Protección de las Infraestructuras Críticas
2
Los principales retos a los que se enfrentan los responsables de dichos operadores son: • Colaborar en la elaboración de los Planes Estratégicos Sectoriales que se han de definir para cada sector estratégico. • Elaborar un Plan de Seguridad del Operador (PSO), que ha de definir una políca general de protección de las infraestructuras crícas, así como un Plan de Protección Específico (PPE) para cada una de ellas. • Recabar los datos sobre sus infraestructuras, mantenerlos actualizados y comunicarlos al Catálogo Nacional de infraestructuras estratégicas gesonado por la Secretaría de Estado de Seguridad del Ministerio del Interior. • Implantar, gesonar y operar las medidas que garancen una protección adecuada de las infraestructuras crícas. • Designar un Responsable de Seguridad y Enlace, antes de que transcurran tres meses desde la designación como operador críco. Además, se debe designar un Delegado de Seguridad para cada infraestructura críca. • Facilitar las inspecciones de las autoridades competentes. ¿Cómo cumplir estas obligaciones? La aplicación de metodologías consolidadas, la experiencia previa, el personal especializado y el conocimiento sectorial son fundamentales para el éxito de cualquier iniciava de esta envergadura. En el Grupo SIA contamos con una amplia experiencia en la protección sica y lógica de numerosas infraestructuras contempladas en el ámbito de aplicación de esta normava. Esto nos ha permido definir una oferta especializada dirigida a facilitar el cumplimiento de las obligaciones de aquellas organizaciones y endades que hayan sido, o puedan ser, designados como operadores crícos. Para ello, consideramos tres pilares fundamentales: 1. Abordar el cumplimiento de los requisitos más inmediatos y de las obligaciones formales impuestas, para lo cual realizamos un análisis de las infraestructuras del Operador y de las medidas de seguridad a implantar si fuera necesario. 2. Implantar las medidas de seguridad necesarias, de forma gradual y ordenada, opmizando los esfuerzos, recursos, sinergias y tecnología disponible. SIA se posiciona como un socio ideal para ello, como proveedor integral de infraestructuras de seguridad. 3. Desarrollar y garanzar el éxito de los planes de connuidad que permitan la operación los servicios crícos en los niveles adecuados, asegurando su resistencia frente a posibles conngencias. Se trata de un punto fundamental en los objevos de la normava, para lo que SIA dispone de una gama de servicios y herramientas específicas para esta necesidad. El marco legal La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras crícas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público. El marco legal definido ene por objeto garanzar un nivel adecuado de protección sobre las infraestructuras en las que se basan determinados servicios que, por su cricidad e importancia, se consideran esenciales para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instuciones y Administraciones Públicas. Su ámbito de aplicación abarca diferentes sectores: Estas normas establecen la obligación de definir e implementar una serie de funciones y acvidades que requieren una dedicación significava en términos de empo y recursos. Por ello, se hace necesaria la aplicación de enfoques metodológicos adecuados, cuya definición y aplicación efecva exige experiencia en la materia. Obligaciones para los operadores crícos Este marco legal, impulsado a nivel europeo, idenfica una serie de actores que han de tomar parte acva en la protección de las infraestructuras crícas. Entre ellos se encuentran los operadores crícos, definidos como las endades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema o equipo sico o de tecnología de la información que haya sido designado como infraestructura críca. Protección de las Infraestructuras Críticas Administración Ind. Química Instalac. de Invesgación Espacio Agua Ind. Nuclear Salud Energía Alimentación Transporte Sist. Financiero y Tributario TIC Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980
-
Upload
sia-group -
Category
Technology
-
view
218 -
download
0
Transcript of Protección de las Infraestructuras Críticas
Los principales retos a los que se enfrentan los responsables de dichos operadores son:
• Colaborar en la elaboración de los Planes Estratégicos Sectoriales que se han de definir para cada sector estratégico.
• Elaborar un Plan de Seguridad del Operador (PSO), que ha de definir una política general de protección de las infraestructuras críticas, así como un Plan de Protección Específico (PPE) para cada una de ellas.
• Recabar los datos sobre sus infraestructuras, mantenerlos actualizados y comunicarlos al Catálogo Nacional de infraestructuras estratégicas gestionado por la Secretaría de Estado de Seguridad del Ministerio del Interior.
• Implantar, gestionar y operar las medidas que garanticen una protección adecuada de las infraestructuras críticas.
