En numerosas ocasiones hay además ciertas infraestructuras críticas dependientes de otras que además pueden operar de forma Internacional, por lo que las consecuencias se agravan provocando daños irreparables.
El ENS, en colaboración con otras regulaciones especializadas, se encarga de proteger, evaluar el riesgo y preparar una estrategia de defensa para impedir los ataques a los servicios y sistemas críticos para los ciudadanos.
Gestión y automatización de la información ante ciberincidentes
El mayor desafío al que se enfrentan las infraestructuras críticas es la falta de una comunicación interna y externa eficaz en los momentos previos, durante y posteriores a sufrir las amenazas o ataques cibernéticos.
La ciberseguridad, en líneas generales, presta más atención a la prevención que a la gestión.
Las líneas de defensa que emplean las empresas del sector TIC o que manejan información sensible, se basan en la implantación de firewalls, sistemas de detección de intrusiones, la monitorización continua y los sistemas informáticos de punto a punto que actúan como defensa.
Sin embargo, las amenazas funcionan bajo los intentos de ataques continuados buscando el momento en el que aprovechar una vulnerabilidad de los sistemas, servicios o del personal humano de una organización.
Un ejemplo son las tecnologías llamadas “botnets”, que se ejecutan de manera automática lanzando miles de ataques por segundo y enviando malware por diferentes canales de información.
Una gran parte de los ciberincidentes que sufren las infraestructuras críticas tienen su origen en un correo phising que llega al correo electrónico de uno de los empleados de la entidad
El Esquema Nacional de Seguridad contempla esta metodología. Sus medidas buscan implantar unas buenas líneas de defensa y la mejora continuada para actualizar la prevención y el plan de acción según las últimas tendencias y comportamientos maliciosos detectados.
Automatización de la comunicación
El Esquema Nacional de Seguridad exige que, independientemente del sector de actividad de un órgano o entidad, todos los responsables y empleados posean una buena formación en privacidad y formación.
Además es necesario asegurar el compromiso de los departamentos de TI, recursos humanos, comunicación, mantenimiento y de cualquier otro miembro del personal que participe directamente en la gestión de los sistemas de forma regular.
Es imprescindible (y factible) evitar que el fallo humano sea el motor que activa las amenazas que recibe una organización.
La prevención no debe de ser la única vía para proteger los servicios y sistemas que manejan la información de una infraestructura crítica. Para minimizar los daños es necesario disponer de un buen sistema de comunicación automatizado y un plan de gestión de crisis.
Las comunicaciones rápidas, efectivas y coordinadas antes y después del daño logran restablecer el funcionamiento y la actividad de una infraestructura, a la par que evitan que se propague el alcance del ataque.
Para ello una medida apropiada es la automatización de la respuesta ante incidentes. Esto se consigue con la creación de un circuito cerrado de comunicación para la colaboración de manera automática con los responsables de los servicios y sistemas afectados.
¿Conoce los comportamientos y amenazas que ponen en riesgo la ciberseguridad de su empresa? ¿Debe su organización implementar los requisitos y medidas del Esquema Nacional de Seguridad? ¿Cuál es la inversión necesaria para implantar el ENS en una empresa mantenedora de infraestructuras críticas?
Si desea obtener respuesta a todas estas preguntas llámenos y solicite los servicios de nuestros consultores en seguridad de la información.
Le ayudaremos a comprender todas las medidas y requisitos del ENS para el sector y actividad de su organización.
El ENS y la protección de infraestructuras críticas
En 2007 el Consejo de Ministros de España aprobó un acuerdo para crear el Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad (CNPIC).
Este es el órgano responsable del impulso, coordinación y supervisión de todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas españolas y con la ciberseguridad en el seno del Ministerio del Interior.
El CNPIC creó el Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) con la finalidad de preservar la seguridad de las infraestructuras críticas españolas que facilitan los servicios esenciales a la sociedad.
Los principales objetivos del PNPIC para la seguridad de la información de las infraestructuras críticas son:
• Exige que todas las infraestructuras críticas cuenten con un responsable de seguridad que actúe como portavoz con el Centro Nacional de Protección de las Infraestructuras Críticas cuando se requiera.
• Impulsa el intercambio de información entre los órganos e instituciones que se incluyen dentro de esta catalogación.
• Establece las estrategias y soluciones que deben realizar las infraestructuras críticas en caso de sufrir un ataque.
• Recoge las pautas y directivas que sigue el Estado para desarrollar sus capacidades operativas y mecanismos de coordinación ante los ataques deliberados.
Póngase en contacto con nuestros especialistas y solicite cualquier aclaración o información que necesite para entender el alcance y las capacidades de las políticas de seguridad del ENS junto con el PNPIC para empresas mantenedoras de infraestructuras críticas.
Protección de servicios, sistemas, datos y comunicaciones de infraestructuras críticas como aeropuertos
Las infraestructuras críticas como aeropuertos requieren de forma obligatoria la obtención de la certificación del Esquema Nacional de Seguridad.
El nivel de seguridad de estas infraestructuras críticas normalmente requiere una categorización media o alta de seguridad, debido al tipo de información que maneja.
Además es imprescindible la aplicabilidad de las medidas del ENS en los sistemas operacionales críticos, ya que se encuentran directamente involucrados en la provisión de servicios de navegación aérea.
Algunos de los sistemas que destacan por el nivel de seguridad requerido son los sistemas de control aéreo, planes de vuelo, vigilancia, navegación y comunicaciones, información aeronáutica, supervisión de red y explotación técnica.
Adquiera el valor diferenciador en el mercado que propicia la certificación ENS y adecue estas medidas de seguridad para tranquilidad de sus clientes y de la organización.
Le ofrecemos un asesoramiento, pautas y un presupuesto adaptado y sin compromiso para la adecuación del ENS en el sector de la aeronáutica o cualquier otro donde operan las infraestructuras críticas.
Las medidas del Esquema Nacional de Seguridad (ENS) son aplicables a las infraestructuras críticas. Estas manejan información, sistemas o servicios de una categoría de seguridad media o alta, debido al riesgo que supone la información que manejan.