Documento complementario a la Guía de buenas prácticas de GFCE-MERIDIANsobre protección de infraestructuras críticas de la información para responsables de políticas gubernamentales[Logo Meridian]

PRÓLOGO

La Guía de buenas prácticas de GFCE-MERIDIAN sobre infraestructuras críticas de la información para responsables de políticas gubernamentales de 2016 (en lo sucesivo, GBP 2016) presentaba la protección de infraestructuras críticas de la información (PICI) como un tema complejo pero importante para los países. Por su naturaleza, la PICI es un asunto de seguridad nacional debido a que una infraestructura crítica de información (ICI) en caso de fallo, interrupción o destrucción puede causar un grave impacto en la sociedad, la economía y el bienestar de los ciudadanos. Las sociedades en general tienen una gran dependencia del correcto funcionamiento de las infraestructuras críticas (IC); como, por ejemplo, el suministro eléctrico, las telecomunicaciones, los sistemas financieros, el agua potable y los servicios gubernamentales. A su vez, estas IC, a menudo, dependen de manera crítica del correcto funcionamiento de las ICI. ICI es un concepto complejo que incluye a todas las tecnologías de la información y la comunicación (TIC) y las tecnologías de operaciones (OT). Estas también se conocen como sistemas de control industrial y sistemas SCADA, que realizan seguimientos y vigilancia de los procesos ciberfísicos esenciales. Las ICI incluyen: (1) infraestructuras críticas de las TIC (p. ej., telefonía móvil y servicios de Internet), (2) sistemas críticos de TIC y OT que forman parte de cada IC, y (3) nuevos servicios de las ICI que van más allá de estos sectores establecidos.

El enfoque de la GBP 2016 consistía en ayudar a las nuevas naciones que se estaban incorporando al ámbito de la PICI. La comunidad Meridian llegó a la conclusión de que era necesario elaborar una guía más detallada que incluyese una serie de buenas prácticas adicionales, tanto para los países que están avanzando en este ámbito como los que ya están establecidos, sobre:- Terminología y definiciones. - Identificación de las infraestructuras críticas de información (ICI). - Incorporación en la sociedad de las tecnologías de la información y la comunicación (TIC) y las tecnologías de operaciones (OT), así como sus efectos en la identificación de nuevos elementos críticos en las ICI nacionales.

Esta guía complementaria ofrece estas buenas prácticas y orientación que serán de utilidad para los líderes políticos y responsables de la formulación de políticas gubernamentales tanto en países que están avanzando en este ámbito como los que están en fases más avanzadas.

El equipo de redacción, en colaboración con el señor Peter Burnett (coordinador de Meridian), la señora Nynke Stegink (Centro de Ciberseguridad de los Países Bajos) y varios miembros de Meridian, confía en que este documento complementario a la GBP 2016 les sea de gran ayuda.

ÍNDICEPrólogo 1

Índice 2

1. Introducción a este documento complementario 3

1.1 Necesidad de proteger las infraestructuras críticas de la información 3

1.2 Objetivo de este documento complementario a la GBP 2016 3

1.3 ¿Cómo utilizar este documento complementario? 4

1.4 Bibliografía y material de lectura complementario 4

2. Clara terminología de la PICI 5

2.1 Descripción general y principales desafíos 5

2.2 Bibliografía y material de lectura complementario 12

3. Identificación de las ICI 15

3.1 Descripción general y principales desafíos 15

3.2 Buenas prácticas para la identificación de las ICI 16

3.3 Bibliografía y material de lectura complementario 21

4. Avances tecnológicos e identificación de nuevas ICI 23

4.1 Descripción general y principales desafíos 23

4.2 Buenas prácticas en relación con los avances en tecnología y la identificación de nuevas ICI 26

4.3 Bibliografía y material de lectura complementario 32

5. Lista de abreviaturas 35

Colofón 36

FIGURAS Figura 1 Conjunto de definiciones sobre seguridad y protección y su relación con los conceptos 7Figura 2 Infraestructura crítica de información (ICI). Basada en [GM2016] 10

Figura 3 Riesgo nacional e internacional incluyendo el riesgo de las IC y las ICI 23

Figura 4 División de las ICI en seis elementos 25

Figura 5 Ejemplo de un gráfico con las relaciones de dependencia de servicio de las IC basado en el conjunto de datos de la TNO donde figuran los incidentes de interrupción de las IC/ICI ocurridos en Europa entre 2005 y 2017 que aparecieron en medios de comunicación públicos 30

1 INTRODUCCIÓN

1.1 NECESIDAD DE PROTEGER LAS INFRAESTRUCTURAS CRÍTICAS DE LA INFORMACIÓN

La GBP 2016 [GM2016] presentaba la protección de infraestructuras críticas de información (PICI) como un tema complejo pero importante1 para los países. Por su naturaleza, la PICI es un asunto de seguridad nacional debido a que el fallo, interrupción o destrucción de las infraestructuras de críticas de información (ICI) pueden causar un serio impacto en la sociedad, la economía y el bienestar de los ciudadanos. En general, las sociedades dependen, y más concretamente las infraestructuras críticas (IC), del funcionamiento adecuado de sus ICI.

Dependiendo del punto al que haya llegado un país en la utilización de tecnologías digitales, las ICI nacionales incluyen los servicios críticos suministrados por: 1. el sector de las TIC (por ejemplo, telefonía móvil y servicios de Internet), 2. sistemas específicos de información, comunicación y tecnología de operaciones y redes en cada una de las IC nacionales, y 3. servicios críticos más allá del marco establecido para estas IC.

