Estrategias para proteger infraestructura y datos

En los últimos años, el trabajo remoto se ha convertido en una parte esencial y habitual en muchas empresas. Ya sea por teletrabajo, o por perfiles (comerciales, directivos, etc.) en movimiento constante.

Esto ha hecho que acceder de forma constante a datos y aplicaciones (con frecuencia sensibles) de nuestra empresa se haya convertido en algo necesario.

En los últimos años, el trabajo remoto se ha convertido en una parte esencial y habitual en muchas empresas. Ya sea por teletrabajo, o por perfiles (comerciales, directivos, etc.) en movimiento constante.

Esto ha hecho que acceder de forma constante a datos y aplicaciones (con frecuencia sensibles) de nuestra empresa se haya convertido en algo necesario.

Sophos Workplace Protection:
Acceso remoto avanzado y seguro

En 4Elitech vamos un paso más allá. Ofreciendo soluciones avanzadas de acceso remoto como Sophos Workplace Protection. Que nos permite utilizar navegación segura, acceso a aplicaciones internas (ya sean on-premise o cloud), protección DNS y monitorizado de correo electrónico, sin necesidad de utilizar una conexión VPN. Lo cual nos permite añadir una capa más de seguridad. Y un control mucho más exhaustivo sobre los accesos remotos:

En 4Elitech vamos un paso más allá. Ofreciendo soluciones avanzadas de acceso remoto como Sophos Workplace Protection. Que nos permite utilizar navegación segura, acceso a aplicaciones internas (ya sean on-premise o cloud), protección DNS y monitorizado de correo electrónico, sin necesidad de utilizar una conexión VPN. Lo cual nos permite añadir una capa más de seguridad. Y un control mucho más exhaustivo sobre los accesos remotos:

• Jesús Larraya Leoz

El acceso remoto seguro se basa en Zero Trust, no solo en la VPN.

Podemos ayudarte

La entrada Seguridad en el trabajo remoto se publicó primero en 4Elitech.

Riesgo para las ciudades inteligentes

Este nuevo modelo de ciudad se construye sobre dos pilares fundamentales: la innovación tecnológica y la toma de decisiones basada en datos. Junto a las grandes oportunidades que se vislumbran, surgen también riesgos asociados a la utilización de la tecnología.

La ciudad inteligente interconecta la tecnología con las infraestructuras OT de los distintos servicios gestionados. Esto hace que la potencial superficie de ataque se amplie considerablemente, convirtiéndose en un objetivo muy codiciado para los ciberatacantes. En la ciudad tradicional las diferentes infraestructuras son gestionadas de forma individual por lo que las amenazas se circunscriben a un determinado objetivo. Ahora, la ciudad inteligente interconecta todas esas infraestructuras creando una macro superficie de ataque. Este nuevo escenario abre la puerta a que los actores maliciosos puedan, por ejemplo, moverse lateralmente a través de la red después de haber comprometido un determinado dispositivo. Consecuencia de todo ello es el incremento constante de ataques que se observa contra los dispositivos OT integrados en las infraestructuras de las ciudades.

Otro de los retos que debe afrontar la ciudad inteligente es definir los procedimientos que permitan establecer la gobernanza necesaria para coordinar el trabajo de los administradores y responsables de seguridad de las diferentes infraestructuras. Por este motivo, se deberán fijar claramente los roles y responsabilidades de los encargados de la gestión de estas infraestructuras críticas.

El desarrollo de las ciudades inteligentes no se concibe sin la participación de proveedores de servicios y tecnología que faciliten la integración del hardware y el software de cada infraestructura, así como su mantenimiento. Estos actores necesarios deberán adoptar estrictos controles de seguridad con el fin de evitar convertirse en una puerta trasera de acceso para los ciberatacantes.

La materialización con éxito de ciberataques contra la tecnología que sustenta la ciudad inteligente puede llegar a generar un gran impacto sobre las infraestructuras, provocando la interrupción de los servicios, pérdidas económicas, desconfianza de los ciudadanos en la prestación de los servicios e, incluso, afecciones a la salud y la seguridad de las personas.

Ciberprotección de las ciudades inteligentes

El desarrollo de las ciudades inteligentes deberá tener en cuenta estos riesgos como uno de los aspectos fundamentales a gestionar. Se deberán contemplar medidas que permitan minimizar o eliminar estos riesgos, para lo cual se podrán tomar como referencia las implementadas en otros ámbitos donde la ciberseguridad tiene una presencia consolidada. Veamos algunas de ellas:

Seguridad desde el diseño:

La incorporación de la ciberseguridad desde fases tempranas de los proyectos se debe considerar como un aspecto estratégico. La integración de la tecnología heredada requerirá de una exhaustiva planificación con el fin de que ésta pueda ser conectada de forma segura.

Control de activos:

El mantenimiento de un inventario actualizado de activos permite identificar manipulaciones, cambios de ubicación físicos y fallos en los activos que forman parte de las infraestructuras.

Principio de mínimo privilegio:

El acceso a la red se deberá regir por este principio. Los administradores deberán evitar las configuraciones predeterminadas y actualizar los permisos según se produzcan cambios en los roles de los usuarios. Se deberá limitar el número de cuentas con privilegio de acceso total a los sistemas. Igualmente, se deberá implementar un modelo de acceso por capas. Estas medidas deberán asociarse a la implementación de una arquitectura Zero Trust.

