SECRETARA DE ESTADO DE SEGURIDAD

GABINETE DE COORDINACIN Y ESTUDIOS

GUA DE BUENAS PRCTICAS

PLAN DE SEGURIDAD DEL OPERADOR (PSO)

MINISTERIO DEL INTERIOR

SECRETARA DE ESTADO DE SEGURIDAD

1. INTRODUCCIN .............................................................................................................................................................3
1.1. Base legal ........................................................................................................................................................3 1.2. Objetivo de este documento ............................................................................................................................4 1.3. Proteccin de la informacin ............................................................................................................................4 POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE GOBIERNO..................................................................5 2.1. Poltica General de Seguridad del Operador ...................................................................................................5 2.1.1. Objeto ... 5 2.1.2. mbito o Alcance...............................................................................................................................6 2.1.3. Compromiso de la Alta Direccin ......................................................................................................6 2.1.4. Carcter Integral de la Seguridad ......................................................................................................7 2.1.5. Actualizacin .....................................................................................................................................8 2.2. Marco de Gobierno de seguridad .....................................................................................................................8 2.2.1. Organizacin de seguridad ................................................................................................................8 2.2.2. Formacin y Concienciacin ...........................................................................................................10 2.2.3. Modelo de gestin aplicado .............................................................................................................11 RELACIN DE SERVICIOS ESENCIALES PRESTADOS POR EL OPERADOR CRTICO...........................................................13

2.

3.

4.

3.1. Identificacin de los servicios esenciales .......................................................................................................13 3.2. Mantenimiento del inventario de servicios esenciales ...................................................................................14 3.3. Estudio y Consecuencias de la Interrupcin del Servicio Esencial ................................................................14 3.4. Interdependencias..........................................................................................................................................15 METODOLOGA DE ANLISIS DE RIESGOS .....................................................................................................................15 4.1. Descripcin de la metodologa de anlisis .....................................................................................................15 4.2. Identificacin y valoracin de los activos que soportan los servicios esenciales ...........................................16 4.3. Identificacin y evaluacin de amenazas .......................................................................................................16 4.4. Valoracin y Gestin de riesgos.....................................................................................................................17 CRITERIOS DE APLICACIN DE MEDIDAS DE SEGURIDAD INTEGRAL ..............................................................................18 DOCUMENTACIN COMPLEMENTARIA ..........................................................................................................................21 6.1. Normativa, Buenas Prcticas y Regulatoria ...................................................................................................21 6.2. Coordinacin con Otros Planes......................................................................................................................21 ANEXO 1: EJEMPLOS. ............................................................................................................................................22 7.1. Poltica de Seguridad .....................................................................................................................................22 7.2. Matriz RACI ....................................................................................................................................................28 7.3. Designacin de Responsables .......................................................................................................................29 ANEXO 2: RELACIN DE ESTNDARES Y MEJORES PRCTICAS ..................................................................................31 8.1. 8.2. Estndares y mejores prcticas nacionales ...................................................................................................31 8.1.1. Sistemas SCADA y Esquema Nacional de Seguridad ....................................................................32 8.1.2. Seguridad Fsica.....31 Estndares y mejores prcticas internacionales ............................................................................................32 8.2.1. Gobernanza y Gestin de TI incluida la calidad y la cadena de suministro.....................................32 8.2.2. Seguridad de TI ...............................................................................................................................34 8.2.3. Desastre y Recuperacin ................................................................................................................35 8.2.4. Mtricas e Indicadores ....................................................................................................................36 8.2.5. Auditora y Control ...........................................................................................................................36 8.2.6. Gestin de Riesgos .........................................................................................................................36 8.2.7. Seguridad Laboral ...........................................................................................................................37 8.2.8. Certificacin y Acreditacin .............................................................................................................37 8.2.9. Coordinacin y Respuesta ..............................................................................................................38

5. 6.

7.

8.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

1.

INTRODUCCIN

1.1 BASE LEGAL El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como privada cuyo funcionamiento es indispensable y no permiten soluciones alternativas: las denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral en el seno de las organizaciones que est especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir la destruccin, interrupcin o perturbacin que perjudiquen la prestacin de los servicios esenciales a la ciudadana y asegure la continuidad de los mismos. En este sentido, la Ley 8/2011, de 28 de abril por el que se establecen medidas para la proteccin de las infraestructuras crticas tiene como objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas, impulsando adems la colaboracin e implicacin de los organismos y empresas gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que puedan afectar a la prestacin de los servicios esenciales. Dicha Ley tiene su desarrollo mediante el Real Decreto 704/2011 de 20 de mayo, por el que aprueba el Reglamento de medidas para la proteccin de las infraestructuras crticas. Del art. 13 de esta Ley se derivan una serie de compromisos para los operadores pblicos y privados, entre los que se encuentran la elaboracin de un Plan de Seguridad del Operador (en adelante PSO) y Planes de Proteccin Especficos (en adelante PPE). Respecto a los contenidos del PSO, segn se recoge en el artculo 22.4 del Real Decreto 704/2011, el Secretario de Estado de Seguridad estableci, mediante Resolucin de fecha 15 de noviembre de 2011 y su modificacin con Resolucin de fecha 29 de noviembre de 2011, los Contenidos Mnimos con los que debe contar todo PSO, as como el modelo en el que basar la elaboracin de los mismos.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

1.2 OBJETIVO DE ESTE DOCUMENTO Con el presente documento se pretende orientar a aquellos operadores designados como crticos en la elaboracin de su PSO, sirviendo como complemento a las Resoluciones del Secretario de Estado de Seguridad sobre Contenidos Mnimos del PSO. Por lo tanto, se trata de un documento de carcter voluntario que no incluye requisitos adicionales a los establecidos por la legislacin vigente o por las Resoluciones mencionadas previamente. En esta gua se incluyen una serie de Anexos (ejemplos, relacin de estndares y buenas prcticas, etc.) que podrn ser de ayuda a los operadores crticos para la confeccin de alguno de los puntos de los contenidos mnimos del Plan de Seguridad del Operador. 1.3 PROTECCIN DE LA INFORMACIN Tras la aprobacin del PSO, su grado de clasificacin ser de Difusin Limitada, debiendo el Operador Crtico (en adelante OC) definir sus procedimientos de gestin y tratamiento de la informacin conforme a unos estndares de seguridad que garanticen una adecuada y eficaz proteccin de dicha informacin. Para ello, el OC tomar como referencia las orientaciones dictadas por la Autoridad Nacional de Seguridad, para la Proteccin de la Informacin clasificada con grado de difusin limitada entre las que cabe destacar 1 : Seguridad documental o OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin Clasificada con Grado de Difusin Limitada. Seguridad en el personal o OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a Informacin Clasificada. Seguridad fsica o OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona de Acceso Restringido. o OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso Restringido.

Los documentos mencionados pueden consultarse en la direccin: http://www.cni.es/es/ons/documentacion/normativa/

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

2.

POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE GOBIERNO

2.1 POLTICA GENERAL DE SEGURIDAD DEL OPERADOR El marco normativo de cualquier organizacin estar compuesto, habitualmente, por un conjunto de polticas de alto nivel, normas o estndares de desarrollo y procedimientos operativos o instrucciones de trabajo. La Poltica de Seguridad 2 a la que se refiere el PSO se trata del documento de mayor nivel de este conjunto mencionado que debera reunir una serie de requisitos que detallaremos a continuacin. Esta Poltica de Seguridad puede adoptar formas diversas, todas ellas, igualmente vlidas: Documento en papel, manifestacin en la Intranet de la Organizacin y, en general, cualquier soporte que permita comprobar los aspectos recogidos en los apartados siguientes. 2.1.1 Objeto El objeto de la Poltica marca de manera fundamental todo el desarrollo posterior del cuerpo normativo, la organizacin de la funcin y las actividades relacionadas con la seguridad, as como, de manera muy clara, qu indicadores se utilizarn para medir la eficacia y eficiencia de las medidas implantadas. Este objeto es la estrategia de la funcin de seguridad, por lo que debera recoger cul es su misin y su visin en el contexto de la estrategia global de la organizacin, aunque tambin podra adoptar otras formas (declaracin de objetivos, etc.). Normalmente, la estrategia de seguridad reflejar la intencin de la organizacin de cumplir sus objetivos a largo plazo minimizando los riesgos, cumpliendo las normas de seguridad que le sean aplicables y previniendo y anticipando los incidentes que pudieran afectar a dichos objetivos organizativos. Dado que la seguridad absoluta no es factible, es lgico que se asuma en el objeto que van a existir incidentes y que se realizar una gestin de los mismos que permita minimizar su impacto en la consecucin de los objetivos de la organizacin. El objeto de la poltica debera resaltar la proteccin de las infraestructuras crticas (IICC) especialmente frente a ataques deliberados. Dado que este tipo de amenazas presentan un perfil de baja probabilidad y alto impacto, su proteccin no responde a los parmetros habituales de eficacia y eficiencia. Por lo tanto, se debera
2

Ver Anexo 1, apartado 7.1

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

recoger en esta poltica para la proteccin de las IICC qu criterios se aplicarn para responder adecuadamente a la materializacin de estas amenazas de alto impacto de forma que se minimice el dao sobre las personas, el medio o el servicio esencial que se provee. 2.1.2 mbito o alcance La Poltica de Seguridad puede tener un alcance limitado en distintos ejes: geogrficos (pases, regiones), mbitos de aplicacin (fsico, lgico), organizativos (unidades, filiales), etc. Lgicamente, cada operador puede decidir cul es la mejor forma para organizarse y no existen, a priori, modelos mejores o peores. En cualquier caso, para que la poltica de seguridad sea relevante para el PSO debera incluir en su alcance los servicios esenciales y las IICC operadas por la organizacin. Los requisitos que existen en este sentido es que la(s) poltica(s) de seguridad debe(n) cubrir exhaustivamente todas las IICC operadas por la organizacin incluyendo la proteccin de las personas, los procesos y la tecnologa (enfoque integral de la seguridad). En relacin con el alcance de la poltica, se debera prestar atencin especial a aspectos tales como los siguientes: Consideracin integral de la seguridad incluyendo los aspectos lgicos y fsicos. Inclusin, tanto de los sistemas de informacin TIC de gestin, como de los sistemas de informacin para el control de los procesos industriales. Aplicacin a los servicios esenciales y a las localizaciones y ubicaciones consideradas como crticas. Inclusin de las relaciones de dependencia como, por ejemplo, las empresas filiales que operen los servicios esenciales y las IICC. 2.1.3 Compromiso de la alta direccin El compromiso de la Alta Direccin es un factor esencial para garantizar la aplicacin de medidas de seguridad en una organizacin, por lo que debera implicarse, desde el inicio, en el propio proceso de definicin de la Poltica. Dicho compromiso puede adoptar formas diversas, pero normalmente, el ms habitual es la sancin por el mximo rgano directivo de la Poltica de Seguridad que se va a aplicar, idealmente, con la firma del documento.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Adems de este aspecto formal, el compromiso de la Direccin tiene otras formas de reflejarse en relacin a la seguridad: Aspectos organizativos: Si existe un compromiso de la Direccin con la seguridad, la funcin responsable de la misma debera ser independiente de la operacin / produccin de manera que se pudiera producir un sano conflicto de intereses entre operatividad y seguridad. Por ejemplo, el responsable de seguridad de la informacin no dependera del responsable de sistemas de informacin. Por otra parte, la Direccin fomentara y participara en los Comits / Grupos de Trabajo que se establecieran para una adecuada toma de decisiones y gestin de la seguridad en conjunto con las reas productivas y de soporte de la organizacin. Dotacin de recursos: La Direccin aportara los medios suficientes, dentro de las posibilidades de la organizacin, para implementar, operar y mantener los mecanismos de seguridad que se definan en lnea con el objeto de la funcin de seguridad. Concienciacin: La Direccin apoyara, participara e impulsara las actividades relacionadas con la sensibilizacin en materia de seguridad para los empleados y usuarios externos implicados en la seguridad, en particular, de las infraestructuras crticas. Relaciones con terceros : La Direccin facilitara el establecimiento de relaciones con otras organizaciones, privadas o pblicas, que contribuyan a la seguridad (CERTs, FFCCS, etc.). 2.1.4 Carcter integral de la seguridad Con independencia de cmo se organice la seguridad en otros mbitos del operador, es esencial abordar la proteccin de las IICC con un enfoque integral (es decir, tener una visin nica de las amenazas fsicas y cibernticas sobre las mismas y disear e implementar una estrategia de proteccin que integre medidas fsicas, informticas, operativas y del personal). Este enfoque integral no presupone que se deba implementar una organizacin nica de seguridad (aunque sera recomendable pues simplificara los procesos de integracin) sino que deberan existir mecanismos para abordar una proteccin con un enfoque integral (de hecho, una organizacin unificada de seguridad no garantiza que no persista un enfoque dual de la proteccin).

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

En este sentido, el operador deber indicar las medidas que garantizan este enfoque integral como, por ejemplo: Existencia de una organizacin unificada con objetivos, procesos y medios unificados. Procedimientos de trabajo (reuniones, elaboracin de procedimientos, mecanismos de monitorizacin conjuntos) enfocados a dotarse de una visin global. Existencia de rganos de coordinacin. 2.1.5 Actualizacin La Poltica de Seguridad debe ser un documento vivo que recoja las variaciones del entorno, de las infraestructuras y, tambin, del propio operador. Por tanto, la organizacin debera indiciar los mecanismos de actualizacin de dicha poltica lo que, normalmente, se debera traducir en un procedimiento de revisin bienal (en lnea con lo establecido en el RD) que establezca la responsabilidad para la realizacin de dicha revisin, los aspectos a analizar, los mecanismos de propuesta de modificaciones, as como la aprobacin, publicacin y difusin de los cambios (incluyendo, para el mbito de la proteccin de las IICC, la pertinente comunicacin con el CNPIC). Dado que existe la posibilidad de que el proceso de revisin concluya sin cambios, el procedimiento existente debera generar las evidencias necesarias para poder verificar que la revisin ha tenido lugar (actas de reuniones, punto en el orden del da del Comit de Seguridad, etc.), aunque finalmente no hubiera generado modificaciones en la Poltica. 2.2 MARCO DE GOBIERNO DE SEGURIDAD 2.2.1 Organizacin de Seguridad La Direccin de la Organizacin deber formalizar los nombramientos del responsable y delegado/s de seguridad de acuerdo a sus procedimientos internos. La funcin de seguridad, en particular, debera permitir dar cobertura de manera transversal a toda la Organizacin, para que se puedan cumplir los requerimientos establecidos. Adems de la documentacin que se debera aportar sobre la organizacin de la seguridad, bsicamente, organigrama del operador y de la funcin de seguridad donde

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

se pueda comprobar el nivel jerrquico de los distintos roles y los comits existentes en materia de seguridad, existen dos aspectos que tambin deberan ser considerados. Por una parte, el operador debera reflejar cmo la organizacin propuesta permite suficientemente la aplicacin y el cumplimiento de la Poltica. En este sentido, hay que considerar que existen funciones dentro de las organizaciones que colaboran en la implantacin de medidas de seguridad, como por ejemplo, la funcin de auditora interna que, en muchas organizaciones, tienen una responsabilidad clara en asegurar que se cumplen las polticas internas y los marcos normativos de aplicacin a la organizacin. Por este motivo, se debera considerar su inclusin en los organigramas mencionados anteriormente. Por otra parte, existen herramientas que pueden ayudar a demostrar la suficiencia requerida. Por ejemplo, se pueden utilizar matrices RACI 3 para la clarificacin de roles y responsabilidades dado que permiten reflejar, precisamente, quin se responsabiliza y encarga de cada tarea en una organizacin. Estas matrices se construyen indicando las distintas responsabilidades que existen (en este caso, se tratara de tareas relacionadas con la aplicacin y comprobacin de la Poltica de Seguridad) en filas y, en columnas, las funciones (los puestos) que existen dentro de la organizacin. Finalmente, las intersecciones se utilizan para indicar, donde aplique, el rol de una funcin en la ejecucin de una determinada tarea. Los roles que se utilizan son los que dan nombre a la matriz (por su inicial en ingls): R Responsable (responsable) A Autorizador (accountable) C Consultado (consulted) I Informado (informed)

Para construir dichas matrices hay que considerar algunas reglas muy simples: Solo puede existir una A (un autorizador) por cada tarea / responsabilidad. Pueden dejarse celdas en blanco, indicando que determinada funcin no interviene en la ejecucin de una tarea. Todos los actores deben aprobar la matriz RACI que se elabore. Finalmente, en caso de que se subcontraten algunas tareas en un tercero, en primer lugar, dicho tercero debera figurar en la matriz RACI con su correspondiente rol para las tareas asignadas y, por otra parte, se deberan indicar los compromisos existentes.