Para facilitar la comprensión de este documento complementario, se utiliza el concepto sector TIC en lugar de centrarse en cada una de las posibles variantes que cada país tiene para este término, p. ej. “sector de las TI y las telecomunicaciones”, incluyendo variantes de dos sectores distintos que son competencia de diferentes ministerios. En el capítulo 2, se definen y explican las ICI más detalladamente, así como la complejidad que, con el tiempo, están adquiriendo.

1.2 OBJETIVO DE ESTE DOCUMENTO COMPLEMENTARIO A LA GBP 2016 Muchos países trabajan ya en la protección de infraestructuras críticas (PIC), pero tienen dificultades a la hora de avanzar en la protección de infraestructuras críticas de la información. Otros están en el punto de partida tanto en lo que respecta a la PIC como a la PICI. También nos encontramos con muchos países que han dado grandes pasos en el desarrollo de la PICI. Su experiencia, ya sea positiva o negativa, merece la pena ser compartida. En 2016, la comunidad Meridian [Meridian] y el Foro Global de Experiencia Cibernética [GFCE] tuvieron la iniciativa de elaborar una guía de buenas prácticas sobre la PICI para ofrecer esos conocimientos de gran utilidad a los países que se encuentran en una fase temprana de desarrollo en la PICI.

Aunque fue muy bien acogida, algunos lectores de la GBP 2016 [GM2016] tuvieron problemas para visualizar la "imagen completa de la PICI" (de la prevención a la respuesta, y de lo operacional a lo estratégico) y para saber cómo las buenas prácticas pueden encajar en esta imagen. La comunidad Meridian se dio cuenta de la necesidad de hacer una guía más elaborada sobre los conceptos y la terminología de la PICI.

1 En adelante, el término de seguridad nacional no debe confundirse ni equipararse con la organización de la seguridad nacional de un país, p. ej: servicios de inteligencia/seguridad, Ministerio de Defensa y similares.

Es más, la comunidad [Meridian] identificó tres temas importantes, tanto para los países que están empezando en el ámbito de la PIC/PICI como para los que ya están establecidos, que requieren una explicación más detallada:

1. Definiciones y terminología, 2. Identificación de las ICI, 3. La incorporación en la sociedad de las TIC y las OT y su influencia para la identificación de nuevos elementos de las ICI nacionales.

1.3 ¿CÓMO UTILIZAR ESTE DOCUMENTO COMPLEMENTARIO? Este documento complementario presenta una serie de buenas prácticas y orientación a los líderes políticos y los responsables de políticas gubernamentales en este ámbito, tanto para los países en desarrollo como para los ya establecidos. En este formato, como documento complementario2, los contenidos deberían leerse junto con la GBP 2016. Los tres temas de este documento complementario profundizan y aportan buenas prácticas adicionales a los siguientes apartados de la GBP 2016: 1.3 "ICI, PICI y ciberseguridad", 4.2 "Buenas prácticas para la identificación de ICI" y 6.2" Buenas prácticas para la monitorización y mejora continua".

1.4 BIBLIOGRAFÍA Y MATERIAL DE LECTURA COMPLEMENTARIO[GFCE] Global Forum on Cyber Expertise website, [Página web del Foro Global sobre

Ciberexperiencia] https://www.thegfce.com

[GM2016] GFCE-MERIDIAN (2016), GFCE-MERIDIAN Good Practice Guide on Critical Information Infrastructure Protection for governmental policy-makers. [Guía de buenas prácticas sobre infraestructuras críticas de la información para responsables de políticas gubernamentales]. En línea, https://www.thegfce.com/initiatives/c/critical-informationinfrastructure-protection-initiative/documents/reports/2016/11/10/ciip-goodpractice-guide y a través de la página web, https://www.tno.nl/gcciip

[Meridian] Página web permanente de Meridian, https://www.meridianprocess.org

2 Es intención de los autores unir ambos documentos en uno a su debido tiempo.

2 CLARA TERMINOLOGÍA DE LA PICI

2.1 DESCRIPCIÓN GENERAL Y PRINCIPALES DESAFÍOSEl progreso de los países que abordan el tema de la PICI se ve a veces ralentizado por la falta de claridad y la confusión que generan algunos conceptos clave, sus definiciones y la terminología utilizada. En el campo de la PICI, la causa de tal confusión tiene su origen, en ocasiones, en el hecho de que un grupo relativamente pequeño de expertos intenta transmitir el concepto de PICI a los responsables de políticas gubernamentales utilizando una terminología innecesariamente compleja.

El riesgo de que exista una falta de claridad y comprensión implica la imposibilidad de poner de acuerdo a la totalidad de un gobierno respecto a la gran variedad de ámbitos políticos y funciones implicadas en la PICI. Ésta, por ejemplo, está relacionada con políticas de seguridad nacional debido a que cualquier error, interrupción o destrucción de las ICI puede causar efectos profundamente negativos para la sociedad, la economía y el bienestar de los ciudadanos.

Los departamentos que se encargan de las políticas de infraestructuras tradicionales, como las de la energía, seguridad, telecomunicaciones, agua potable, etc., es posible que tengan que adaptar sus políticas y normativas para abordar la PICI, que, a su vez, está relacionada con ámbitos de la política que se ocupan del desarrollo económico y las relaciones internacionales. Por sus características, la PICI requiere la gestión de una gran cantidad de partes interesadas y la cooperación a nivel estratégico, táctico y operativo. Así pues, para la aplicación de las TIC y las OT, están implicados el sector público y privado, fabricantes, integradores de sistemas, usuarios y entidades encargadas del mantenimiento. Además, los gobiernos nacionales deben organizar de forma equilibrada la asignación de recursos de la PICI, debido a la competencia para acceder estos; p.ej., dar prioridad a la demanda de recursos que supongan un factor de riesgo (como en el registro de riesgos de seguridad nacional del Reino Unido) y a aquellos recursos que pueden parecer más urgentes o están más de moda (p. ej., el ciberdelito).