Autenticación multifactor:

El acceso a los servicios debe realizarse aplicando autenticación multifactor (MFA), tanto desde ubicaciones locales como remotas.

Parcheo de sistemas y aplicaciones:

Se deberán implementar procesos de parcheo y remediación de vulnerabilidades apoyados en herramientas automáticas con capacidad para analizar activos tanto en entornos IT como OT.

Sistemas de respaldo:

Se deberá diseñar un sistema de copias de seguridad que permita restaurar información de los sistemas IT y OT y que esté aislado de tal manera que una potencial amenaza de ransomware no pueda afectarle.

Planes de respuesta ante incidentes:

Éstos incluirán procedimientos que faciliten la intervención de los técnicos responsables de gestionar las operaciones de las infraestructuras para hacer frente a situaciones de contingencia. Los planes de respuesta ante incidentes detallarán las funciones y responsabilidades de todas las partes vinculadas a la implementación de la ciudad inteligente de manera que aseguren la resiliencia operativa.

Evaluación de proveedores:

Las organizaciones deben evaluar los riesgos de cada proveedor y evitar exponerse a la utilización de hardware o software poco confiable que permita la explotación de vulnerabilidades. Así mismo, se deberán establecer requisitos de seguridad detallados para los proveedores de servicios gestionados y de servicios en la nube.

Cumplimiento normativo:

Se deberán evaluar los riesgos legales, especialmente los referidos a la privacidad, y adoptar los marcos de referencia en materia de ciberseguridad que faciliten la auditoría de los controles implementados.

Anticípate a los riesgos de las ciudades inteligentes

Global Technology tiene una dilatada experiencia en el análisis e implementación de soluciones de ciberprotección en multitud de sectores, entre los que se incluyen infraestructuras críticas. El equipo de expertos en ciberprotección de Global Technology le guiará en el proceso de creación de la mejor estrategia de ciberseguridad para implementar la tecnología en el marco de las ciudades inteligentes.

La entrada Ciberseguridad para las ciudades inteligentes en 2024 se publicó primero en 4Elitech.

Dicha Ley Orgánica, por medio de su disposición final segunda, modifica el Artículo 13 de la mencionada Ley 8/2011, relativo al deber de colaboración de los Operadores Críticos con las autoridades competentes del Sistema de Protección de Infraestructuras Críticas para optimizar la seguridad de las mismas, y las obligaciones de dichos Operadores para dicho fin.

En concreto, mediante la modificación de los apartados c) y d) de dicho artículo viene a determinar la obligación de los Operadores Críticos a acreditar tanto en el Plan de Seguridad del Operador, cómo en sus Planes de Protección Específicos la implantación de las medidas exigidas por la autoridad competente a través de la certificación oportuna.  Es decir, viene a realzar la importancia de la certificación de las medidas de seguridad implementadas tanto como la de la elaboración de los mismos planes. De este modo, se afianza la obligación de los Operadores Críticos a certificar sus Infraestructuras en aquellos estándares de referencia para la seguridad integral de estas.

Con ello, la Ley PIC, se alinea con otras normativas legales que ya preconizan dicha obligatoriedad, tales como el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Ambos en materia de seguridad de la información.

Actualmente desconocemos cuál será el sistema de certificación o método aceptado para dar cumplimiento a estos requisitos legales, por lo que deberemos estar pendientes de las futuras indicaciones normativas y/o reglamentarias, al respecto.

Además de las modificaciones anteriores, se añade una nueva obligación para los Operadores Críticos a través de la inclusión, en el mencionado Artículo 13, del nuevo apartado h) el cual establece la necesidad de … «Constituir un Área de Seguridad del Operador, de la manera que reglamentariamente se determine»…; de lo que se deduce la obligación de adecuación de sus estructuras organizativas al criterio de la seguridad integral establecido para las instalaciones de los Operadores Críticos.

A nuestro entender, esta primera modificación de la Ley PIC vaticina la próxima y realmente necesaria, llegada de una actualización normativa para la seguridad de las Infraestructuras Críticas.

Tal vez, con unos mayores niveles de exigencias en los criterios y requisitos de seguridad de estas y más orientada a procesos de certificación como lo es el caso del ENS.

Desde el equipo técnico y comercial de Global Technology, manteniendo nuestro compromiso de servicio, realizamos seguimiento permanente de las actualizaciones legales y reglamentarias, con el objetivo de mantener informados a nuestros clientes y al público en general, sobre los cambios que puedan afectar la gestión de su instalación y organización.

Del mismo modo, nos mantenemos al día de las exigencias y requisitos normativos para desarrollarlos en nuestros servicios; y asesorar así a nuestros clientes, incorporando soluciones de mejora, eficaces y eficientes, en beneficio de la gestión de su seguridad integral.

La entrada Modificación de la ley PIC, primera actualización en más de diez años. se publicó primero en 4Elitech.

Se deberá elaborar un Plan de Protección Específico (PPE) por cada una de las infraestructuras críticas de las que sea propietario o gestor.

En el PPE, el Operador Crítico recopilará las directrices incluidas en su Plan de Seguridad del Operador (PSO), que afectan de manera específica a esa instalación.

Se debe realizar una descripción detallada de los activos que soportan la infraestructura crítica, diferenciando aquellos que son vitales de los que no lo son y detallando las dependencias existentes entre ellos.