Ver Anexo 1, apartado 7.2.

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Normalmente, la manera ms adecuada de recoger esta informacin es en el contrato de prestacin de servicios aunque existen otras opciones: Puede existir un catlogo de servicios que recoja el encargo al proveedor o proveedores. Para los compromisos existentes, se pueden utilizar acuerdos de nivel de servicio como mecanismos de control y seguimiento del desempeo del proveedor (mtricas que deberan incluir tambin elementos de seguridad). En cualquier caso, el operador debera recoger los mecanismos que utiliza para controlar el cumplimiento de los compromisos existentes con el proveedor y, en particular, cmo gestiona la subcontratacin de tareas por el propio proveedor y la notificacin de incidentes. En el caso de que exista un Comit de Seguridad dentro de la Organizacin de Seguridad, sera recomendable que, al menos un miembro o representante de la Direccin, perteneciera a dicho Comit, de forma que las decisiones que se adopten en el, cuenten implcitamente con el respaldo de la Direccin. Responsable de Seguridad y Enlace / Delegado de Seguridad 4 El operador debe aportar la informacin solicitada en este apartado y adicionalmente, tambin podra informar de los mecanismos de contingencia y continuidad adoptados para garantizar la comunicacin con el Responsable de Seguridad y Enlace en caso de incidentes o que dicha persona se vea afectada por cualquier tipo de suceso adverso que no le permitan estar accesible. 2.2.2 Formacin y Concienciacin El plan de Formacin y Concienciacin aportado por el operador debera estar alineado con el objeto de la Poltica de Seguridad. Dicho plan, deber recoger la informacin solicitada adems de la informacin habitual de cualquier plan de este tipo: Duracin. Normalmente los planes de formacin y concienciacin se realizan a lo largo de perodos plurianuales. Objetivos. Es decir, las mejoras en la capacitacin y concienciacin que se persigue obtener con la ejecucin del plan. Pblico objetivo. Clasificacin y segmentacin de la audiencia a la que se dirige el plan. En este punto sera importante considerar los colectivos implicados

Ver Anexo 1, apartado 7.3

10

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

en la proteccin de los servicios esenciales, tanto directa como indirectamente, y con independencia de que se trate de personal propio o subcontratado. Medios - Mensajes. Para cada uno de los pblicos objetivos anteriormente identificados, se debera reflejar el mensaje que se le desea transmitir, as como el medio que se utilizar para hacrselo llegar (formaciones presenciales, vdeos, cursos online, boletines peridicos, seccin especfica en la Intranet, campaas de comunicacin interna). Seguimiento. Es decir, los mecanismos de evaluacin que se utilizaran para comprobar que las acciones que se han emprendido contribuyen a la consecucin de los objetivos marcados por el plan (como, por ejemplo, mtricas de adecuacin y aprovechamiento, poltica de firma de los asistentes, celebracin de pruebas de aprovechamiento, etc.). Asimismo, se podra incluir quin se encarga de recoger la informacin, la metodologa que utilizar, la periodicidad de las acciones, as como las acciones correctivas previstas. Actualizacin. Como todo plan, el Plan de Formacin y Concienciacin tiene una duracin temporal, por lo que debera ser actualizado peridicamente para revisar sus objetivos, mensajes, etc. El Plan debera incluir el procedimiento de revisin utilizado: responsable, elementos a revisar y mecanismo de aprobacin y publicacin y difusin de los cambios al mismo. En relacin a la concienciacin de los usuarios no hay que olvidar que no slo los cursos y los elementos de difusin tienen un efecto sobre el nivel de concienciacin de las personas, los elementos punitivos tambin tienen efecto sobre nuestras pautas de comportamiento, por lo que, los planes de concienciacin tambin pueden incluir elementos como: Procedimientos sancionadores en caso de incumplimiento de la Poltica de Seguridad. Difusin de sanciones, incidentes relacionados con la seguridad. Publicacin de informacin relativa a controles de monitorizacin implantados. Por ltimo, no se debera olvidar la necesidad de compromiso de la Direccin mediante la disposicin de los medios y recursos necesarios, pero tambin con muestras de apoyo pblico y notorio que ayudarn a desarrollar y garantizar el xito de los planes establecidos. 2.2.3 Modelo de gestin aplicado El modelo de gestin de la seguridad empleado por la organizacin para asegurar la aplicacin y cumplimiento de la Poltica de Seguridad incluye todos los elementos

11

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

tpicos de estos esquemas normalmente asociados a un ciclo de mejora continua PDCA (Plan Do Check Act) o ciclo de Deming con la particularidad, de que deberan considerar de manera concreta la proteccin de las IICC: Establecer el Sistema de Gestin (Planificar) o Establecer los objetivos y la poltica del sistema. o Crear los procesos y procedimientos necesarios para una adecuada gestin del riesgo. o Crear los mecanismos para el alineamiento de los objetivos del sistema con los objetivos del negocio. Implantar y operar el Sistema de Gestin y sus distintos componentes (Hacer) o Polticas y procedimientos. o Controles. o Procesos. Monitorizar y revisar el Sistema de Gestin (Comprobar). o Evaluar y, cuando sea posible, medir el funcionamiento de los procesos respecto a lo definido en la poltica y los objetivos del sistema. o Notificar los resultados de la evaluacin a la Direccin para su revisin. o Realizar acciones preventivas. o Abordar acciones correctivas a partir de los resultados de revisiones y auditoras internas. Por lo que respecta a las propias medidas de seguridad, adems del sistema de gestin anterior, deben cubrir todos los momentos en que son necesarias. Por ejemplo, se podran clasificar en las siguientes categoras: Prevencin y Deteccin o Responsabilidad sobre la seguridad. o Anlisis y gestin de riesgos. Proteccin y Defensa o Controles de la Direccin. o Adquisicin / aprovisionamiento de sistemas e infraestructuras. Alertas y Auditorias: Evaluacin y cumplimiento normativo. Medicin y mejora contina. Coordinacin y Respuesta: Relacin entre la gestin de la seguridad y el resto de la organizacin. En este contexto, es de especial importancia todo lo relacionado con los mecanismos de seguimiento de implantacin de medidas de seguridad, as como, las

12

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

mtricas de eficacia y eficiencia que se utilicen, sin el menoscabo de otros mecanismos de control como los llevados a cabo por las reas de auditora interna y/o cumplimiento. Por este motivo, la funcin de auditora debera incluir en su planificacin de trabajos, revisiones relacionadas con la proteccin de las IICC en todas sus dimensiones y sin olvidar elementos, como el software de control industrial. En esta misma lnea, la consideracin de la seguridad desde el inicio en la adquisicin y el aprovisionamiento de nuevos sistemas e infraestructuras sera esencial para evitar errores derivados del diseo de las mismas. De esta forma, antes de que cualquier sistema o infraestructura est operativa se debera verificar que cumple los requisitos de seguridad necesarios en funcin del Plan de Seguridad adoptado por la organizacin. 3. RELACIN DE SERVICIOS ESENCIALES PRESTADOS POR EL OPERADOR CRTICO