El desafío, por tanto, es dar apoyo a los departamentos responsables de políticas gubernamentales, en sus funciones tácticas y operativas, y a los organismos para que tengan una idea clara de la PICI, así como de sus conceptos y sus definiciones. Una vez que se hayan asimilado, será entonces cuando se podrán difundir a todas las partes interesadas, por ejemplo, los operadores de ICI.

Las organizaciones que prestan servicios para las infraestructuras de información que pueden formar parte de una ICI nacional, o están designados como tal, tienen diferentes puntos de vista sobre el impacto producido como consecuencia de la interrupción o fallo de sus infraestructuras pertenecientes a las TIC y OT. Un importante reto es conseguir que estas organizaciones sean capaces de distinguir entre una infraestructura que es crítica para sus intereses, frente a la que es crítica para el bienestar del país (se debe tener en cuenta que ambos supuestos pueden coincidir). A la hora de definir y proteger las ICI, se debe recordar constantemente a todos los actores implicados que las ICI son aquellas que tienen un impacto potencial a nivel nacional, y no a nivel de una organización.

2.1.1 CONCEPTOS Y DEFINICIONES - UN BREVE ANÁLISIS Una comprensión colectiva de los conceptos y la terminología permite que las personas y organizaciones se comuniquen y entiendan mutuamente sin necesidad de explicar y debatir minuciosamente sobre un concepto una y otra vez.

Una vez que un concepto se ha entendido correctamente, se puede crear una definición con las palabras precisas y sus características para su difusión3. Las características (o criterios), como la magnitud del impacto o la cantidad de daños producidos después de una interrupción de las ICI, se especifican, la mayoría de las veces, en el momento de la "implementación" de la definición, por ejemplo: cuando se elabora una regulación o una norma del sector. Esta distinción es de vital importancia a la hora de definir las ICI con el mayor grado de abstracción, por un lado (p. ej.: Internet), y, por otro lado, el conjunto de servicios críticos y sus operadores. Por ejemplo: la conexión a Internet se puede considerar como un servicio crítico para una nación; un único operador para conectarse a Internet puede abarcar más del 45 % de la cuota de mercado de un país y, por tanto, se considera un operador clave dentro las ICI.

2.1.2 BUENAS PRÁCTICAS: ESTABLECER UN CONJUNTO COHERENTE DE DEFINICIONES RELACIONADAS CON LA PICIUna buena praxis implica, ante todo, utilizar un conjunto de definiciones coherentes. Para ello, se han identificado cuatro enfoques: 1. Precisión académica. Establecer el conjunto coherente de definiciones relacionadas con PICI de forma académica. Esto puede ser un proceso muy largo y tedioso cuando se intenta crear una definición muy estricta en la que se pretende dar cabida a todos los detalles. Además, una vez que aparezcan nuevos conocimientos y tecnologías en este ámbito en constante evolución, la definición puede necesitar modificaciones.2. Una opción práctica es utilizar definiciones ya existentes creadas por otros países u organismos. 3. Otro enfoque práctico, cuando no haya una definición disponible o esta no sea apta para el ámbito nacional, es crear rápidamente una serie de definiciones “sin pulir” y mejorar su contenido en un futuro cuando sea necesario. 4. Sin definiciones. No se definen los conceptos, sino que se redactan documentos sobre políticas de actuación en los que se utilizan términos como: "protección de infraestructura crítica de información”, “ciberseguridad” y otros que puedan intercambiarse. No es un enfoque recomendado, ya que requiere que las propias ideas del autor sobre un concepto estén, al final, en consonancia con las de otros autores y es probable que se cree confusión.

Crear un conjunto de definiciones a nivel nacional sobre la PICI se puede hacer partiendo de cero. No obstante, una buena práctica es buscar y utilizar las definiciones ya existentes, que se pueden encontrar en normas internacionales o en documentos públicos de otros países. Un recurso de utilidad es [CIPedia], donde se recogen las definiciones de todo el mundo sobre terminología en el ámbito de la PIC y la PICI.

Las definiciones que se reutilicen pueden modificarse para que se puedan entender en un país determinado. No obstante, es mejor trabajar con ellas sin cambios, ya que facilita el entendimiento y el debate entre las naciones. Además, cabe señalar que algunas naciones (p. ej.: España) tienen un enfoque holístico en los temas relacionados con las IC, no hacen ninguna distinción entre IC e ICI y aplican los conceptos de seguridad física y ciberseguridad integral para las IC.

3 Una definición es "una declaración que recoge el significado, el uso, la función y la esencia de un término o un concepto". De: V. Veerasamy (2013), The Importance of Good Definitions (Or: How To Think Clearly) [La importancia de las buenas definiciones (o: cómo pensar con claridad)]. Página web: https://www.referralcandy.com/blog/importance-of-good-definitions/

Aunque la PICI está indisociablemente unida a la seguridad nacional al considerar que el fallo, la interrupción o la destrucción de las ICI causan un serio impacto en la sociedad, la economía y el bienestar de los ciudadanos, es necesario reflexionar antes de utilizar una definición de otro país. La razón estriba en que algunas naciones han creado definiciones sobre la PICI desde otra perspectiva diferente, sin tener una visión estratégica sobre seguridad nacional, p. ej: una visión de una lucha contra el ciberdelito.