La información deberá incluir, entre otros, los medios materiales y recursos necesarios para la prestación del servicio esencial, cuáles son los componentes de la Infraestructura Crítica, la ubicación de los centros de procesamiento de datos (CPD) así como los sistemas informáticos (hardware y software) utilizados.

¿Cuál es la legislación y normativa aplicable a las infraestructuras críticas?

Por lo que respecta a normativa europea, la Directiva 2008/114/CE de 8 de diciembre de 2008, que identifica las infraestructuras críticas europeas y evalúa la necesidad de mejorar su protección.

En cuanto a la normativa española, la Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/201, de 20 de mayo por el que se aprueba el Reglamento de protección de las Infraestructuras Críticas, para concretar y ampliar los aspectos contemplados en la ley.

En esa normativa se establece la necesidad y obligatoriedad de redactar y presentar en el CNPIC para su aprobación los siguientes documentos:

• El Plan de Seguridad del Operador (PSO) es el documento por el que se establecen las acciones que debe llevar a cabo el operador designado como crítico para cumplir con el Real Decreto 704/2011.
• El Plan de Protección Específico (PPE) que, complementando el PSO, establece las medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (seguridad física y ciberseguridad) de sus infraestructuras.

Ya hemos detallado en otras secciones de la web lo que debe contener un Plan de Seguridad del Operador (PSO) y un Plan de Protección Específico (PPE) y su utilidad (y obligatoriedad) a la hora de marcar las pautas que debe seguir una IICC para garantizar su seguridad.

Respecto a los plazos, a los seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador (PSO) y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede.

Los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios, y deberán definir los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las distintas amenazas (tanto físicas como lógicas) identificadas.

Una vez aprobado el PSO por el CNPIC, el plazo para presentar el PPE es de 4 meses desde dicha aprobación. En él se definirán las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral de sus infraestructuras críticas.

Y, ¿qué pasa si la Infraestructura Crítica es un CPD?

Un Centro de Procesamiento de Datos (o CPD) es la instalación que almacena, procesa, trata e intercomunica los datos y aplicaciones que necesita una organización para poder funcionar.

Los centros de datos son una parte fundamental de las empresas. Entre sus múltiples funciones están:

• Almacenamiento (copias de seguridad) y backup
• Aplicaciones de ofimática (correo electrónico)
• Transacciones de comercio electrónico de gran volumen
• Custodia y almacenamiento seguro de datos personales

Todas las aplicaciones y los datos críticos para el negocio están alojados en los CPD, con lo que es lógico pensar que deben contar con importantes medidas de seguridad y protección, tanto físicas como contra ciberataques.

A la hora de construirlos, se debe de tener en cuenta la localización, ya que debe cumplir una serie de requisitos técnicos y geográficos. El estándar TIA942, que contiene propuestas y recomendaciones para su redacción debería ser el documento base para su diseño.

Los CPD deben tener un soporte que garantice que, ante cualquier eventual contingencia, los sistemas van a seguir funcionando.

Por tanto, dada su importancia y necesidad de protección, los Centros de Proceso de Datos necesitan un PSO y un PPE que dicten las medidas de seguridad a implementar y garanticen que los datos alojados en su interior van a permanecer a salvo de ataques y posibles alteraciones.

Es más, de cara a mejorar la resiliencia a la hora de afrontar un (ciber)ataque, la elaboración de un Plan de Contingencia y Continuidad de Negocio es una herramienta clave que nos permitirá estar preparados y contar con las medidas necesarias implementadas para resistir y salir reforzados de esa situación.

La entrada Planes de Seguridad en Infraestructuras Criticas: el CPD se publicó primero en 4Elitech.

En el día a día de nuestro trabajo como consultores, cada vez más, nos encontramos con diversas organizaciones de múltiples tamaños y sectores, que se hacen este tipo de preguntas. Las siguientes líneas están destinadas a solventar algunas de estas cuestiones, a través de un escueto análisis sobre la normativa legal y regulatoria que gira en torno al Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (en adelante ENS) tiene su origen en el ámbito de la regulación normativa de las Administraciones Públicas. nace con el art. 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos; y se materializó con la aprobación del RD. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, posteriormente modificado por el RD. 951/2015. El ENS constituye los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, es decir, establece las directrices para la correcta gestión de la seguridad de la información en su ámbito de aplicación.

El ENS centra dicho ámbito de aplicación en las entidades del Sector Público, tal y como definía el art. 2 de la Ley 11/2007 las entidades y organismos que integraban el sector público. No obstante, dicha ley ha sido derogada en virtud de la vigente Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Tanto está ultima, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recogen en su artículo 2. La definición y clasificación de los organismos que forman parte del sector público, ampliando esta definición al incluir como parte de este, al denominado sector público institucional, compuesto por cualesquiera organismos públicos y entidades de derecho, tanto público como privado, vinculadas o dependientes de las Administraciones Públicas; y las Universidades públicas.

A su vez, el art. 156 de la Ley 40/2015 expresa la obligatoriedad por parte de las Entidades y Organismos Públicos que integran el Sector Público Estatal, de adopción y adecuación al Esquema Nacional de Seguridad y establece mediante su disposición adicional cuarta un plazo de tres años para la adecuación a esta normativa. Plazo que finalizó el 1 de octubre de 2018.