El principal objetivo es que el operador pueda realizar una presentacin y breve descripcin de la compaa o grupo al que pertenece dicho operador, pudiendo tenerse en cuenta aspectos como: Razn Social y matriz. Desglose de la estructura societaria. Desglose de la composicin accionarial y grado de participacin. Sedes principales y ubicacin geogrfica. Sector/es al que pertenece en funcin de la actividad desarrollada. Subsector/es para cada actividad desarrollada. Actividad desarrollada. Proveedores necesarios para la prestacin de los servicios esenciales identificados (incluyendo informacin como, por ejemplo, nombre de los proveedores y tipo de suministros prestados). Clientes finales de los servicios prestados identificado/s como esencial/es (incluyendo informacin como, por ejemplo, pases, administraciones, empresas, particulares, etc.). 3.1 IDENTIFICACIN DE LOS SERVICIOS ESENCIALES El OC debe realizar una breve descripcin de los servicios esenciales prestados a la ciudadana en relacin al concepto de servicio esencial recogido en el Art. 2 a) de la Ley, dentro del sector o subsector estratgico en el que se encuentra incluido. Para ello, podra aportar informacin como la siguiente:

13

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

 Identificacin de los servicios y reas de actividad que son o pueden ser esenciales para los ciudadanos. Tipologa de los activos o infraestructuras crticas sobre las que descansa dicho servicio o rea de actividad. Medios materiales, personales y recursos de los que dispone para la prestacin del servicio. Ubicacin geogrfica en la que se presta el servicio identificado como esencial, (por ejemplo: pas, comunidad autnoma, ciudad, etc.), identificando localidades y estimacin del volumen de poblacin en su rea de influencia. Empresas con las que comparte la ubicacin geogrfica. 3.2 MANTENIMIENTO DEL INVENTARIO DE SERVICIOS ESENCIALES

Se debera realizar una descripcin del procedimiento de mantenimiento del inventario de los servicios identificados como esenciales como consecuencia de la evolucin normal que cualquier empresa experimenta respecto a los servicios que ofrece. Se deberan describir las formas y procedimientos de identificacin, mantenimiento, revisin y actualizacin, as como el rgano responsable encargado de los mismos. En dicho mantenimiento se debera tener en cuenta al menos: El ajuste de cartera de servicios, fusiones, adquisiciones, ventas de activos... La internalizacin de procesos operativos. Los periodos establecidos en el Plan conforme al punto 1.4 incluido en la gua de contenidos mnimos del PSO (la legislacin establece perodos de actualizacin bienales o cuando se produzcan cambios significativos). 3.3 ESTUDIO Y CONSECUENCIAS DE LA INTERRUPCIN DEL SERVICIO ESENCIAL

El estudio de consecuencias que debe llevar a cabo el OC, debe realizarse conforme a lo que se entiende en la legislacin por interrupcin que excede a la simple indisponibilidad del servicio ya que considera la no disponibilidad del servicio esencial [] motivado por alguna alteracin o interrupcin en el tiempo o una destruccin parcial o total de las infraestructuras que gestionan dicho servicio. Se debera realizar un anlisis de los resultados del estudio de las consecuencias que supondra la interrupcin y no disponibilidad para cada uno de los servicios identificados como esenciales en caso de: Alteracin de su funcin. Interrupcin en el tiempo. Destruccin parcial o total de la infraestructura que gestiona el servicio. Etc. MINISTERIO DEL INTERIOR 14 ______________________
SECRETARIA DE ESTADO DE SEGURIDAD

Adicionalmente, se debera identificar claramente, para cada uno de los casos, la siguiente informacin: Extensin geogrfica y nmero de personas que pueden verse afectadas. Efectos en el tiempo. Impacto econmico. Impacto medioambiental. Impacto en la vida y salud de las personas. Efecto sobre operadores y servicios esenciales dependientes. Existencia de alternativas de prestacin del servicio esencial o mecanismos de contingencia proporcionados por el propio operador y nivel de degradacin que conllevan. 3.4 INTERDEPENDENCIAS Se debera realizar una descripcin de las posibles interdependencias entre servicios esenciales e infraestructuras crticas que los soportan, as como con las de otros operadores dentro del mismo sector o diferente, que deban ser consideradas en el anlisis de riesgos. Algunos ejemplos de interdependencias a considerar seran los siguientes: Entre las propias instalaciones o servicios del operador. Con proveedores dentro de la cadena de suministros del propio operador. Con servicios esenciales prestados por otros operadores del mismo sector con una breve explicacin del motivo que origina dichas interdependencias. Con servicios esenciales prestados a otros operadores de distinto sector. Con servicios esenciales prestados por operadores de otros pases. Etc. 4. METODOLOGA DE ANLISIS DE RIESGOS

El operador debe contar con una metodologa de anlisis de riesgos que permita identificar y gestionar los principales riesgos a los que se encuentran expuestos los servicios crticos derivados de cada operador. 4.1 DESCRIPCIN DE LA METODOLOGA DE ANLISIS

Cualquiera de las metodologas internacionalmente reconocidas que los operadores quieran utilizar para la identificacin y posterior gestin de sus riesgos debera tomar en consideracin, al menos, las fases incluidas en los apartados siguientes.

15

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Un aspecto fundamental de las metodologas de anlisis de riesgos es que los distintos valores que se utilizan y las estimaciones de los diferentes parmetros (vulnerabilidad, impacto) sean repetibles y con un mismo criterio a lo largo del tiempo para poder obtener valores comparables. 4.2 IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS QUE SOPORTAN LOS SERVICIOS ESENCIALES El nivel de detalle debera cubrir, al menos, lo siguiente: Servicios prestados; pudindose agrupar por clases uniformes a efectos de impacto en terceros. Dependencias de elementos que estn redundados de forma que, en principio, no seran crticos para la prestacin de los servicios, pero que se convertiran en crticos si fallara alguno de ellos. Dependencias de servicios de terceros, indicando la dependencia entre servicios y la posible complementariedad cuando un servicio puede reemplazar a otro (plan de contingencia). Instalaciones fsicas, en particular edificios, recintos y canalizaciones susceptibles de ataques o incidentes. Equipos de personas con roles crticos. Sistemas de informacin de soporte, como sistema, sin entrar en componentes salvo que alguno sea singular. Sistemas de control industrial de instalaciones (Sistemas SCADA) La valoracin de los activos estriba, principalmente, en la estimacin de las consecuencias derivadas de la interrupcin del servicio. Desde el punto de vista de los criterios para realizar esta valoracin se deber tener en consideracin lo establecido por la ley 8/2011 en lo relativo a criterios horizontales de criticidad. Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para obtener una modelizacin tpica de activos que podr ser utilizada a modo de gua para la realizacin de esta actividad. 4.3 IDENTIFICACIN Y EVALUACIN DE AMENAZAS A partir del listado de activos identificados, se debera realizar la identificacin de amenazas que pudieran llegar a afectar a estos activos con el fin de tratar de cubrir el mayor nmero de potenciales situaciones de riesgo.