------------------------------------------------------------------------Conceptos Seguridad y protección

Fiabilidad de la infraestructura crítica de informaciónInfraestructura crítica de información Protección de la infraestructura crítica de informaciónInfraestructura de la informaciónInfraestructura crítica Protección de la infraestructura crítica CiberespacioCiber CiberseguridadInformación Seguridad de la información

Figura 1: Conjunto de definiciones sobre seguridad y protección y su relación con los conceptos--------------------------------------------------------------------------------------------------------------------------------

Para facilitar la comprensión de la PICI y los conceptos asociados, la Figura 1 muestra, en la columna de la izquierda, una selección de los conceptos clave; en la columna de la derecha, aparecen los términos relacionados con su seguridad y protección. A continuación, se analizarán estos conceptos y definiciones prestando atención a los términos que están representados en negrita (IC, PIC, ICI, PICI).

CONCEPTO: INFORMACIÓNEl Diccionario Oxford define la información como: "lo que se transmite o representa por un determinado acuerdo o una secuencia de cosas." En el ámbito del ciberespacio, la información equivale a una "representación de las cosas de manera que pueda ser transmitida, procesada y almacenada para su posterior (re)utilización".

PROTECCIÓN: SEGURIDAD DE LA INFORMACIÓNLa Organización Internacional de Normalización (ISO) define la seguridad de la información de una manera muy concisa, como un conjunto de propiedades relacionadas con la información que deben preservarse: "La preservación de la confidencialidad, la integridad y la disponibilidad de la información. Además, otras características también pueden estar implicadas como: la autenticidad, la responsabilidad, el no repudio y la fiabilidad". (ISO/CEI 27000, 2014).

El Instituto Nacional de Normas y Tecnología (NIST) de EE UU define la seguridad de la información desde el punto de vista de la protección como: "La protección de la información y los sistemas de información con el objetivo de ofrecer la confidencialidad, integridad y disponibilidad frente al acceso no autorizado, uso, divulgación, interrupción, modificación o destrucción”. [NIST2013]. Estas y otras definiciones nacionales e internacionales describen las características de la seguridad que están estrechamente relacionadas con la información y los sistemas que procesan, almacenan y transmiten información; pero no describen la ciberseguridad, que es un concepto más amplio que la seguridad de la información.

CONCEPTO: CIBER El prefijo ciber se utiliza hoy en día para describir a una "persona, cosa o idea dentro de la era de los ordenadores y la información”.4 La noción “ciber” procede de κυβερνήτης o kybernetes que es la palabra griega para “timonel" o "gobernador". El término se utilizó por primera vez en el título del libro "Cibernética: o control y comunicación en animales y máquinas", de Norbert Wiener, publicado en 1948.

PROTECCIÓN: CIBERSEGURIDAD La ciberseguridad es un concepto más amplio que el de seguridad de la información ya que hace referencia a los aspectos relacionados con la organización, procesos, prácticas y características del factor humano que influyen a la hora de abordar el riesgo general en el ciberespacio y de adoptar una amplia serie de medidas que ayuden a reducirlo. En Hungría, por ejemplo, se define como: "La ciberseguridad es la adopción continua y planificada de medidas políticas, legales, económicas, educativas, de concienciación y técnicas para gestionar los riesgos en el ciberespacio que convierten el ciberespacio en un entorno seguro para el buen funcionamiento y operatividad de los procesos sociales y económicos garantizando un nivel de riesgos aceptable en el ciberespacio".

En ocasiones, también se hace referencia al riesgo de minimizar, p. ej.: en Austria, la ciberseguridad se define como: "La ciberseguridad describe la protección de un bien jurídico clave a través de medios constitucionales contra los peligros naturales, técnicos, organizativos y de agentes que suponen un riesgo para la seguridad del ciberespacio (incluida la infraestructura y la seguridad de los datos) así como para la seguridad de los usuarios en el ciberespacio". Y, por último, pero no menos importante, la Unión Internacional de Telecomunicaciones define ciberseguridad como: "el conjunto de herramientas, políticas, conceptos de seguridad, medidas de seguridad, directrices, enfoques de la gestión de riesgos, actuaciones, formación, mejores prácticas, medidas de protección y tecnologías que se pueden utilizar para proteger el ciberespacio y su organización así como los recursos de los usuarios". [UIT2009].

La ciberseguridad, por tanto, abarca un espacio mucho más amplio que la seguridad de la información, pero también es un concepto más amplio que el de la PICI, ya que ésta última solo se ocupa del riesgo en el ámbito de la seguridad nacional ante (la posibilidad de) graves interrupciones o destrucción de una determinada infraestructura crítica de información.

CONCEPTO: CIBERESPACIOExiste un gran número de definiciones para el término “ciberespacio”. Algunas de ellas tienen únicamente en cuenta la tecnología interconectada, mientras que otras definen el ciberespacio como un ámbito global donde se incluye hardware, software, redes, información, procesos informáticos y humanos (como operadores/consumidores finales).

4 Fuente: http://searchmicroservices.techtarget.com/definition/cyber

En Australia aparece un ejemplo del primer tipo de definición: “Ciberespacio es el espacio virtual de todos los sistemas TI interconectados a escala global mediante datos", que se acerca a la definición de Internet. Un concepto más amplio de ciberespacio incluye procesadores integrados, sensores, tarjetas inteligentes, Internet de las cosas (IoT), Internet industrial de las cosas (IIoT), tecnología de operaciones (OT) y cualquier "nueva tecnología informática" que aparezca en un futuro. La definición de ciberespacio de la India es un ejemplo de esto, aunque no se mencionen de manera explícita las OT: "El ciberespacio es un entorno complejo que consiste en interacciones entre personas, software y servicios apoyado por las tecnologías de la información y la comunicación (TIC), dispositivos y redes repartidos por todo el mundo". En el ámbito de las ICI, ya sea en el presente o en el futuro, se recomienda utilizar una definición de ciberespacio más amplia y holística.