• Designar un Responsable de Seguridad y Enlace, antes de que transcurran tres meses desde la designación como operador crítico. Además, se debe designar un Delegado de Seguridad para cada infraestructura crítica.
• Facilitar las inspecciones de las autoridades competentes.
¿Cómo cumplir estas obligaciones?
La aplicación de metodologías consolidadas, la experiencia previa, el personal especializado y el conocimiento sectorial son fundamentales para el éxito de cualquier iniciativa de esta envergadura. En el Grupo SIA contamos con una amplia experiencia en la protección física y lógica de numerosas infraestructuras contempladas en el ámbito de aplicación de esta normativa. Esto nos ha permitido definir una oferta especializada dirigida a facilitar el cumplimiento de las obligaciones de aquellas organizaciones y entidades que hayan sido, o puedan ser, designados como operadores críticos. Para ello, consideramos tres pilares fundamentales:
1. Abordar el cumplimiento de los requisitos más inmediatos y de las obligaciones formales impuestas, para lo cual realizamos un análisis de las infraestructuras del Operador y de las medidas de seguridad a implantar si fuera necesario.
2. Implantar las medidas de seguridad necesarias, de forma gradual y ordenada, optimizando los esfuerzos, recursos, sinergias y tecnología disponible. SIA se posiciona como un socio ideal para ello, como proveedor integral de infraestructuras de seguridad.
3. Desarrollar y garantizar el éxito de los planes de continuidad que permitan la operación los servicios críticos en los niveles adecuados, asegurando su resistencia frente a posibles contingencias. Se trata de un punto fundamental en los objetivos de la normativa, para lo que SIA dispone de una gama de servicios y herramientas específicas para esta necesidad.
El marco legal La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
El marco legal definido tiene por objeto garantizar un nivel adecuado de protección sobre las infraestructuras en las que se basan determinados servicios que, por su criticidad e importancia, se consideran esenciales para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones y Administraciones Públicas. Su ámbito de aplicación abarca diferentes sectores:
Estas normas establecen la obligación de definir e implementar una serie de funciones y actividades que requieren una dedicación significativa en términos de tiempo y recursos. Por ello, se hace necesaria la aplicación de enfoques metodológicos adecuados, cuya definición y aplicación efectiva exige experiencia en la materia.
Obligaciones para los operadores críticos Este marco legal, impulsado a nivel europeo, identifica una serie de actores que han de tomar parte activa en la protección de las infraestructuras críticas. Entre ellos se encuentran los operadores críticos, definidos como las entidades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema o equipo físico o de tecnología de la información que haya sido designado como infraestructura crítica.
Protección de las Infraestructuras Críticas
AdministraciónInd. Química
Instalac. de Investigación
Espacio
Agua Ind. Nuclear
SaludEnergíaAlimentación Transporte
Sist. Financiero y Tributario
TIC
Pallars 99, planta 4, oficina 4108018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980
Pallars 99, planta 4, oficina 4108018 Barcelona
Tel.: +34 902 480 580Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 AlcorcónTel.: +34 902 480 580Fax: +34 913 077 980
De este modo fijamos claramente los siguientes objetivos:
• Garantizar el cumplimiento de las obligaciones atribuidas.• Establecer y formalizar las acciones necesarias para el cumplimiento
de la norma.• Proporcionar apoyo y asesoramiento al Responsable de Seguridad y
Enlace y a los Delegados de Seguridad.• Elaborar los planes y realizar las actividades previstas por la
normativa.• Coordinar las principales medidas de seguridad a implantar.
Para el lanzamiento de la solución diseñada y propuesta por SIA, proponemos resumidamente abordar las siguientes fases:
El principal objetivo consiste en garantizar que el operador crítico no incumpla ninguno de los preceptos prescritos por la normativa. Pero al mismo tiempo se busca que las acciones tomadas redunden en una mejora y un beneficio de los procesos internos de la organización. En este sentido, muchas de las medidas de seguridad recogidas en el marco legal de protección de las infraestructuras críticas forman parte de las buenas prácticas de gestión de la seguridad ampliamente aceptadas, probadas y recomendadas.