16

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Para realizar esta identificacin se recomienda establecer una taxonoma con un cdigo que identifique a cada tipo de amenaza y contar con una estructura jerrquica que pueda ser refinada segn sea necesario. Ante cada posible amenaza que se considere, se debera establecer una escala de probabilidad de ocurrencia, a efectos de realizar el posterior anlisis (ya sea este cualitativo o cuantitativo). Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para obtener una modelizacin tpica de amenazas que podr ser utilizada a modo de gua para la realizacin de esta actividad. 4.4 VALORACIN Y GESTIN DE RIESGOS

El objetivo de esta actividad es la identificacin de las combinaciones de activos y amenazas que puedan afectar la prestacin de los servicios crticos, precisndose dichas consecuencias, en general y especialmente sobre la disponibilidad de los servicios. Para cumplir con este objetivo, sera necesario estimar el impacto potencial que provocara la materializacin de cada amenaza sobre los activos identificados por el operador. El impacto potencial mide el posible dao, independientemente de que sea ms o menos probable. Simplemente, se determina si es posible. Es posible que haya que definir niveles degradados de servicio que, sin prestar la calidad exigible en condiciones normales, faciliten un nivel de supervivencia. A partir de esta estimacin se calcular el riesgo potencial como resultado de la combinacin del impacto potencial con la probabilidad de que la amenaza se materialice en incidente o un ataque. De la totalidad de riesgos potenciales que se hayan identificado, ser necesario proceder a la gestin de los mismos. Dicha gestin consiste en la identificacin de las medidas de seguridad que reduzcan los riesgos potenciales. Sern de especial inters los controles en caso de incidentes. Los riesgos resultantes de la aplicacin de estas medidas de control determinarn los riesgos residuales a los que est expuesto cada operador. En particular, dada la naturaleza de las amenazas de origen intencionado, el operador debe indicar el tratamiento que va a dar a las amenazas de baja probabilidad y alto impacto (en cualquiera de sus dimensiones de valoracin). En este sentido, debera indicar la combinacin de medidas de seguridad que va a aplicar para prevenir, detectar o actuar en caso de que se materialice alguna de dichas amenazas, como, por ejemplo: MINISTERIO DEL INTERIOR 17 ______________________
SECRETARIA DE ESTADO DE SEGURIDAD

 Sistema de deteccin de alerta temprana. Procedimientos de respuesta ante incidentes. Mecanismos de contingencia. Etc. Sera recomendable, como parte de la metodologa de anlisis de riesgos, indicar la forma en la que se plasmarn los resultados de dicho anlisis y que recoja la informacin esencial para la evaluacin posterior del mismo por el CNPIC. 5. CRITERIOS DE APLICACIN DE MEDIDAS DE SEGURIDAD INTEGRAL 5

Como buenas prcticas para la aplicacin de medidas de seguridad integral, el Operador puede seleccionar las medidas de seguridad a implementar, por ejemplo, entre los estndares de seguridad reconocidos internacionalmente y en la legislacin especfica aplicable a su sector o con carcter general. En el mbito de la seguridad lgica se establece como buena prctica, realizar la seleccin de los controles de seguridad a implementar y gestionar de la ISO 27002: Definir la Poltica de Seguridad Corporativa Organizacin de la seguridad de la informacin Gestin de Activos Seguridad de los RRHH Gestin de las comunicaciones y operaciones Control de Acceso Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Gestin de incidentes de seguridad Gestin de la continuidad del negocio Cumplimiento de la legislacin aplicable Revisin y auditora de sistema de gestin de la seguridad integral implantado. En el mbito de la seguridad fsica no existe normativa referente al catlogo de medidas de seguridad previo, pero se deber seguir lo especificado por la legislacin de Seguridad Privada, especialmente lo recogido en la Orden Ministerial 316/2011 del Ministerio del Interior y su referencia a la normativa UNE/EN.

En el apartado 8. Anexo 2 Relacin de Estndares y Mejores Prcticas se incluye una relacin de documentacin que puede ser utilizada como soporte para la identificacin de medidas de seguridad integral.

18

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

En este sentido, ser especialmente til seguir las recomendaciones de la norma UNE/CLC TS 50131-7 (Sistemas de alarma. Sistemas de alarma de intrusin. Parte 7. Gua de aplicacin). Dado el enfoque integral que se pretende dar a las medidas de seguridad y conforme a la clasificacin de medidas genrica establecida en el apartado 4.2 Medidas de Seguridad de la Gua de Contenidos Mnimos del PPE, sera recomendable reflejar los criterios de aplicacin de las diferentes medidas recogidas en dicha clasificacin y que reproducimos en la tabla siguiente con algunos detalles adicionales. Respecto a dichos criterios, resaltar una vez ms que la prioridad debe ser aplicar dichas medidas en funcin del impacto que las amenazas puedan tener sobre los servicios esenciales (es decir, la probabilidad juega un papel secundario ya que el objetivo perseguido es la prevencin y la proteccin de las infraestructuras crticas). Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para obtener una modelizacin de rbol de salvaguardas que podr ser utilizada a modo de gua para la realizacin de esta actividad. A continuacin se muestra un registro de ejemplos de medidas de seguridad aplicadas a activos fsicos y de seguridad de la informacin:

19

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

FSICOS ORGANIZATIVAS O DE GESTIN Anlisis de Riesgos Planificacin Definicin de roles y responsabilidades Cuerpo normativo Cumplimiento normativo Certificacin, acreditacin y evaluacin de seguridad OPERACIONALES O PROCEDIMENTALES Gestin de activos y de la configuracin Formacin y concienciacin Planes de Contingencias Supervisin continua Seguridad del personal Gestin de acceso - Gestin de usuarios Gestin de acceso - Control de accesos temporales Gestin de acceso - Control de entradas y salidas Procedimientos operacionales del personal de seguridad Evacuacin DE PROTECCIN O TCNICAS Medidas de prevencin y deteccin Anti-intrusin

ACTIVOS SISTEMAS DE INFORMACIN

Evaluacin y valoracin de las amenazas, impactos y probabilidades para obtener un nivel de riesgo Identificacin de objetivos y programacin de las actividades para conseguirlos Asignacin de responsabilidades en materia de seguridad Elaboracin de polticas, estndares y procedimientos de seguridad Identificacin de normativa aplicable y cumplimiento con las mismas Revisiones peridicas de los sistemas para evaluar su nivel de seguridad Identificacin de activos, control de inventario Planes de formacin y concienciacin en seguridad Planes de Contingencias informticas y fsicas Evaluacin / auditora continua de los sistemas Procesos de seleccin, rgimen interno, procedimientos de cese Altas, bajas y modificaciones Identificadores de usuario De personas, vehculos, temporales de los sistemas etc. (mantenimiento) Paquetera, Soportes, equipos e correspondencia informacin (DLP, DRM) Control de rondas de N/A seguridad Plan de evacuacin N/A

Control de accesos (incluye autenticacin)

Instalacin y configuracin segura

Proteccin frente a malware Desarrollo seguro de aplicaciones Medidas de coordinacin y monitorizacin Monitorizacin

Seguridad fsica y Firewalls, DMZs, IPSs, electrnica perimetral, segmentacin de redes, sistemas de deteccin proteccin del puesto de perimetral trabajo, cifrado, VPNs De personas, vehculos, Registro de usuarios, gestin paquetera y mercancas de privilegios, gestin de (medios humanos, claves secretas, revisin de tarjetas activas, lectores derechos de acceso, de tarjetas, lectores de identificadores de usuario matrculas, tornos, acceso a SSII scanner, etc.) Configuracin segura de los equipos y sistemas con carcter previo a su entrada en operacin, mantenimiento de los equipos y control de los cambios. Aseguramiento de las condiciones ambientales para su operacin (temperatura, humedad) Instalacin de sistemas antiN/A* virus, antispyware, etc. Desarrollo basado en N/A* mejores prcticas, auditoras preproduccin IDSs, sistemas de integridad de software y sistemas de monitorizacin y gestin de logs Creacin de equipos de respuesta a incidentes (CSIRT), infraestructuras SOC
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Sistemas CCTV (cmaras, video vigilancia) Centro de Control, central de alarmas propia, sistemas de comunicacin

Coordinacin (gestin de incidencias)

20

6. 6.1

DOCUMENTACIN COMPLEMENTARIA NORMATIVA, BUENAS PRCTICAS Y REGULATORIA

El operador recoger en una breve referencia toda aquella normativa y buenas prcticas que regulen el buen funcionamiento de los servicios esenciales prestados por todas y cada una de sus infraestructuras, as como los motivos por los cules les son de aplicacin. Las normativas a incluir comprenden tanto las de rango nacional, autonmico, europeo e internacional, como las sectoriales, relativas a: Seguridad Fsica Seguridad Lgica Seguridad de la Informacin en cualquiera de sus mbitos Seguridad Ambiental Autoproteccin y Prevencin de Riesgos Laborales. 6.2 COORDINACIN CON OTROS PLANES

Se identificarn todos aquellos Planes diseados por el operador relativos a diferentes aspectos como la continuidad de negocio, gestin del riesgo, respuesta, autoproteccin, emergencias que puedan coordinarse con el Plan de Seguridad del Operador y los respectivos Planes de Proteccin Especficos, y que seran activados en el caso de fallo de los mecanismos de prevencin una vez que se hubiera producido el incidente.