CONCEPTO: INFRAESTRUCTURA CRÍTICA (IC) Debido a que cada país tiene una definición distinta, existen una gran cantidad para el concepto de infraestructura crítica, véase p. ej: [CIPedia]. Kenia, por ejemplo, define IC como "activos que son esenciales para el funcionamiento de una sociedad y su economía (por ejemplo, la red eléctrica, las telecomunicaciones, el suministro de agua). España define IC como: "infraestructuras estratégicas (es decir, aquellas que prestan servicios esenciales), cuyo funcionamiento es indispensable y no permiten soluciones alternativas, por lo que su interrupción o destrucción tendría un grave impacto en los servicios esenciales"; y la India las define como "esas instalaciones, sistemas o funciones cuyo fallo o destrucción causarían un impacto que debilitaría la seguridad nacional, el gobierno, la economía y el bienestar social de una nación". La mayoría de estas definiciones incluyen términos sobre la necesidad de evitar criticidad o impacto, por ejemplo: "Aquellas infraestructuras que son esenciales para el mantenimiento de las funciones que son vitales para la sociedad, la salud, la seguridad, el bienestar económico o social de las personas, y que su interrupción o destrucción podría tener serias consecuencias". [EC2008]

PROTECCIÓN: PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS (PIC) Existen menos definiciones formales para la protección de infraestructuras críticas, ya que el objetivo de evitar un impacto no deseado es bastante evidente por sí mismo. Entre las definiciones formales que se pueden encontrar en [CIPedia], podemos destacar la definición que la UE hace de la PIC: "Todas las actividades destinadas a garantizar la funcionalidad, continuidad e integridad de las IC con el fin de impedir, mitigar y neutralizar una amenaza, un riesgo o una vulnerabilidad”. [EC2008]

CONCEPTO: INFRAESTRUCTURA DE LA INFORMACIÓN La infraestructura de la información es un concepto relativamente ambiguo. Las definiciones pueden explicar desde conceptos técnicos a otros que están casi más relacionados con la política. A continuación, utilizaremos la definición finesa para referirnos a las infraestructuras de la información como: "las estructuras y funciones detrás de los sistemas de información que, electrónicamente, se encargan de transmitir, transferir, recibir, almacenar o procesar información (datos)". Desde nuestro punto de vista, esta definición es la que refleja una perspectiva más amplia del concepto ciberespacio, anteriormente mencionado.

CONCEPTO: INFRAESTRUCTURA CRÍTICA DE INFORMACIÓN (ICI) Un gran número de organismos internacionales y países han ofrecido una definición para la infraestructura crítica de información (ICI). P ej.: la OCDE define las ICI en [OCDE2008] como: "aquellas infraestructuras interconectadas de la información y la comunicación cuya interrupción o destrucción tendría un serio impacto en la salud, la seguridad o el bienestar económico de los ciudadanos, o en el funcionamiento efectivo del gobierno o la economía". Japón ofrece otro ejemplo que define la ICI de la siguiente forma: "La infraestructura crítica de la información (ICI) es el pilar de la vida nacional y las actividades económicas, que se compone de entidades que prestan servicios y son extremadamente difíciles de reemplazar. Si el funcionamiento de estos servicios se suspende, se deteriora o llegan a un punto en el que no están disponibles, podría tener un impacto significativo en la vida nacional y las actividades económicas".

Los elementos clave que contienen las diversas definiciones existentes son: (1) las relaciones con las infraestructuras de información, (2) qué es crítico, vital, esencial o cualquier otro término que indique 'criticidad” (dependiendo de la terminología que escoja cada país), (3) las amenazas que existan contra la disponibilidad, fiabilidad y resiliencia y que supongan un grave impacto para el país.

---------------------------------------------------------------------------------------------------------------------------IC sector energía IC sector agua potable … IC sector financieroIC de información y telecomunicacionesINFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN (ICI)

Figura 2: Infraestructuras críticas de información (ICI).Fuente: [GM2016] --------------------------------------------------------------------------------------------------------------------------

A la mayoría de las definiciones de ICI les cuesta recoger el significado y definir con claridad el concepto de infraestructura de información. Obviamente, esta es una tarea compleja ya que las funciones críticas y otros servicios basados en las TIC y las OT hay funciones ocultas de las IC (verticales), las IC de las tecnologías de la información y la comunicación, e incluso más allá estos ámbitos establecidos. Como se muestra en la Figura 2, dependiendo de su nivel de madurez y uso crítico de tecnologías digitales, las ICI abarcan: 1. Elementos y servicios críticos del 'sector TIC'.

Aquí se pueden incluir los servicios de datos de telecomunicaciones móviles, puntos de intercambio de Internet (IXP), sistemas de nombres de dominio, infraestructuras de certificados y sistemas globales de navegación por satélite (BeiDou, Galileo, GLONASS, GPS);

2. Elementos de las infraestructuras críticas de información y de las comunicaciones dentro de cada IC donde se pueden incluir, p. ej: sistemas críticos de transacciones financieras en el sector de la economía, cadenas críticas de información logística, seguimiento de las OT y control de sistemas ciberfísicos críticos que se realizan, por ejemplo, en el suministro de energía, transporte de gas, puertos, ferrocarriles, servicios de atención médica y refinerías;

3. Los bienes y servicios de fabricantes, proveedores e integradores de sistemas que se utilizan en múltiples sectores de las IC ─a nivel nacional e internacional─ cuya vulnerabilidad o avería general pueda tener un impacto negativo en el correcto funcionamiento de las ICI y las IC (de las que son un elemento crítico).