La solución aborda las obligaciones más inmediatas que la normativa impone, estableciendo los puntos básicos para una gestión continua e integral de la protección de las infraestructuras críticas. Así, se pretenden obtener los siguientes resultados:
• Definir los aspectos organizativos básicos para la gestión de la seguridad, lo que implica definir y asignar funciones y responsabilidades y establecer los órganos apropiados para la coordinación horizontal de esta materia. Se trata de un punto básico para una gestión eficaz y efectiva de la seguridad en cualquier entidad, línea en la que SIA cuenta con la experiencia de haber definido e implantado con éxito numerosos modelos organizativos en importantes y complejas organizaciones, bajo marcos similares como el estándar UNE-ISO/IEC 27001, de Sistemas de Gestión de la Seguridad de la Información (SGSI).
• Desarrollar el Plan de Seguridad del Operador, definiendo las políticas de seguridad y detallando el inventario de los servicios esenciales prestados, sin olvidar la adecuada formación y concienciación de todo el personal con funciones en la materia, ámbito en el que SIA se ha convertido en un referente por la calidad e innovación de los proyectos realizados en esta línea.
• Establecer una metodología para el análisis de los riesgos que se ciernen sobre las infraestructuras críticas, llevándola a la práctica y diseñando un Plan de Protección Específico para cada una de ellas. En SIA hemos realizado decenas de Planes Directores de Seguridad, basados en análisis de riesgos, en grandes organizaciones, públicas y privadas, lo que nos permite abordar esta actividad con las máximas garantías.
Posteriormente será necesario coordinar la implantación de las acciones definidas en dichos planes, además de proceder a la definición e implantación de los planes y medidas para garantizar la continuidad de los servicios y la protección frente a contingencias en las infraestructuras.
Algunas de las medidas de protección a implantar se podrán poner en marcha inmediatamente, como son la ejecución del plan de formación y concienciación, o las medidas de seguridad aplicables sobre la información clasificada (entre la que se incluyen los propios planes desarrollados). También en este punto SIA puede aportar un apoyo importante, pues dispone de una gran experiencia en la implantación de medidas técnicas de seguridad y en la prestación de servicios de coordinación y Oficinas de Seguridad para garantizar una implantación ordenada de las mismas.
SIA, sinónimo de seguridad y confianzaEn el Grupo SIA contamos con 25 años de experiencia como proveedor especializado en servicios y proyectos de seguridad, estando reconocido como líder en este tipo de prestaciones en el mercado ibérico. Fruto de esta experiencia, SIA ha asegurado la protección de numerosas plataformas y elementos críticos, de la mano de algunas de las compañías y administraciones públicas más relevantes. Por ello, SIA puede enorgullecerse de ofrecer las máximas garantías para ayudar a aquellas entidades que sean designadas como operadores críticos a cumplir con las obligaciones que ello implica.
El valor de SIA como aliado en la protección de las infraestructuras críticas no se queda en el cumplimiento de los aspectos meramente formales de la normativa. Nuestra condición de proveedor integral nos permite ofrecer soluciones óptimas para la protección de las infraestructuras críticas. La disponibilidad de perfiles multidisciplinares (consultores, hackers éticos, abogados, expertos en infraestructuras y tecnologías, etc.) aporta en este tipo de proyectos un valor diferencial a la hora de proponer e implantar soluciones adecuadas, viables, probadas y eficaces.
Grupo SIA, gracias a su experiencia y a su especialización en el ámbito de la seguridad, puede ayudar a sus clientes en el cumplimiento de las normas y en la mejora de la seguridad a través de un completo conjunto de servicios:
• Planes de Continuidad de Negocio y de Contingencias.• Planes de formación y concienciación.• Implantación de Sistemas de Gestión de la Seguridad de la
Información.• Definición de Planes Directores de Seguridad y análisis de riesgos.• Auditoría y adecuación normativa.• Cualificación Integral e Inteligente de Edificios y Recintos (CIIER).• Implantación de sistemas e Infraestructuras de seguridad.• Monitorización y gestión de sistemas y plataformas.
Definición de aspectos
organizativ.
Elaboración del PSO
Análisis de Riesgos
Elaboración de los PPEs
Lanzam. de acciones
específicas
Grupo SIA, proveedor global de seguridad, tiene las siguientes certificaciones que avalan la madurez de los servicios que presta:
• Qualified Security Assessor – PCI DSS• Gestión de la Calidad – UNE-EN-ISO 9001:2000• Gestión de Seguridad de la Información – UNE-ISO/IEC 27001• Gestión de Servicios IT – UNE-ISO/IEC 20000• Gestión de Continuidad de Negocio UNE-ISO 22301• Gestión de Medio Ambiente – ISO 14001:2004• Calidad de Software (SPICE Nivel 3) - ISO 15504