21

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7. 7.1

ANEXO 1: EJEMPLOS. POLTICA DE SEGURIDAD

7.1.1 APROBACIN Y ENTRADA EN VIGOR Texto aprobado el da <da> de <mes> de <ao> por <rgano que la aprueba>. Esta Poltica se Seguridad Integral es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Poltica. Este texto anula el anterior, que fue aprobado el da <da> de <mes> de <ao> por <rgano> qu lo aprob. 7.1.2. INTRODUCCIN El normal funcionamiento de los servicios esenciales que <el operador crtico> presta a la ciudadana descansa sobre una serie de infraestructuras cuyo funcionamiento es indispensable y no permite soluciones alternativas denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad homognea e integral, en la cual se definan los subsistemas de seguridad que se van a implantar para la proteccin de las mismas con el objetivo de impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de los servicios esenciales a la poblacin, o con consecuencias catastrficas para las vidas de las personas o el medio ambiente. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestacin continua de los servicios. Esto implica que los departamentos deben aplicar las medidas de seguridad definidas, as como realizar un seguimiento continuo de los niveles de prestacin de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. Los diferentes departamentos deben cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del servicio esencial, desde su concepcin hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisicin y las actividades de explotacin. 7.1.3 ALCANCE Esta poltica se aplica a todas las infraestructuras crticas del <el operador crtico> y a todos los miembros de la organizacin, sin excepciones. 22
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.1.4 MISIN Describir los objetivos de servicio del operador crtico. 7.1.5 MARCO NORMATIVO Listar leyes, reglamentos y otra normativa, nacional o internacional, a la que el operador crtico est sujeto. 7.1.6 ORGANIZACIN DE LA SEGURIDAD 7.1.6.1 Comits: Funciones y Responsabilidades El Comit de Seguridad Integral estar formado por <>. Aqu aparecen cargos corporativos y designaciones de departamentos dentro del organismo cuando proceda. El Secretario del Comit de Seguridad TIC ser <> y tendr como funciones <>. El Secretario del Comit de seguridad Fsica ser <> y tendr como funciones <>. El Comit de Seguridad Integral informar a <>. El Comit de Seguridad Integral tendr las siguientes funciones: <>. 7.1.6.2 Roles: Funciones y Responsabilidades Cuando proceda, se detallar el nombramiento de los Delegados de Seguridad y las funciones que les son delegadas. Se detallarn igualmente las funciones del Responsable de Seguridad y Enlace. 7.1.6.3 Revisin Ser misin del Comit de Seguridad Integral la revisin de esta Poltica de Seguridad y la propuesta de revisin o mantenimiento de la misma. La Poltica ser aprobada por <rgano que la aprueba> y difundida para que la conozcan todas las partes afectadas. 23
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.1.7 MANEJO DE INFORMACIN <El operador crtico> trata datos de carcter personal. El <documento de seguridad> que se puede encontrar en <indicar la forma de localizar y acceder al documento de seguridad> recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de informacin de <el operador crtico> se ajustarn a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carcter personal recogidos en el mencionado Documento de Seguridad. Por otra parte, la informacin relativa al Plan de Seguridad Integral ser tratada y custodiada segn se indica en los procedimientos especficos (acorde a la reglamentacin que sea de aplicacin en cada momento) conforme a su consideracin como informacin de difusin limitada. 7.1.8 GESTIN DE RIESGOS Todos los servicios sujetos a esta Poltica debern realizar un anlisis de riesgos, evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se repetir: regularmente, al menos una vez al ao, cuando cambien los servicios prestados, cuando ocurra un incidente grave de seguridad, cuando se reporten vulnerabilidades graves. Para la armonizacin de los anlisis de riesgos, el Comit de Seguridad Integral establecer una valoracin de referencia para los diferentes tipos de informacin manejados y los diferentes servicios prestados. El Comit de Seguridad Integral dinamizar la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes servicios, promoviendo inversiones de carcter horizontal. 7.1.9 PREVENCIN, DETECCIN, REACCIN Y RESPUESTA Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes de acuerdo a la Ley de Proteccin de Infraestructuras Crticas.

24

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.1.9.1 Prevencin Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la informacin, los servicios, las vidas de las personas o el medio ambiente se vean perjudicados por incidentes derivados de actos malintencionados. Para ello los departamentos deben implementar medidas de seguridad, as como cualquier control adicional identificado a travs de una evaluacin de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. 7.1.9.2 Deteccin Dado que los servicios se pueden degradar rpidamente debido a incidentes, que van desde una simple desaceleracin hasta su detencin, los servicios deben monitorizar la operacin de manera contina para detectar anomalas en los niveles de prestacin de los servicios y actuar en consecuencia. La monitorizacin es especialmente relevante cuando se establecen lneas de defensa a distintos niveles, por tanto, se establecern mecanismos de deteccin, anlisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviacin significativa de los parmetros que se hayan preestablecido como normales. 7.1.9.3 Respuesta Los departamentos deben: Establecer mecanismos para responder eficazmente a los incidentes de seguridad. Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros operadores crticos. Establecer protocolos para el intercambio de informacin relacionada con el incidente. Ponerse en contacto con las Fuerzas y Cuerpos de Seguridad segn los procedimientos especficos previstos. Establecer comunicacin con los cuerpos de emergencias y proteccin civil. 7.1.9.4 Recuperacin Para garantizar la disponibilidad de los servicios crticos, los departamentos deben desarrollar planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperacin. 25
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.1.10 OBLIGACIONES DEL PERSONAL Todos los miembros de <el operador crtico> tienen la obligacin de conocer y cumplir esta Poltica de Seguridad Integral, siendo responsabilidad del Comit de Seguridad Integral disponer los medios necesarios para que la informacin llegue a los afectados. Todos los miembros de <el operador crtico> atendern a una sesin de concienciacin en materia de seguridad integral al menos una vez al ao. Se establecer un programa de concienciacin continua para atender a todos los miembros de <el organismo>, en particular a los de nueva incorporacin. Las personas con responsabilidad en el uso, operacin o administracin de servicios esenciales recibirn formacin para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formacin ser obligatoria antes de asumir una responsabilidad, tanto si es su primera asignacin o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo. 7.1.11 TERCERAS PARTES Cuando <el operador crtico> preste servicios a otros <> o maneje informacin de terceros <>, se les har partcipe de esta Poltica de Seguridad Integral, se establecern canales para reporte y coordinacin de los respectivos Comits de Seguridad Integral y se establecern procedimientos de actuacin para la reaccin ante incidentes de seguridad. Cuando <el operador crtico> utilice servicios de terceros o ceda informacin a terceros, se les har partcipe de esta Poltica de Seguridad que ataa a dichos servicios o informacin. Dicha tercera parte quedar sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecern procedimientos especficos de reporte y resolucin de incidencias. Se garantizar que el personal de terceros est adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Poltica. Cuando algn aspecto de la Poltica no pueda ser satisfecho por una tercera parte segn se requiere en los prrafos anteriores, se requerir un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerir la aprobacin de este informe por los responsables de la informacin y los servicios afectados antes de seguir adelante. 26
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.1.12 DESARROLLO DE LA POLTICA DE SEGURIDAD INTEGRAL Esta Poltica de Seguridad Integral complementa las polticas de seguridad de <el operador crtico> en diferentes materias: Listar referencias a otras polticas en materia de seguridad. Esta Poltica se desarrollar por medio de normativa de seguridad que afronte aspectos especficos. La normativa de seguridad estar a disposicin de todos los miembros de la organizacin que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de informacin y comunicaciones. La normativa de seguridad estar disponible en la intranet: URL e impresa en (LOCALIZACIN).

