Actualidad_

El Centro de Control de Seguridad Integral como núcleo de cumplimiento de la Ley de Infraestructuras Críticas

CentrodeControl, SeguridadIntegral, InfraestructurasCríticas | Noticia | 03 Marzo 2017

Mucho se ha hablado y escrito sobre la Ley para la Protección de Infraestructuras Críticas (Ley PIC) desde su publicación en 2011. Guiados por la visión de seguridad integral que esta norma promulga, nos centraremos en este artículo en dar un enfoque práctico a su cumplimiento a través de la utilización de un centro de control.

La entidad que sea designada como operador crítico tiene la obligación de identificar las infraestructuras estratégicas o críticas que posee y, sobre ellas, realizar un análisis de riesgos integral, valorando cualquier tipo de amenaza, física o lógica, que pueda provocar una interrupción del servicio.

La importancia de este análisis de riesgos es significativa, ya que permitirá establecer las estrategias de protección que se llevarán a cabo, priorizando la protección frente a las amenazas con un mayor impacto, ya sean de origen físico o lógico. Así, los planes de protección que define la Ley PIC (Plan de Seguridad del Operador y Planes de Protección Específicos de cada infraestructura) se orientarán a reducir el impacto de aquellas amenazas que supongan un mayor riesgo a la disponibilidad de este tipo de entornos.

El Centro de Control de Seguridad Integral (CCSI)

La realidad es que muchas de las grandes empresas susceptibles de ser declaradas operadores críticos poseen ya un Centro de Control, que puede ser un punto focal para dar cumplimiento a la ley.

Habitualmente estas instalaciones están orientadas a la monitorización de alarmas de seguridad física, controles de acceso, CCTV o de sistemas industriales SCADA. Algunas compañías están aprovechando ya la infraestructura y capacidades de estos centros para enfocar la protección desde una perspectiva integral. Así, estos CCSI pueden tener funciones como las siguientes:

  • Detección de intrusiones tanto físicas como lógicas: la combinación de los eventos de ambos mundos nos da una mayor potencia de detección, una visión más global de los problemas de seguridad. De este modo, se podría detectar, por ejemplo, un acceso a un ordenador cuyo propietario no se encuentra en el edificio.
  • Soporte integral a la investigación y al análisis forense: gracias a la información manejada en el CCSI, se pueden aportar evidencias tanto de tipo lógico como físico que permitan trazar por completo un incidente. Por ejemplo: registros de control de acceso físico, de cámaras de CCTV, logs de acceso a ordenadores, etc. Así, podría identificarse al autor de múltiples llamadas telefónicas internacionales desde un terminal telefónico cuyo propietario no estaba presente.
  • Respuesta y escalado de incidentes de seguridad: desde el CCSI se tiene una visión completa y se puede por tanto coordinar una respuesta al incidente, con independencia del tipo de medidas que se requieran. Por ejemplo, en el caso de un incendio en un edificio de la compañía, podría identificarse de forma inmediata el personal que se encuentra dentro y que debe ser evacuado, incluyendo los empleados críticos que deben trasladarse a un centro alternativo de respaldo.
  • Mantenimiento de un cuadro de mando de seguridad integral: facilita al responsable de seguridad de la compañía entender y conocer todos los riesgos a los que se enfrenta realmente, así como su capacidad para responder a ellos de manera ágil. El CCSI se convierte en una fuente de datos centralizada que apoya en la toma de decisiones y en las necesidades de reporting a la dirección de la compañía o a organismos externos como el propio CNPIC.

La agilidad que proporciona manejar todos estos conceptos con una visión integral dota a la empresa de una capacidad de respuesta y análisis de las amenazas a las que se enfrenta muy superior al enfoque tradicional.

Correlación

La herramienta clave para lograr esta perspectiva es una plataforma de inteligencia basada en correlación. Un correlador, expresado de forma simple, no es más que un programa que relaciona eventos provenientes de distintas fuentes en base a ciertas reglas previamente configuradas. Pero aplicando la adecuada inteligencia, se puede lograr que esta herramienta nos dé mucho más.

De este modo, integrando fuentes de datos provenientes del mundo físico y el mundo lógico, así como datos procedentes de fuentes externas a la compañía (por ejemplo, alertas de eventos de seguridad localizados en Internet), los analistas del centro de control pueden obtener una visión mucho más rica de lo que está sucediendo en su empresa. Pueden detectarse eventos como los siguientes:

  • Posible suplantación de la identidad de un empleado, que ha accedido dos veces al parking del edificio con su vehículo habitual, identificado mediante matrícula, y su tarjeta de acceso.
  • Posible fuga de datos confidenciales por envío de documentos desde una máquina multifunción por parte de un trabajador que no está presente en ese momento en el edificio.
  • Posible utilización fraudulenta de los teléfonos de la compañía, al producirse llamadas internacionales desde un terminal de un despacho sin que su propietario se encuentre en esa planta del edificio.
  • Posible riesgo de sabotaje o daño físico al detectarse amenazas de manifestaciones y protestas en Internet y combinarlo con una concentración anómala de personas en una de nuestras infraestructuras.

Además, esta herramienta de seguridad integral también puede ayudar al personal del CCSI a proporcionar una respuesta mucho más ágil en caso de incidente, dando así un mejor cumplimiento a lo promulgado por la ley. Por ejemplo, en caso de crisis o contingencia en una infraestructura, podemos tener información al instante del personal que se encuentra en ese momento en dicha instalación. O si se producen anomalías de movimientos de personas, combinado con la información de inteligencia extraída de Internet, puede detectarse con mayor agilidad un posible ataque físico contra nuestras infraestructuras y detenerlo antes de que se materialice.

En las amenazas de alto impacto y baja probabilidad, la detección a tiempo y la agilidad y coordinación en los medios necesarios para dar respuesta son claves para lograr un impacto mínimo e, incluso, impedir que dicha amenaza se materialice.

Además, un centro de control puede ser una fuente de datos de gran valor de cara a realimentar el análisis de riesgos. Así, los eventos de seguridad integral recogidos por la plataforma de análisis y correlación de información del CCSI pueden proporcionar datos concretos sobre la probabilidad de ocurrencia de ciertos riesgos para la empresa en cuestión. De esta manera, realizar una reevaluación de amenazas para mantener actualizado el análisis de riesgos se convierte en una tarea menos gravosa e incluso susceptible de automatización.

En definitiva, un Centro de Control de Seguridad Integral adecuadamente dotado de herramientas y personal cualificado puede ser el núcleo central de cumplimiento de la Ley para la Protección de Infraestructuras Críticas. Proporciona una visión enriquecida de la seguridad, dotando a los responsables de esta área en la empresa de unos datos y una perspectiva que no lograrían tener nunca al no poder combinar la información de seguridad física y seguridad lógica. Permite avanzar, por ello, en un cambio de filosofía hacia la verdadera visión de seguridad integral. Facilita la coordinación y gestión de incidentes de seguridad desde un punto de vista más global y con todos los medios al alcance de la compañía. Y no menos importante, aprovechar infraestructuras de seguridad física ya existentes para dotar de esta capa de valor a la empresa genera pocos costes y un importante beneficio.

(Artículo publicado en Seguritecnia)

Laura Iglesias Febrero
Head of Business Management