Ejemplos: - una vulnerabilidad en los routers de los 5 mayores fabricantes en el mundo que afecte a una gran parte de la infraestructura de Internet, - un riesgo masivo en las OT que se ocupan de la generación y suministro de energía, producción y transporte de agua potable, así como la red de ferrocarriles (tren, metro) y puertos, o - una "vulnerabilidad sistémica muy difícil de encontrar" en los chips instalados en tarjetas de crédito y débito.

Con la evolución de la digitalización, las ICI tienden a ampliar su área de influencia más allá del ámbito definido para las IC. Los responsables de políticas gubernamentales deberían prever la existencia de elementos de las ICI: 1. que estén gestionados por organizaciones fuera de la supervisión y/o regulación ministerial habitual, 2. que se encuentren físicamente fuera del país, 3. y/o que sean gestionados por operadores extranjeros. PROTECCIÓN: PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN (PICI) Solo un reducido número de países ha definido la protección de infraestructuras críticas de información, como se puede comprobar en las definiciones recogidas en [CIPedia]. Países como la República Checa y España consideran que la PICI es una parte integral de la PIC. En su definición, Estonia tiene un enfoque tanto para todos los riesgos como para un nivel mínimo del servicio que deben mantener: "el funcionamiento sin problemas de los sistemas esenciales de información y las comunicaciones de un país en circunstancias normales, y la garantía de su continuidad en un nivel mínimo durante situaciones críticas".

El objetivo más importante de la PICI es "proteger" las ICI de cualquier peligro por todos los medios; en otras palabras: evitar que ocurran incidentes que tengan un impacto grave. Las actividades de protección deberían, por tanto, reunir a un amplio grupo de personas, procesos y actividades que estén relacionadas con la tecnología y encontrar un equilibrio entre ellos. Por ello, una definición que sirva como ejemplo de protección de infraestructura crítica de información debe basarse en las definiciones de las ICI descritas anteriormente y en un entendimiento general de las definiciones de PIC [CIPedia]: "la protección de infraestructuras críticas de información (PICI) es el conjunto de todas las actividades destinadas a asegurar la funcionalidad, continuidad e integridad de las ICI para impedir, mitigar y neutralizar una amenaza, riesgo o vulnerabilidad o minimizar el impacto de un incidente ".

Como se ha expuesto anteriormente, la PICI es un tema de seguridad nacional. Es por ello que la PICI debería ser una parte central de la Estrategia de Ciberseguridad Nacional (NCSS) y/o la parte del plan estratégico de seguridad nacional/emergencia civil que tenga relación con las políticas de PIC.Todas las partes implicadas en la PICI deben ser conscientes de que los objetivos de esta no son los mismos que los de un plan de continuidad de las actividades ni que los de la protección de procesos críticos de las actividades, aunque estas actividades relacionadas con la protección puedan coincidir con las de la PICI. Además, los objetivos de la PICI son distintos a los de la ciberseguridad, los cuales, entre otras cuestiones, se centran del ciberdelito común, asuntos relacionados con la confidencialidad y los derechos humanos, y asuntos financieros en el ciberespacio; no obstante, las medidas de ciberseguridad pueden ser de utilidad para la PICI.

Las actividades de la PICI incluyen medidas de protección tales como el desarrollo de planes de seguridad para los operadores, seguridad física, seguridad electromagnética, selección y formación de personal, colaboración interinstitucional (p. ej., la protección conjunta de recursos de las ICI dentro una cadena de suministros de las IC), la recopilación de datos sobre amenazas, el intercambio de información, la creación de un entorno de confianza y la ciberseguridad. Por tanto, es evidente que la mayor parte de las actividades relacionadas con la PICI incluyen todos los ámbitos de trabajo de los numerosos actores implicados, tanto externos como internos.

PROTECCIÓN: RESILIENCIA DE LAS INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN (CIIR) Cada vez más, se está prestando especial atención al concepto de “resiliencia” en el ámbito académico, las empresas, los organismos y en el contexto de las ciudades inteligentes. La Oficina de las Naciones Unidas para Reducción de Riesgo de Desastres (ISDR)5 ha definido la resiliencia como: "la capacidad de un sistema, comunidad o sociedad expuesta a situaciones de peligro para resistir, asimilar, adaptarse y recuperarse de los efectos de un peligro de manera oportuna y eficiente mediante la preservación y restauración de sus funciones y estructuras básicas esenciales". El Consejo Asesor de Infraestructura Nacional de los EE. UU. (NIAC) ha definido la resiliencia de las infraestructuras como: "la capacidad para reducir la magnitud y/o duración de eventos disruptivos". [NIAC2009]

El término resiliencia de las infraestructuras críticas de información (CIIR) empieza a estar presente en la literatura, por ello, lo hemos agregado a la lista. Lo que hay que tener en cuenta sobre la CIIR es que el impacto y la duración de un incidente en las ICI sean reducidos en la medida de lo posible. Esto es de especial importancia ya que la complejidad del ciberespacio hace que sea cada vez más difícil proteger las ICI y prevenir incidentes. Hay que diferenciar la CIIR de la PICI, cuyo objetivo, en primer lugar, es proteger contra el riesgo de que ocurra un incidente crítico. La resiliencia se centra en la preparación, respuesta y recuperación de un incidente así como en las actividades post-incidente.6 Las actividades “proactivas” y de "prevención" (los primeros pasos en el ciclo de respuesta al incidente) son, evidentemente, una valiosa contribución para la CIIR. Desde el punto de vista de la seguridad nacional y el riesgo para las ICI, se puede argumentar que las actividades de la PICI de un país deberían centrarse en evitar que ocurran incidentes. Desde esa perspectiva, la CIIR solo podría considerarse un objetivo secundario.Por tanto, la resiliencia de las infraestructuras críticas de la información (CIIR) se puede definir, como: "la capacidad para reducir la magnitud y/o duración del impacto de eventos disruptivos en las ICI".