Por otra parte, en el ámbito de la Protección de las Infraestructuras Estratégicas el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece para los Operadores de Servicios Esenciales una serie de obligaciones de seguridad. Los requisitos para cumplir dichas obligaciones se desarrollan en el capítulo III del RD 43/2021. Así pues, concretamente en su Art. 6.5. Establece que, dichas medidas de seguridad tomarán como referencia las recogidas en el Anexo II del Real Decreto 3/2010, que desarrolla el ENS. Estando su plazo de desarrollo, adecuación y aplicabilidad supeditado a las exigencias de las autoridades competentes, designadas en función de cada sector estratégico.

Entre los beneficios de que aporta la implementación del ENS para las Infraestructuras Estratégicas destaca la gran versatilidad que obtienen estas para la integración normativa con otros requisitos legales de obligado cumplimiento. Así pues, por ejemplo, en el ámbito de las Infraestructuras Críticas, el tener implementado un Sistema de Gestión de Seguridad de la Información (SGSI) en base al ENS, facilita enormemente la elaboración de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) requeridos en el Art.13 apartados c) y d) de la Ley 8/2011, por la que se establecen medidas para la protección de las Infraestructuras Crítica. De igual modo, en el ámbito del Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, el ENS cumple con los criterios y requisitos establecidos en dicha norma, facilitando la adecuación a sus requisitos. A su vez, también facilita el cumplimiento del Art. 32 del Reglamento (UE) 2016/ 679, de Protección de Datos Personales y su normativa de desarrollo.  Todo ello se ve reflejado en una disminución drástica en los tiempos de adecuación y los costes de implementación de estos y otros requisitos normativos.

Independientemente de su obligatoriedad, las organizaciones a las que le es de aplicabilidad el ENS también tienen la obligación de exigir a sus proveedores de servicios que cumplan con al menos los mismos niveles de seguridad que se les exige a estas. Por tanto, la tendencia actual es exigir a dichos proveedores el cumplimiento de lo establecido en el ENS en materia de seguridad de la información e incluso su certificación. hecho que se hace cada vez más presentes en las licitaciones de las Administraciones Públicas.

Por último, y no menos importante, cabe destacar que el cumplimiento del ENS corrobora el compromiso de las organizaciones con la seguridad de la información, y su certificación marca un valor diferencial respecto a la competencia. En la actualidad, dado el avance tecnológico, el desarrollo de la delincuencia y la constante preocupación por la ciberseguridad, está cada vez más presente el cumplimiento normativo en materia de seguridad de la información, siendo un símbolo de confianza y considerándose un valor añadido para cualquier tipo de organización.

En resumen, el ENS es de obligado cumplimiento para las Administraciones Públicas, inclusive el denominado sector público institucional; de especial interés para las Infraestructuras Críticas y los Operadores estratégicos; y proporciona una gran ventaja táctica y competitiva para las organizaciones del sector privado.

La entrada Esquema Nacional de Seguridad, ¿obligatoriedad o buena práctica? se publicó primero en 4Elitech.

La entrada Protección y ciberseguridad de Infraestructuras Críticas se publicó primero en 4Elitech.

Es considerado como el primer ciberataque de la historia contra una eléctrica, y puso en alerta a todo el sector. Pero no solo al relacionado con la energía, también al nuclear, financiero, transportes, alimentación, agua, industria, administración… Todos ellos considerados sectores estratégicos que proporcionan servicios esenciales y cuyo funcionamiento es indispensable para la sociedad. Sus sistemas están sufriendo todo tipo de ataques informáticos, y su protección en este sentido es vital.

Sin ir más lejos: los hospitales y el sector sanitario están siendo en estos momentos objeto de todo tipo de ciberataques. La criticidad de que sus sistemas puedan quedar paralizados tan solo un instante está girando las mirillas del cibercrimen hacia este tipo de objetivos.

El reciente ciberataque a la Agencia Europea del Medicamento ha sido uno de los últimos (pero no el único) en unos meses que ya estaban marcados en rojo en el calendario para el ámbito de la salud.

El Centro Criptológico Nacional se hacía eco de un informe del Instituto SANS que advierte de que en el último año se detectaron 50.000 ataques dañinos contra organizaciones dedicadas al sector de la salud. De ellos, 375 han sido exitosos, lo que confirma que el cibercrimen ha puesto sus ojos en esta industria, y en toda infraestructura considerada crítica.

Amenazas reales: ¿Qué está fallando?

Tan solo es necesario analizar estos datos y algunos de los ciberataques que se han producido durante los últimos años para darse cuenta de que la tendencia es creciente. Además del ya mencionado sector sanitario y

energético, industrias como la de transportes están expuestas a vulnerabilidades intrínsecas a sus características particulares.

Sistemas desactualizados y obsoletos. Es muy habitual que en este tipo de entornos coexistan sistemas antiguos con otros más modernos. Los más veteranos probablemente ni siquiera estén conectados a internet, otros se han ido conectando paulatinamente. Y otros servicios se digitalizaron en su día, pero dejaron de actualizarse. Es muy común, por ejemplo, encontrar en entornos industriales dispositivos con sistemas operativos como Windows XP que ya no cuentan con soporte de actualizaciones de seguridad. Lo que expone a esos dispositivos, y por ende a toda la red, a ataques informáticos que aprovechen sus vulnerabilidades.

