SGPIC: Sistemas de Gestión para la Protección de

Infraestructuras Críticas (IC).

Gestión y Protección de IC. Mantenimiento Continuo.

Global SPIC®

Alejandro Delgado, Director de Proyectos

Introducción

Infraestructuras Críticas y su necesidad de gestión

Esta ponencia se centrará en el concepto SGPIC

SISTEMAS DE GESTIÓN

PARA LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

¿Por qué crear un Sistema de Gestión?

La idea parte de la necesidad de gestionar adecuadamente las medidas técnicas

propuestas por la Ley 8/2011.

Introducción

Problemática: complejidad & tamaño

Diseñar el PSO y los PPE son tareas complejas y que requieren de un

equipo con un alto grado de conocimiento de la IC y con grandes

conocimientos técnicos.

La gran mayoría de las IC son de gran tamaño y con sistemas complejos.

La repercusión mediática en caso de error a la hora de diseñar e implementar

los planes puede ser enorme, dados los daños materiales y humanos que

pueden ocurrir.

Desarrollo

Gran cantidad de medidas técnicas

En la Ley 8/2011 y más concretamente en el Plan de Seguridad del Operador

(PSO) y en los Planes de Protección Específicos (PPE) encontramos un gran

número de medidas de seguridad que necesitaremos tener implantadas si

queremos cumplir con todos los requisitos que nos marca la Ley para una

adecuada protección de una Infraestructura Crítica (IC).

Sin embargo, es sabido que las medidas técnicas no son suficientes para

conseguir un grado de protección adecuado y así lo resalta el PSO en su

apartado 2.2.3 “Modelo de Gestión Aplicado”.

Desarrollo

Modelo de Gestión Aplicado

¿Qué persigue este apartado?

Sin nombrarlo específicamente lo que pretende es montar un SISTEMA DE

GESTIÓN en torno a la IC y las medidas de seguridad técnicas que hayamos

implementado.

El propio PSO lo justifica de la siguiente manera:

“La seguridad integral depende de un proceso de gestión integral que

debe aportar el control organizativo y técnico necesario para determinar en

todo momento el nivel de exposición a las amenazas y el nivel de protección

y respuesta que es capaz de proporcionar la organización para la protección

y seguridad de sus servicios esenciales e Infraestructuras Críticas”.

Desarrollo

Modelo de Gestión Aplicado

Y continúa diciendo:

“Por tanto, de acuerdo con esta política de seguridad, el Operador Crítico

deberá recoger dentro del PSO su modelo de gestión, que deberá contemplar

al menos, los siguientes aspectos:

•Una implementación de controles de seguridad acorde con las prioridades

y necesidades evaluadas.

•Una evaluación y monitorización periódica de seguridad”.

Desarrollo

Modelo de Gestión Aplicado

Son conceptos claros de SISTEMA DE GESTIÓN aunque en ningún momento

se exija explícitamente.

En el PPE también encontramos más medidas encaminadas a la Gestión:

• Realizar un análisis y una gestión de riesgos (ya especificado en el

PSO).

• Revisarlo de manera bienal o cuando se produzcan cambios.

• Delegados de seguridad y mecanismos de coordinación.

• Procedimientos para la realización, gestión y mantenimiento de

activos.

• Procedimientos de formación, concienciación y capacitación.

• Procedimientos operativos para la monitorización, supervisión y

evaluación/auditoría de los activos físicos y lógicos.

• Procedimientos de gestión de accesos.

• Procedimientos de gestión y respuesta de incidentes.

Desarrollo

Modelo de Gestión Aplicado

¿Qué nos quieren decir el PSO y el PPE?

Medidas técnicas

Gestión

Seguridad

Desarrollo

Implantar un Sistema de Gestión en una IC

Tenemos muchos marcos de referencia en los que basarnos, donde la

experiencia positiva de la implantación de un sistema de gestión para

controlar y mejorar las medidas técnicas nos puede valer como guía.

Los más relacionados con lo exigido por la Ley 8/2011 son:

• ISO 27001: sistemas de gestión de seguridad de la información.

• ISO 20000: sistemas de gestión de servicios (TI).

• BS 25999: sistemas de gestión de continuidad de negocio. Futura ISO

22301.

¿Por qué estos estándares y no otros?

Desarrollo

Implantar un Sistema de Gestión en una IC

Todos comparten la misma filosofía

Sistema de Gestión

Medidas Técnicas

Medidas Organizativas

Desarrollo

Implantar un Sistema de Gestión en una IC

Tienen muchísima relación con la Protección de IC

Tanto en el PSO como en los PPE se hace mención a:

• Realizar un análisis y gestión de riesgos -> ISO 27001.

• Gestionar adecuadamente los servicios -> ISO 20000.

• Realizar y probar planes de continuidad de negocio -> BS 25999.

Adoptar sus marcos de trabajo nos aportará múltiples beneficios al usar métodos

de trabajo contrastados y con experiencia en todo tipo de organizaciones.

Todos adoptan el ciclo PDCA (ciclo de Deming) de mejora continua.

Desarrollo

Ciclo de Implantación de un SGPIC

•Revisión del SG.

•Cuadro de mando.

•Auditoría interna.

•Validación del SG.

•Mediciones.

•Revisión por Dirección.

•Gestión No Conformidades, acciones preventivas y correctivas.

•Implantación de Mejoras.