5 Véase: https://www.unisdr.org/we/inform/terminology

6 El ciclo completo de respuesta a incidentes cibernéticos comprende: acción proactiva, anticipación, prevención, preparación, respuesta al incidente, recuperación, seguimiento/vigilancia). Véase, p. ej., capítulo 4: Organisational Structures & Considerations [Estructuras organizativas y consideraciones] de [Klimburg2012].

2.2 BIBLIOGRAFÍA Y MATERIAL DE LECTURA COMPLEMENTARIO

[CIPedia] CIPedia ©: a common international reference point for CIP and CIIP concepts and definitions. [Un punto de referencia internacional común para los conceptos y definiciones relativos a la PIC y a la PICI]. En línea: http://www.cipedia.eu

[GM2016] GFCE-MERIDIAN (2016), GFCE-MERIDIAN Good Practice Guide on Critical Information Infrastructure Protection for governmental policy-makers. [Guía de buenas prácticas sobre infraestructuras críticas de la información para responsables de políticas gubernamentales]. En línea, https://www.thegfce.com/initiatives/c/critical-informationinfrastructure-protection-initiative /documents/reports/2016/11/10/ciip-goodpractice-guide y a través de la página web, https://www.tno.nl/gcciip

[ISO/IEC 27000] ISO (2014). ISO / IEC 27000: 2014 Information technology – Security techniques – Information security Management Systems – Overview and vocabulary. [Tecnología de la información –Técnicas de seguridad– Sistemas de gestión de seguridad de la información: visión en conjunto y vocabulario].

[UIT2009] UIT (2009), UIT X.1205: Overview of cybersecurity [Aspectos generales de la ciberseguridad]. En línea: https://www.itu.int/rec/T-REC-X.1205-200804-I

[Klimburg2012] Klimburg (2012). National Cyber Security Framework Manual, NATO CCD-COE Publications. [Manual Marco de Ciberseguridad Nacional, del CCD-COE de la OTAN]. En línea: https://ccdcoe.org/publications/books/NationalCyberSecurityFrameworkManual.pdf

[NIAC2009] US Homeland Security/National Infrastructure Advisory Council (2009), Critical Infrastructure Resilience Final Report and Recommendations, page 8. [Seguridad Nacional/Consejo Asesor de Seguridad Nacional/Infraestructura Nacional de los EE. UU. (2009), Informe Final y Recomendaciones sobre la Resiliencia de las Infraestructuras Críticas, página 8.] En línea: https://www.dhs.gov/xlibrary/assets/niac/niac_critical_infrastructure_ resilience.pdf

[NIST2013] NIST (2013). Glossary of Key Information Security Terms, NISTIR 7298 rev 2. [Glosario de Términos Clave en la Seguridad de Información, NISTIR 7298 rev. 2.] En línea: http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf

[OCDE2008] OECD (2008), OECD Recommendation of the Council on the Protection of Critical Information Infrastructures C(2008)35. [Recomendación del Consejo sobre la Protección de Infraestructuras Críticas de Información C(2008)35]. En línea: http://www.oecd.org/sti/40825404.pdf

3 IDENTIFICACIÓN DE LAS ICIMuchas naciones ─incluidas algunas con políticas de PICI ya asentadas─ carecen de un enfoque maduro y estructurado para la identificación de las ICI [ENISA2014]. En el pasado, se ha realizado un gran trabajo académico para la identificar las IC y las ICI que continúa siendo de utilidad para mejorar las políticas de PICI en todo el mundo. Para muchos países, el principal reto no es desarrollar una nueva o mejor metodología, sino adoptar e implementar una metodología que sea efectiva con la ayuda de los métodos existentes.

En este capítulo, utilizaremos los conocimientos y la metodología que existen sobre la PICI (y la PIC), junto con la información proveniente de investigaciones recientes y ejemplos actuales, para ofrecer varias buenas prácticas que sirvan para la identificación de las ICI. Asimismo, este capítulo desarrolla el contenido del capítulo 4 de la GBP 2016: "Identificación de infraestructuras críticas de información".

3.1 DESCRIPCIÓN GENERAL Y PRINCIPALES DESAFÍOS

3.1.1 LA IMPORTANCIA DE IDENTIFICAR LAS ICILa interrupción de las infraestructuras de información puede tener un grave impacto en el bienestar de una nación, tanto en términos de costes económicos como a través de daños físicos indirectos o malestar social. Para reducir el riesgo de interrupciones en las infraestructuras de información, una cuestión clave es identificar qué elementos de la infraestructura de la información son críticos para la nación y qué elementos son meramente “muy importantes”. Separar los elementos críticos de otros elementos de las infraestructuras de información permite a los países centrar sus esfuerzos en proteger esos elementos críticos y, así, mantener la seguridad nacional de manera efectiva.

La identificación de las ICI es un paso necesario y supone un reto tanto para los países en desarrollo en este ámbito como para los que están más establecidos, debido a que los continuos cambios y el uso de las infraestructuras de información hacen inevitable que se cambie lo que se considera crítico y lo que no. La identificación de las ICI no es, por tanto, una tarea que haya que realizar una sola vez, sino que es continua. Es necesario que un país preste atención de forma regular a la identificación de las ICI para que pueda abordar de manera efectiva los aspectos relacionados con las ICI que supongan un riesgo para la seguridad nacional.