Vigilar los dispositivos conectados. Por otro lado, gracias a esa digitalización constante, muchos entornos críticos han ido añadiendo nuevas tecnologías que mejoran su operatividad. Tecnologías como el Internet de las Cosas se están añadiendo cada vez más en este tipo de infraestructuras. Por ejemplo, sensores que permiten mejorar la eficiencia midiendo y ajustando temperaturas y otro tipo de medidas. Funcionalidades que aumentan la operatividad, pero que al mismo tiempo abren una ventana a las vulnerabilidades a través de su conexión a internet, si estos dispositivos son inseguros.

Falta de plan de ciberseguridad. El hecho de no contar con una estrategia clara de ciberseguridad puede poner en riesgo a cualquier organización. Es vital realizar una auditoría previa para conocer el estado inicial en el que se encuentran los sistemas, así como desarrollar una estrategia global de ciberseguridad adaptada a las necesidades de la infraestructura. En ambos sentidos, apoyarse en empresas expertas en ciberseguridad, especializadas en la consultoría y elaboración de este tipo de estrategias puede ser un importante punto de partida, así como ceder la gestión de la propia seguridad digital a mano de esos técnicos cualificados que puedan proteger sus activos críticos de las amenazas.

Tecnologías adecuadas. Como parte de esa estrategia global, la incorporación de tecnologías de ciberseguridad punteras que permitan detectar de forma proactiva y prevenir los ciberataques es vital. Firewall, antimalware, gestión de accesos o soluciones de seguridad del correo electrónico, entre otras, y todas adaptadas a las necesidades concretas en cada caso. En este sentido, no se deben olvidar las medidas reactivas, en el caso de que ocurra un incidente. Estar preparados para esa situación con un plan de crisis preparado y medidas de recuperación ante incidentes hará que la respuesta sea más rápida y el daño se minimice al máximo.

Deficiencia de concienciación y formación. Los usuarios son un punto de entrada de amenazas de seguridad en cualquier entorno, también en el ámbito de las infraestructuras críticas. Los usuarios que manipulan los sistemas o tienen acceso a ellos deben estar capacitados y formados para detectar los posibles riesgos y la forma en la que actúan los atacantes, para minimizar que puedan ser engañados y usados como vía de acceso.

Instituciones y normativa

Además de estas buenas prácticas a seguir, estas infraestructuras críticas cuentan con una normativa específica que establece los mínimos que deben seguir en términos de seguridad, también la digital. Por ejemplo, la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011), determina no solamente la propia definición de estas infraestructuras y el catálogo existente, sino la propia organización de la gestión de incidentes.

En este ámbito entran en juego el CNPIC e INCIBE, las instituciones encargadas de velar por la adecuación de estas infraestructuras así como el apoyo en su protección.

El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) es el organismo encargado de la coordinación y supervisión de las actividades relacionadas con su protección.

En el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, se coordina conjuntamente entre este organismo y el Instituto Nacional de Ciberseguridad (INCIBE). Entre sus cometidos se encuentra la respuesta ante incidentes para operadores considerados críticos tras el reporte de los incidentes.

Nuevas amenazas, nuevas implicaciones

Van a seguir produciendo con total certeza ciberataques contra este tipo de infraestructuras, el objetivo es evitar los ataques exitosos. A esto hay que añadir el “estrés” adicional que se está produciendo sobre estas infraestructuras críticas en estos momentos. Tomar medidas para proteger los sistemas conectados, así como implementar mejores prácticas reducirá el riesgo de indeseadas interrupciones que pueden poner en peligro no solo la continuidad de las operaciones, sino en estos casos la integridad de las personas.

NOTA: Hemos publicado una infografía para resumir, de forma visual, el contenido de este artículo.

La entrada Ciberseguridad en infraestructuras críticas: vulnerabilidades, riesgos y protección se publicó primero en 4Elitech.

Más allá del glamur de Hollywood o de la dura realidad que supone la labor de los hombres y las mujeres que trabajan en los servicios de inteligencia de todo el mundo, este controvertido tema ha bajado casi de golpe hasta el mismo corazón de los mortales. La designación de muchas empresas y entidades públicas como operador crítico ha supuesto que caiga sobre ellas todo el peso de la ley en lo que a materia de «información clasificada» se refiere. Ahora podríamos cambiar la frase inicial por otra que sentencia: «si lo cuentas, tendrás que matarte….».
Tal vez nos hemos puesto demasiado serios y puede que la cosa no sea tan grave como parece sonar. Lo cierto es que con un poco de conocimiento, algo de responsabilidad y bastante buena voluntad podremos manejar este asunto tal y como la ley, nuestra responsabilidad empresarial o el mismo patriotismo nos requieren. Así que vamos a plantear algunos conceptos y trataremos de encontrar respuestas a ciertas dudas que nos podrían surgir.

Clasificaciones oficiales

Antes de empezar, un tema que hay que dejar claro es el de la realidad de las clasificaciones. No debemos confundir la clasificación «oficial» con la particular que cada persona o empresa desee poner en cualquiera de sus documentos.