27

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

7.2 MATRIZ RACI

CIO - Chief Information Officer

CEO - Chief Executive Officer

CSO - Chief Security Officer

Comit de Seguridad

Recursos Humanos R

Elaboracin de poltica de Seguridad

Ejecucin del Plan de Formacin y Concienciacin Elaboracin y mantenimiento de anlisis de riesgos Elaboracin Plan de Tratamiento del Riesgo I A

I A I

A R R

28

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

reas de negocio C C

7.3

DESIGNACIN DE RESPONSABLES

Responsable de Seguridad y Enlace <Nombre organizacin> designa a <nombre y apellidos> como responsable de seguridad y enlace. Este responsable podr ser sustituido por <nombre y apellidos>. Los datos de los asignados son:

Responsable Nombre Direccin Telfonos Email Nmero de la tarjeta identificativa de Director de Seguridad expedida por el Ministerio del Interior. Referencia o copia del nombramiento.

Sustituto

El responsable, y en su defecto el sustituto, tendrn las siguientes funciones: Representar al operador crtico ante la Secretaria de Estado de Seguridad - En materia relativas a la seguridad de sus infraestructuras - En materia relacionada con los diferentes planes especificados en el real decreto Canalizar las necesidades operativas e informativas que surjan.

FIRMA

29

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

Delegados de Seguridad de las Infraestructuras Crticas. <Nombre organizacin> designa para cada infraestructura los siguientes responsables y su correspondiente sustituto. Los datos de los delegados y sus sustitutos son:

Infraestructuras Infraestructura X Nombre Direccin Telfonos Email Referencia o copia del nombramiento. Infraestructura Y Nombre Direccin Telfonos Email

Responsable

Sustituto

El responsable, y en su defecto el sustituto, tendrn las siguientes funciones: Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia relativas a la seguridad de sus infraestructuras. Canalizar las necesidades operativas e informativas que surjan.

FIRMA

30

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

8.

ANEXO 2: RELACIN DE ESTNDARES Y MEJORES PRCTICAS

A continuacin se enumeran y describen una serie de estndares, guas y mejores prcticas que existen a nivel nacional e internacional. 8.1 ESTNDARES Y MEJORES PRCTICAS NACIONALES

8.1.1 Sistemas SCADA y Esquena Nacional de Seguridad La presente tabla recoge las diferentes guas de seguridad sobre sistemas de control industrial (SCADA) y relativas al Esquema Nacional de Seguridad. Estas guas han sido elaboradas por el Centro Criptolgico Nacional del Centro Nacional de Inteligencia del Ministerio de la Presidencia, y estn dirigidas a las diferentes administraciones pblicas. El listado presenta en su mayora guas en su versin definitiva actual si bien hay otras en formato borrador, siendo de acceso pblico 6 :
SERIES CCN-STIC 480A 480B 480C 480D 480E 480F 480G 480H 800 801 802 803 804 805 806 807 808 809 810 811 812 813 814 815 816 817 818 NOMBRE Seguridad en Sistemas SCADA Gua de buenas prcticas Seguridad en Sistemas SCADA Comprender el riesgo del negocio Seguridad en Sistemas SCADA Implementar una arquitectura segura Seguridad en Sistemas SCADA Establecer capacidades de respuesta Seguridad en Sistemas SCADA Mejorar la concienciacin y las habilidades Seguridad en Sistemas SCADA Gestionar el riesgo de terceros Seguridad en Sistemas SCADA Afrontar proyectos Seguridad en Sistemas SCADA Establecer una direccin permanente Glosario de trminos y abreviaturas del ENS (BORRADOR) Responsabilidades y Funciones en el ENS Auditora del Esquema Nacional de Seguridad Valoracin de Sistemas en el ENS Medidas de Implantacin del ENS (BORRADOR) Poltica de Seguridad de la Informacin Plan de Adecuacin del ENS Criptologa de Empleo en el ENS Verificacin del Cumplimiento de las Medidas en el ENS (BORRADOR) Declaracin de conformidad del ENS (BORRADOR) Gua de Creacin de CERT,s (BORRADOR) Interconexin en el ENS (BORRADOR) Seguridad en Servicios Web en el ENS (BORRADOR) Componentes Certificados en el ENS Seguridad en Servicio de Correo en el ENS (BORRADOR) Indicadores y Mtricas en el ENS (BORRADOR) Seguridad en Redes Inalmbricas en el ENS Gestin de Incidentes de Seguridad en el ENS Herramientas de seguridad en el ENS VERSIN feb-10 mar-10 mar-10 mar-10 ene-10 mar-09 mar-09 mar-10 mar-11 feb-11 jun-10 ene-11 jul-10 sep-11 ene-11 sep-11 oct-10 jul-10 sep-11 sep-11 oct-11 ago-11 dic-11

800 Esquema Nacional de Seguridad

Pendientes de publicar

Guas CCN-STIC relacionadas con sistemas SCADA: https://ccn-cert.cni.es/ic Guas CCN-STIC de la serie 800 relativas al Esquema Nacional de Seguridad: https://ccn-cert.cni.es/ens

31

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

8.1.2 Seguridad Fsica UNE-EN 50131-1:2008/A1:2010 Sistemas de alarma contra intrusin y atraco Parte 1: Requisitos del sistema. Norma multi-parte especfica de los sistemas de alarma Proporciona una descripcin general de los sistemas de Deteccin de Intrusin especificando los grados de Seguridad. UNE/CLC TS 50.131.7 Sistemas de alarma. Sistemas de alarma de intrusin. Parte 7. Gua de aplicacin Expone una gua para implementar correctamente un Sistema de Seguridad frente a Intrusin, indicando los pasos a seguir en el Proyecto, la Instalacin, la puesta en marcha y el mantenimiento y explotacin 8.1.3 Mtricas e Indicadores UNE 66175 Sistemas de gestin de la Calidad. Gua para la implantacin de sistemas de indicadores Esta norma facilita el establecimiento de indicadores y cuadros de mando, que contribuyen activamente a la medicin de los fenmenos concernientes al funcionamiento de una organizacin y facilita la toma de decisiones. As mismo explica la relacin existente entre cuadros de mando, indicadores y objetivos. 8.2 ESTNDARES Y MEJORES PRCTICAS INTERNACIONALES

8.2.1 Gobernanza y Gestin de TI incluida la calidad y la cadena de suministro ISO/IEC 20000 Information technology -- Service management Es una norma multi-parte basado en ITIL (IT Infrastructure Library) para la gestin de los servicios prestados por IT. Es un conjunto de buenas prcticas aplicables a los sectores pblicos y privados. Es posible la certificacin, la formacin acreditada y la utilizacin de herramientas para facilitar su implementacin.