•Implementación de PSO y PPE.

•Implementación de procesos.

•Implementación de controles.

•Formación y concienciación.

•Planificación del proyecto.

•Grupo de Trabajo.

•Alcance.

•Políticas.

•Planes, PSO y PPE.

•Análisis de Riesgos.

•BIA

PLAN DO

CHECK ACT

Desarrollo

Implantar un Sistema de Gestión en una IC

Vamos a conseguir grandes beneficios con este enfoque

Un sistema de gestión provee un entorno de control sobre todo aquello que

hayamos implementado, articulando procedimientos formales de revisión y

monitorización.

Seremos proactivos, anticipándonos a la ocurrencia de incidentes gracias a

los datos aportados por el sistema de gestión.

Seremos más eficaces y eficientes a la hora de resolver incidentes gracias a

la información recopilada sobre otros incidentes similares.

Desarrollo

Implantar un Sistema de Gestión en una IC

Vamos a conseguir grandes beneficios con este enfoque

Mantenimiento continuo: tan importante es desarrollar e implementar

correctamente los planes definidos como mantenerlos actualizados en el

tiempo.

Los sistemas cambian y las amenazas también, por lo que todos los

aspectos de revisión del sistema que nos propone un sistema de gestión

basado en el ciclo PDCA cobran gran importancia.

Las revisiones periódicas, el cuadro de mando y las auditorías bienales

persiguen este objetivo.

Desarrollo

Interrogantes sobre un buen Sistema de Gestión en una IC

¿De qué serviría un plan de continuidad de negocio que hace referencia a

sistemas que ya no existen?

¿Estaríamos haciendo bien nuestro trabajo si cada vez tardamos más en resolver

incidencias?.

¿Estaríamos siendo eficientes si cada vez incurrimos en más costes para

gestionar la protección de nuestra infraestructura?.

¿Sería útil que nuestro análisis de riesgos contemplase amenazas que ya fueron

gestionadas o que incluso ya no existen al haber cambiando nuestros sistemas?

Desarrollo

Interrogantes sobre un buen Sistema de Gestión en una IC

¿Qué sensación tenemos una vez implantado nuestro SGPIC?

¿Grandes medidas técnicas de protección?

¿Ambiente de control?

¿Tenemos por fin todo medido y registrado?

¿Tenemos información suficiente para mejorar de manera objetiva nuestros

niveles de protección?

Todas estas preguntas debería tener siempre respuestas positivas.

Desarrollo

¿Cómo abordar el proyecto?

En la medida de lo posible, se recomienda el uso de herramientas que

automaticen las tareas que se deben desarrollar.

Son proyectos extensos y abordarlos de manera “artesanal” lo único que

conseguirá será incurrir en más costes, más tiempo y tener una visión de

complejidad que no se corresponde con la realidad.

Como hemos visto tiene mucha relación con estándares que ya están

consolidados en el mercado, por lo que es lógico aprovechar ese saber hacer y

la experiencia en proyectos de ese tipo.

Desarrollo

¿Cómo abordar el proyecto?

Al ser proyectos con mucho carácter técnico, en el equipo de trabajo es

recomendable implicar a personal del departamento de TI.

Contar con ayuda externa –consultores que nos den la visión de cómo se ha

resuelto el problema en otras organizaciones- puede ser de gran utilidad en ciertas

partes del proyecto.

Dividir el proyecto en fases crecientes de dificultad ayuda a lanzarlo y que no

decaiga nada más comenzar.

No son proyectos que necesiten presupuestos desorbitados, ya que gran parte

del trabajo técnico está hecho, sólo hay que aplicarle una capa de gestión.

Conclusiones

Concepto de SGPIC

Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica

SG PIC SGPIC

Conclusiones

Concepto de SGPIC

La gestión, por sí sola, aporta más ventajas que las medidas técnicas de manera

aislada.

Dentro de la gestión, los procesos de revisión, actualización y mejora son los

más importantes a la hora de mantener el SGPIC vigente.

Tenemos estándares de reconocido prestigio que cubren la mayoría de los

requisitos pedidos por la Ley 8/2011 para la Protección de las IC.

Usando herramientas que automaticen ciertos procesos (análisis de riesgos o

BIA, por ejemplo) el proyecto se reduce en tiempo, coste y complejidad. No se

debe hacer de manera “artesanal”.

Herramientas GlobalSuite

Introducción

GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de

Gestión basado en las normas ISO 27001, ISO 20000, BS 25999/UNE 71599, Esquema Nacional de

Seguridad (ENS), Ley de Protección de Datos (LOPD), etc. Ahora también con los requisitos para

ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de

Infraestructuras Críticas).

GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así

como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión

PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera

integrada con los anteriores o bien de manera separada.

GlobalSUITE : : Modelado de Procesos de Negocio

GlobalSUITE : : Modelado de Árbol de Activos

GlobalSUITE.:. Análisis .:. Gestión de Riesgos

GlobalSUITE . : : . BIA

GlobalSUITE . : : . RTOs y RPOs

GlobalSUITE . : : . Plan de Gestión de Incidentes

GlobalSUITE . : : . Plan de Continuidad

GlobalSUITE . : : . Activación del Plan de Continuidad

Más información

MADRID – BARCELONA – CIUDAD REAL

info@audisec.es – 902 056 203

Visítenos en nuestra web www.audisec.es