Esto es algo más serio. La clasificación que determina el Estado afecta a todos los ciudadanos obligados a cumplir las leyes y normativas en vigor. Sin embargo, en las empresas cada uno es libre de poner la clasificación de «confidencial», «secreto» o «secretísimo» en cualquiera de sus documentos. Pero debe quedar claro que esa clasificación, y las obligaciones inherentes a ella, solo afectan a las personas o empleados sobre quienes se puede ejercer el mando y control, no afectando a resto de la gente.
Por ello, aunque queda muy bien poner el sello con las clasificaciones oficiales, cada vez es más común que se utilice, a nivel nacional e internacional, la clasificación «informal» del llamado «protocolo del semáforo», usando como niveles de clasificación los colores del mismo y alguno más como el blanco para poder abarcar mas posibilidades. Por ello, hablaremos aquí solamente de clasificaciones oficiales.

Uno de los detalles que aquí más sorprende al empezar esta lidia es la antigüedad de algunas normas que la rigen -como la Ley sobre Secretos Oficiales de 1968, modificada en parte en 1978- y que aún así continúan perfectamente vigentes y han sido completadas por diversas resoluciones, normas y orientaciones redactadas por el Centro Nacional de Inteligencia (CNI) y que se integran en la normativa de la protección de las infraestructuras críticas (PCI) como un conjunto bastante bien estructurado.

Información

Empezaremos con algo tan sencillo y, por desgracia, controvertido como el porqué de todo este embrollo, la necesidad de complicar los sistemas de trabajo y las comunicaciones, de tener que invertir -no mucho, la verdad- en medios y procedimientos que nos permitan un cierto control de la información y de evitar que aviesos ojos no autorizados se posen sobre ella. Al respecto, no hay que olvidar que nos estamos refiriendo a infraestructuras críticas de enorme importancia que pueden ser objetivos de actos malintencionados, especialmente terroristas, que debemos prevenir. No todo el mundo es consciente de la importancia que tiene la información, hasta la más simple y aparentemente inofensiva, para un enemigo que se empapa de todo lo que cae en su mano para preparar sus acciones con el mayor conocimiento posible. También hemos de tener en cuenta que no todas las personas entienden que haya que ponerse el casco al conducir una moto o el cinturón de seguridad en el coche y que tales conductas no afectan solo al inconsciente de turno, sino que sus consecuencias pueden perjudicar al resto de la sociedad. Por eso, el Estado, en un intento de ejercer sus responsabilidades, concienciar e imponer cierta cordura si fuese necesario, decide incluir en la normativa PIC de infraestructuras críticas la obligatoriedad de utilizar ciertos controles con la información más sensible. No siempre ha ocurrido así. Y un buen ejemplo de ello es el caso de la normativa de seguridad en puertos marítimos, que, en su Real Decreto 1617 de 2007 sobre medidas para la mejora de la protección de los puertos y del transporte marítimo, repite hasta la saciedad la importancia de mantener la confidencialidad de la información de seguridad, incluso de las inspecciones y ejercicios, pero sin llegar a exigirla de forma oficial.

Por ello, los resultados han dejado que desear en este aspecto y en muchos casos la normativa no ha sido suficientemente bien tenida en cuenta hasta que, por fin, se han tomado las riendas con firmeza y se han sumado a la iniciativa de la PIC de infraestructuras críticas, impulsando la implantación de las clasificaciones de seguridad de la información con excelentes resultados. Así, no nos queda otra que plantearnos los, a veces, difusos límites entre libertad y seguridad o entre transparencia y protección de la información y de infraestructuras críticas.

Uno de los más claros ejemplos que suele darse con algunos operadores es que se encuentran cogidos entre diferentes normativas nacionales, europeas o internacionales. Tal es el caso de la Directiva 2003/4/CE sobre la obligatoriedad de proporcionar toda la información detallada que se solicite con la excusa de que pudiera afectar a temas medioambientales y ser utilizada para exigir detalles que afectarían gravemente a sistemas de seguridad de alguna infraestructura crítica.

Eso sí, los que la exigiesen obviarían que en el artículo 4 de dicha directiva se especifican una serie de excepciones que van totalmente en consonancia con la protección de las infraestructuras críticas y su “confidencialidad dispuesta por la ley”.

Normativa

También podríamos hacer ré e aquí a la profusa normativa e _ sobre reservas que, en materia de seguridad, contempla el sistema de contratación pública o a los temas que pueden afectar a los contratos laborales en el sector público o privado cuestión de habilitaciones de seguridad y compromisos de confidencialidad exigibles en algunos casos. Estos temas son complejos y requerirían algo más de espacio que el reservado al presente artículo, pero queda claro que la clasificación oficial de nuestros planes es un buen escudo ante exigencias no siempre bienintencionadas.
Otro tema más prosaico es el que se nos pide -o exige- que hagamos para implementar esta protección. En este ya caso, y ya desde los primeros pasos de la normativa PIC de infraestructuras críticas, nos encontramos con las típicas dicótomas entre qué es lo bueno y lo mejor o, en todo caso, lo más conveniente. Para resolver estas cuestiones, no hay mejor maestro que hacer camino al andar e ir modificando y adaptando las normas según las experiencias resultantes de enfrentarnos a la cruda realidad de nuestra sociedad y su capacidad y cultura de seguridad.

La ley 8/2011, ya perfectamente conocida en implantada en el mundo de la PIC de infraestructuras críticas, en su artículo 15 nos empieza avisando de que se velará por la «confidencialidad» necesaria – que, obviamente, no es sinónimo de clasificación como «confidencial»- de los datos y planes de seguridad, abarcando explícitamente los sistemas, las comunicaciones y la información en sí, aunque sin detallar niveles de la misma.