32

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

ISO/IEC 20000 Part 1:2005 Information technology service management. Describe los requerimientos de gestin de los servicios de IT frente a los cuales se puede certificar una organizacin. ISO/IEC 20000 Part 2:2005 Information technology service management. Code of Practice for Service Management. Proporciona una gua prctica para los implementadores y un conjunto de buenas prcticas para la gestin de los servicios. ISO/IEC 38500 -- Corporate governance of information technology - a standard for corporate governance of information technology Proporciona los principios directrices a los responsables de las organizaciones para el uso aceptable, efectivo y eficiente de las Tecnologas de la Informacin en la organizacin. El estndar hace referencia a al proceso de gestin del gobierno de TI y las decisiones relativas a los servicios de informacin y comunicaciones de la organizacin. ISO/IEC 13335 IT security management Es una norma multi-parte que proporciona un conjunto de directrices para la gestin de la seguridad de TI, centrndose especialmente en controles tcnicos de seguridad. Estas normas estn siendo en parte sustituidas por la familia 270xx. ISO 9003:2004 Software engineering - Guidelines for the application of ISO 9001:2000 to computer software. Contempla los aspectos de calidad desde el desarrollo, suministro, adquisicin, operacin y mantenimiento para software. ISO/IEC 28000 Specification for security management systems for the supply chain. Su objetivo es mejorar la seguridad de la cadena de suministro mediante el anlisis de los riesgos y los planes de reaccin adecuados. Para ello, se requiere que la organizacin evale el entorno de seguridad en el que opera relativos a la financiacin, manufactura, gestin de la informacin y las ubicaciones de embalaje almacenamiento, transporte y localizacin. De forma que determine si se implementan unas medidas de seguridad adecuadas y si ya existen otros requisitos reglamentarios que la organizacin cumpla.

33

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

8.2.2 Seguridad de TI ISO/IEC 27000:2009 Es la introduccin y descripcin de las normas de la familia 270xx. ISO/IEC 27001:2005, Information security management systems Requirements Es el conjunto formal de especificaciones que describe el Information Security Management System (ISMS) (SGSI en espaol) contra el cual se puede certificar una organizacin. ISO/IEC 27002:2005, Code of practice for information security management Es el conjunto de buenas prcticas y controles aplicables a la gestin de la Seguridad de los sistemas de informacin. ISO/IEC 27003, Information security management system implementation guidance Gua facilitadora para la implantacin de la ISO 27001. Describe el proceso de diseo y especificacin del ISMS desde el inicio hasta la implementacin final. ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems Este estndar sirve de gua a los cuerpos de certificacin para especificar los procesos formales de certificacin de los sistemas de gestin de la seguridad de la informacin como terceras partes implicadas en el proceso. ISO/IEC 27007, Guidelines for information security management systems auditing Norma directamente relacionada con la ISO 19011. Proporciona las directrices para las competencias de los acreditadores y auditores de sistemas ISMS y las necesidades de cumplimiento del estndar ISO/IEC 27001.

34

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

ISO 21827 Systems Security Engineering Capability Maturity Model (SSE CMM) Describe las caractersticas esenciales del proceso de ingeniera de Seguridad que debe existir en una organizacin y recoge prcticas existentes en la industria. 8.2.3 Desastre y Recuperacin ISO/IEC 24762 Guidelines for information and communications technology disaster recovery services Proporciona directrices para la provisin de servicios de recuperacin de desastres para las tecnologas de la informacin y las comunicaciones (ICT DR) aplicable a servicios propios (in house) como externos (outsourced). BS 25999 Business Continuity Management Norma multi-parte Britnica de la Gestin de Continuidad del Negocio. La parte primera establece los procesos, principios y terminologa junto con un conjunto de buenas prcticas para todo el ciclo de vida de la gestin de la continuidad. La parte segunda proporciona las especificaciones formales frente a las cuales auditar el cumplimiento de las organizaciones. Se convertir en la futura ISO 22301 Societal security - Preparedness and continuity management systems Requirements. ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communications technology readiness for business continuity Basado en la antigua BS 25777:2008 Information and communications technology continuity management. Code of practice. Proporciona directrices sobre los conceptos y principios que subyacen en los aspectos de la informacin y las comunicaciones en el aseguramiento de la continuidad de negocio. Este estndar abarca todos los eventos e incidentes y no slo los relacionados con la seguridad de la informacin apoyndose en el concepto ICT Readiness for Business Continuity (IRBC). ISO/PAS 22399 Societal security - Guideline for incident preparedness and operational continuity management Proporciona directrices para desarrollar por parte de una organizacin sus propios criterios de rendimiento para la preparacin de incidentes, la continuidad de las 35
MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

operaciones, y el diseo de un sistema de gestin permite a una organizacin medir su resiliencia de forma consistente. 8.2.4 Mtricas e Indicadores ISO/IEC 27004, Information security management Measurement Proporciona directrices sobre el desarrollo y uso de medidas y mtricas para evaluar la efectividad de los controles establecidos y del propio ISMS implantado en la organizacin. 8.2.5 Auditora y Control ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing ISO 19011 Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental Esta Norma Internacional proporciona orientacin sobre la gestin de los programas de auditora, la realizacin de auditoras internas o externas de sistemas de gestin de la calidad y/o ambiental, as como sobre la competencia y la evaluacin de los auditores. 8.2.6 Gestin de Riesgos ISO/IEC 27005:2008, Information security risk management Proporcionar directrices para la gestin de riesgos en Seguridad TI y apoya el enfoque basado en riesgos de los conceptos propuestos por la ISO/IEC 27001 y ISO/IEC 27002. ISO 31000 Risk management Principles and guidelines Esta norma sustituye a la AS/NZS 4360. Proporciona las directrices y principios para la implementacin de una gestin de riesgos estableciendo como una organizacin debera entender su contexto especfico en el que implementar la gestin de riesgos. Por tanto, la norma cubre la gestin de riesgos en un sentido amplio y no centrada especficamente en la seguridad de la informacin o los riesgos de IT.

36

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

ISO/IEC 31010 Risk management Risk assessment techniques Proporciona directrices para la seleccin y aplicacin sistemtica de tcnicas para la evaluacin de riesgos como una parte integral de la gestin de riesgos para que los gestores puedan entender los riesgos que pueden afectar los objetivos del negocio de forma que se puedan evaluar y proporcionar controles efectivos y adecuados para la mitigacin de los mismos. 8.2.7 Seguridad Laboral OHSAS 18001 Sistemas de gestin de la seguridad y salud en el trabajo Especifica los requisitos para un sistema de gestin de la Seguridad y Salud en el Trabajo (SST), destinados a permitir que una organizacin controle sus riesgos de SST y mejore su desempeo proteccin de la SST. 8.2.8 Certificacin y Acreditacin ISO/IEC 15408:2008 (Information technology -- Security techniques -Evaluation criteria for IT security Esta norma multi-parte describe los criterios comunes (CC) de evaluacin para la seguridad de las tecnologas de informacin (IT). Los productos que evalan contra esta norma logran un nivel definido de aseguramiento en cuanto a la capacidad de seguridad de la informacin se refiere. Este nivel de evaluacin es reconocido por todos los miembros adheridos al acuerdo (arreglo) de Common Criteria. ISO/IEC TR 19791:2010 Information technology Security techniques Security assessment of operational systems Este informe tcnico extiende la evaluacin de productos establecida en la norma de ISO/IEC 15408 de Common Criteria, a los sistemas operacionales proporcionado las guas y criterios de evaluacin de seguridad para estos sistemas al tener en cuenta el entorno del sistema operacional a evaluar as como la posibilidad de descomponer un sistema operacional complejo en dominios de seguridad que pueden ser evaluados independientemente.

37

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD

8.2.9 Coordinacin y Respuesta ISO/IEC 18043 Selection, deployment and operations of Intrusion Detection Systems (IDS) Proporciona un gua para entender los beneficios y limitaciones de un IDS: como realizar la integracin de las deteccin de intrusos en la organizacin, el desarrollo de una estrategia y plan de implementacin para un IDS, cmo gestionar efectivamente las salidas, as como integrar el sistema IDS en las practicas de la organizacin teniendo en cuenta las necesidades legales y de privacidad que afectan a un IDS. ISO/IEC 27035:2011 Information technology -- Security techniques -Information security incident management Los incidentes siempre van a ocurrir de una u otra forma debido a las imperfecciones e inefectividad de los controles preventivos. Por lo que la gestin efectiva de incidentes implica controles defectivos y correctivos designados para minimizar el impacto adverso y aprender las lecciones en trminos de la mejora del ISMS, especialmente la implementacin de controles preventivos ms eficientes. -----oo00oo-----

38

MINISTERIO DEL INTERIOR ______________________ SECRETARIA DE ESTADO DE SEGURIDAD