otras palabras:
- Si las medidas de seguridad física (o lógicas) están en un nivel A, pero las lógicas (o al revés) están en C, el resultado final será una C.
- Si las medidas de seguridad ciber de los sistemas de TI alcanzan una B, pero las OT se quedan en la C, el resultado final ciber será una C.
- Si en el caso anterior, los sistemas de información que dan soporte a las medidas físicas solo llegan a una D, entonces las medidas ciber tendrán una calificación D.
Esta circunstancia tiene su parte buena y su parte mala. La positiva es que ayuda a identificar los puntos débiles para la protección de las infraestructuras críticas; la negativa, que si no hemos planificado bien las medidas y se nos ha «escapado» algún área sin cubrir, se va a poner de manifiesto en el resultado final.
3.- No te quedes corto y apunta alto
Dado que el esquema dispondrá de cinco niveles, al igual que el modelo de calificación de Leet Security, cabría adoptar una estrategia de cumplimiento minimalista y optar a alcanzar un nivel bajo (digamos una C). Siendo una opción válida, sin embargo, esta estrategia priva al evaluado de una de las bondades del modelo: la construcción de capacidades.
Es decir, si nos limitamos a analizar si alcanzamos los requisitos del nivel C, no podremos saber cuánto de cerca estamos del nivel B o del A, y esto nos privará del conocimiento necesario para seguir mejorando. Si, por el contrario, analizamos si alcanzamos los requisitos del nivel A, quizá lleguemos o tal vez nos quedemos en la C; pero, al menos, sabremos qué nos falta y cuáles son las capacidades que hay que implementar para seguir incrementando nuestro nivel de ciberseguridad.
Esta situación respalda el principio de que la mejora en el grado de ciberseguridad nos acabará conduciendo al cumplimiento, mientras que implementar medidas por el mero hecho de cumplir difícilmente nos llevará a mejorar nuestros niveles de ciberseguridad.
4.- Lo barato sale caro (de verdad)
Los modelos de certificación llevan muchos años entre nosotros y quienes tenemos experiencia en lidiar con ellos sabemos cuál es su punto débil: las certificadoras. La estandarización del proceso de certificación que conllevan estos procesos y el hecho de que no haya ninguna diferencia entre la certificación emitida por una u otra hace que, indefectiblemente, con el paso del tiempo, el precio se convierta en el único factor valorado por los clientes para optar por una u otra certificadora. Y cuando esto pasa, ya sabemos cómo termina, se acaba imponiendo la certificadora más barata.
¿Cómo abaratan costes las certificadoras? Dos mecanismos: reduciendo honorarios y disminuyendo el trabajo de campo. O lo que es lo mismo, se hacen las auditorías cada vez en menos tiempo y con auditores subcontratados (que evitan pasivos laborales y, por tanto, un coste en las certificadoras), puesto que, además, hacen el proceso de auditoría menos «doloroso».
En este caso, habría que pensárselo bien antes de elegir a (pseudo)certificadoras de este tipo, puesto que hay que tener en cuenta que el régimen sancionador de la nueva Ley afecta a los sujetos obligados, entre los que no están las certificadoras. Es decir, que si finalmente se demuestra que la auditoría ha otorgado una calificación superior a la merecida, la potencial sanción no podrá recaer en ella. Conclusión: Pensemos que estamos ante una prueba médica: ¿Qué preferimos: una prueba molesta, pero que nos descubre una enfermedad mortal, o una prueba sencilla e indolora que no detecta nada?
En definitiva, busquemos algo positivo en la situación actual tan pesimista derivada de la pandemia y aprovechemos el tiempo preparándonos para el nuevo modelo de protección de infraestructuras críticas que llegará en breve a nuestras organizaciones. Esperamos haberos animado a empezar ese camino con estas cuatro ideas fundamentales.