Así mismo, en el Real Decreto 704/2011 que desarrolla la Ley PIC de infraestructuras críticas se nos vuelve a hacer la misma advertencia, esta vez centrándose directamente en los planes derivados de sistema PIC – Planes de Seguridad del Operador (PSO), Planes de Protección Específicos (PPE) y Planes de Apoyo Operativo (PAO)-, aunque tampoco especifica ningún nivel en concreto.
Es en la resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, sobre los contenidos mínimos de los planes, en la que se establece para los PSO y PPE una clasificación con un nivel de «confidencial». Pero que no cunda el pánico. En seguida se observó que, para empezar en un mundo aún no muy bien preparado para ello, era hueso muy duro de roer, y en menos de 15 días se emitió otra resolución similar que rebajaba la clasificación a nivel de «difusión limitada», más acorde con las posibilidades reales de los operadores en estos momentos. Por supuesto en la revisión de los contenidos mínimos reflejados en la resolución del 8 de septiembre de 2015 se mantiene este nivel de clasificación para ambos planes.

Distintas clasificaciones

No obstante, hay un par de puntos que convendría comentar. El primero de ellos es que, aunque las resoluciones nos hablen de de la clasificación de los PSO y PPE, puede haber otros planes o documentos determinados o relativos a este proceso que pudieran necesitar una clasificación superior -por ejemplo, de «confidencialidad»- y que deban ser manejados y custodiados por el operador, por lo que, en ese caso, se haría necesaria la habilitación de alguna persona e instalación de acuerdo con ese nivel. Este tema debería ponerse sobre la mesa a su debido tiempo, cuando las circunstancias así lo requieran.

El otro punto, y relacionado en parte con el primero, es que, aunque un documento tenga determinada clasificación oficial, cualquier organismo o empresa puede estimar necesario aumentar el nivel de protección en su entorno particular, entre las personas o entidades que de él dependan, y clasificarlo internamente en otro nivel.

Haciendo esto, como en el caso de las clasificaciones particulares que se comentaba al principio, se entendería que la nueva clasificación solo afectase para su cumplimiento a quienes dependiesen de él, y así se les hubiese comunicado y, en cualquier caso, sin que se le pudieran atribuir las responsabilidades legales que conlleva la clasificación oficial, más allá de las disciplinarias internas de la institución o empresa que haya establecido el cambio.

Aunque sea el momento ahora de adentrarnos en los requisitos procedimentales, físicos, informáticos y de las personas que son necesarios para el cumplimiento de la normativa en estas materias, solo comentar que no son un arco de iglesia que, al menos en lo que se refiere a la «difusión limitada», pueden ser perfectamente asumidos por cualquier operador sin mayor problema ni quebranto de sus arcas. Se supone que una explicación más exhaustiva de estos requisitos se debiera desarrollar en la preceptiva formación que ha de impartirse a las personas que tengan que manejar este tipo de información.

Más responsables y seguros

Como conclusión, cabría resaltar que esta clasificación de nivel de seguridad aplicada a los planes y documentos, lejos de ser un mero estorbo, constituye una gran defensa de nuestros legítimos intereses de seguridad y contribuye a hacernos mas fuertes y a disminuir en parte nuestro gasto. Estoy seguro de que en cuanto nos vayamos amoldando a estas normas de clasificación, nos iremos sintiendo más cómodos y el casco o el cinturón de seguridad nos parecerán cada vez más livianos y acabaremos no entendiendo cómo antiguamente podíamos circular sin dichos elementos con el riesgo de matarnos. Nos sentiremos más responsables y seguros.

Y no olvidemos que toda persona que acceda a cualquier documentación clasificada como de «difusión limitada» debe cumplir los dos requisitos fundamentales para ello: tener la necesidad de conocer y haber sido instruida convenientemente en el manejo de la información de este nivel. Si no los cumple, mantengámosla apartada de nuestros papeles o archivos informáticos. Es nuestra obligación.

La entrada Los «secretos» de la protección de las infraestructuras críticas se publicó primero en 4Elitech.

Tras el incidente de mayo con el ransomware WannaCry, se ha hecho aún más evidente la necesidad de que los operadores que forman parte del Sistema PIC español avancen hacia una seguridad integral que les permita proteger adecuadamente sus activos físicos y lógicos. Y en este proceso, es fundamental la colaboración público-privada, como quedó patente en el siguiente panel.

La sesión vespertina del  comenzó con un nuevo panel: “La seguridad integral y el sistema PIC”. El moderador de la mesa, Enrique Polanco, socio director de Global Technology, quiso sentar las bases del debate con un repaso a la normativa existente en torno a este tema. El directivo se refirió la Ley para la Protección de las Infraestructuras Críticas (Ley 8/2011) y a su reglamento de desarrollo (Real Decreto 704/2011), así como a la resolución de la Secretaría de Estado de Seguridad y la guía de buenas prácticas para el desarrollo de los planes de seguridad del operador, elaboradas por el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC).

En todos esos textos, observó Polanco, se hace una mención más o menos explícita a la seguridad integral y a la necesidad de combatir las amenazas tanto desde un punto de vista lógico como físico. A partir de ahí, se valoró en qué punto se encuentra la convergencia entre esos dos conceptos en el ámbito de la protección de infraestructuras críticas.

Para ello, intervino en primer lugar José Ignacio Carabias, jefe de operaciones del CNPIC, quien recordó lo mucho que se ha avanzado en este ámbito desde 2011, año en el que se aprobó la Ley PIC. “Antes la seguridad se refería sobre todo al entorno físico, mientras que la ciberseguridad apenas se trabajaba”, pero, desde entonces, la situación ha cambiado por completo, gracias a la cooperación público-privada. “Ahora ya no sólo se trata de la Administración, sino también se cuenta con el operador,  que es quien debe garantizar los servicios que presta”, añadió Carabias

Colaboración

Con esta afirmación coincidió José Carlos Moreno, director de Inteligencia y Análisis del Banco Santander, quien se mostró satisfecho con el grado de colaboración entre ambos ámbitos de la seguridad. Como prueba, puso de ejemplo el incidente con el ransomware WannaCry, que confirmó el “excelente grado de respuesta de las instituciones españolas”, personalizadas en CNPIC, el Instituto Nacional de Ciberseguridad (Incibe) y el equipo de respuesta a incidentes del Centro Criptológico Nacional (CCN-CERT). “Hay que sentirse orgullosos”, manifestó este profesional.

Ahora bien, para el directivo, todavía es preciso seguir avanzando en la integración por parte de los operadores críticos de los dos tipos de seguridad, la física y la lógica. “Debemos crear pilares para que exista una convergencia real entre ambos mundos”, para lo cual se deberían “desarrollar nuevas reglas” y “redefinir el concepto de seguridad tradicional”, apuntó Moreno.

Por su parte, Concepción Cordón, responsable de Gestión de Riesgos de la Empresa Municipal de Aguas de Málaga, manifestó el problema que hay, en ocasiones, para llevar a cabo esa convergencia. “Tenemos dificultades para encontrar correlación de eventos para realizar un buen seguimiento en caso de notificaciones de incidentes de seguridad, para unificar los incidentes que se producen en la parte física (como cámaras de seguridad u otros dispositivos). No encontramos herramientas que nos ayuden en este sentido”, comentó. A pesar de ello, la directiva reconoció que, en el caso del WannaCry, el sector del agua reaccionó “bastante bien”, y funcionó “perfectamente” la colaboración público-privada.

Improvisación o no

El último interviniente en esta primera ronda fue Javier García Carmona, consejero delegado de la consultora Dara Norte, quien destacó el avance producido en los últimos años en materia de seguridad integral. Pero aún así, opinó que hace falta extraer lecciones aprendidas de incidentes como el de WannaCry, entre ellas “la capacidad de improvisación” que hubo. “Somos muy reactivos, pero todo con improvisación”, sentenció. Como consecuencia de ello, apuntó, el usuario no se encuentra formado para manejar determinadas herramientas y concienciado sobre su uso, por lo que no se conseguirá nada si no se produce un cambio de mentalidad.

Moreno, de Grupo Santander, discrepó de esta idea y consideró que no hubo improvisación en el ciberataque de ransomware. “Son incidentes complejos, con múltiples factores y consecuencias, en los que se desconoce el vector de entrada”. Además, destacó la activación de los planes de emergencias que pusieron en marcha muchas empresas aun sin haber sido atacadas; y puso de manifiesto “la importancia de compartir información en este tipo de amenazas”. A pesar de ello, según puntualizó a continuación García Carmona, “no había documentación que estableciera claramente cómo actuar, trabajando sobre la base de las personas y las estrategias organizativas”.

Por su parte, para Carabias, del CNPIC, la normativa al respecto sí establece unos contenidos mínimos que se deben exigir a los operadores críticos en los distintos planes de seguridad que tienen que elaborar. En este sentido, remarcó, el CNPIC observa un aumento del grado de madurez de los operadores.

Esquema de certificación

Además, reveló que dicho organismo está trabajando en un esquema de certificación, gracias al cual se puede certificar que el operador cumple lo que dice. Y no sólo quedarse ahí. “Queremos que los proveedores que ofrecen sus servicios a los operadores también tengan ese grado de certificación; es decir, hacerles corresponsables de la seguridad”, añadió.

En este contexto, para Cordón, de la Empresa Municipal de Aguas de Málaga, es importante distinguir que no todos los operadores son iguales. Los hay más grandes, con una mayor estructura organizativa, y más pequeños, con menos. En ese sentido, mencionó los problemas que puede encontrar el operador, por ejemplo, para saber cómo distribuir internamente los roles que marca la Ley PIC.

Para García Carmona, el problema en estos casos es que se confunde la función con la persona. “El paradigma es ver la función y analizar si aglutinar todas en una única responsabilidad o en varias”, añadió.

Al respecto también se refirió Carabias, del CNPIC, quien reveló que desde su organismo están trabajando en una ventanilla única para que el operador, sea público o privado, tenga un punto único de referencia. Eso sí, añadió, también es importante que esos operadores cuenten con un interlocutor interno, y valoró positivamente el esfuerzo que todos ellos están haciendo para cumplir con la normativa y el grado de concienciación que tienen actualmente.

La entrada La Seguridad Integral y el Sistema PIC (protección de Infraestructuras Críticas) se publicó primero en 4Elitech.