3.1.2 PRINCIPALES DESAFÍOS PARA IDENTIFICAR LAS ICILos desafíos para la identificación de las ICI tienen su origen en la complejidad tanto de las tecnologías de la información y la comunicación (TIC) como de las tecnologías de operaciones (OT) y su integración en las infraestructuras críticas. Los principales desafíos para identificar las ICI son: - La PICI, en ocasiones, se percibe como un subconjunto de la PIC. Los países que siguen ese enfoque pueden subestimar el riesgo asociado a las TIC y las OT para una nación. Sin embargo, las naciones que se encuentran en una fase temprana de adaptación a las TIC pueden empezar a definir sus ICI como parte de uno o más servicios del sector de las TIC. El uso de las TIC y las OT en procesos críticos dentro de los sectores de las IC (si están definidos como tal) puede ser percibido, entonces, como una responsabilidad específica del sector de las IC. Sin embargo, el uso cada vez más avanzado de las tecnologías digitales por parte de los países requiere un enfoque interconectado del sector de las IC, ya que el riesgo asociado a las TIC y a las OT en los procesos críticos debe reducirse. Por ejemplo, ciertos programas de malware pueden tener como objetivo sistemas OT de, por ejemplo: redes eléctricas y de gas, aguapotable y plantas químicas. Las mismas industrias de las IC pueden ser objetivo de ataques de denegación de servicio a través de los servicios críticos del sector de las TIC.

Como ya se explicó en la sección 2.1.2, las naciones más desarrolladas en este ámbito deben tener en cuenta la criticidad de los nuevos servicios de infraestructuras de información más allá del ámbito ya establecido para las IC. - Evaluar la criticidad de los elementos de las infraestructuras de información requiere una comprensión colectiva del término “crítico”. Sin embargo, lo que se considera crítico, a menudo, depende del punto de vista del espectador. Establecer criterios objetivos para la criticidad es un reto que requiere un pensamiento analítico y puede dar lugar a conflictos de interés. Por ello, algunos sectores o partes interesadas pretenden que se les otorgue la denominación de “crítico”, mientras que otros intentan evitarlo. Un incentivo para empezar un primer enfoque puede ser que el gobierno financie la implantación de medidas de seguridad adicionales. Por otro lado, algunos sectores u organismos pueden tratar de evitar normativas adicionales, inspecciones y la obligación de invertir en más medidas de seguridad. - Para poder evaluar la criticidad de las ICI es necesario tener experiencia desde dentro de los sectores potencialmente críticos. Esto implica que para identificar las ICI se requiere un esfuerzo conjunto entre los expertos del sector y los expertos en seguridad nacional. Estos últimos pueden tener dificultades a la hora de hacer su evaluación por una interpretación errónea de la información y terminología de un sector específico. Por ello, pueden encontrar dificultades para identificar los contenidos que son relevantes desde un punto de vista de la seguridad nacional y la política nacional. Por otro lado, los expertos del sector pueden carecer de la visión general y la objetividad que tienen los expertos en seguridad nacional. - La interrupción prolongada y a gran escala de las ICI es, en general, un incidente de alto impacto y de baja probabilidad. Se han dado muy pocos casos en los que este tipo de interrupciones de las ICI hayan ocurrido en el mundo. Por ello, son los expertos los que tienen que deducir las dependencias y los efectos dominó resultantes, en lugar de basarse en casos reales y datos. - Una buena parte de los métodos para la identificación de las ICI proviene de sectores específicos de las IC y del ámbito en el que se estudian análisis de riesgos genéricos ─dando menor importancia a las dependencias y al efecto dominó entre sectores─. Se puede consultar una selección de las metodologías disponibles para evaluar la criticidad en [PICI2008, ENISA2014]. Los países pueden tener dificultades para encontrar el mejor método y para delimitar con suficiente precisión las dependencias entre sectores.

3.2 BUENAS PRÁCTICAS PARA LA IDENTIFICACIÓN DE LAS ICIEn este apartado se incluyen varias buenas prácticas para la identificación de las ICI que están basadas en la literatura académica y las sugerencias de expertos, ya pertenezcan o no a la comunidad Meridian.

3.2.1 BUENAS PRÁCTICAS: ADOPTAR UN ENFOQUE POR CAPAS PARA LA IDENTIFICACIÓN DE LAS ICI

La identificación de un nivel de sectores (críticos) es a menudo el punto de partida para la PIC y la PICI ya que los sectores están claramente delimitados y se ocupan de una serie de procesos y sistemas (críticos). Una buena praxis es adoptar un enfoque por capas para la identificación de las ICI. Un enfoque por capas implica el uso de múltiples niveles de análisis para describir, analizar e identificar las ICI. La literatura especializada en el tema ofrece varios modelos o marcos que ayudan a distinguir entre las diferentes capas de análisis [PICI2008, Theoh2010].

Los niveles de las ICI que se mencionan con frecuencia en la literatura son:1. la capa intersectorial,2. la capa sectorial (crítica),3. la capa de funciones esenciales (por ejemplo, sistemas u operadores individuales),4. la capa de recursos críticos (activos, componentes técnicos).

Este tipo de enfoque ayuda a identificar y organizar los elementos de las ICI. Dentro de cada sector crítico, las funciones esenciales se pueden separar para centrarse en las partes críticas de un sector en lugar de hacerlo en la totalidad del sector. Dentro de las funciones esenciales, los recursos críticos se pueden separar para acotar el alcance y el ámbito de estudio de la PICI y así centrarse en recursos y componentes específicos. Estos niveles de análisis ─del sector al componente─ permiten a los investigadores y a los responsables de políticas separar los elementos críticos de todo el conjunto de infraestructuras de información. Más allá de cada sector crítico, a nivel intersectorial, se pueden analizar las relaciones de dependencia existentes entre sectores, lo cual es necesario para evaluar la criticidad de los sectores específicos. Además, esto permite que se puedan analizar las amenazas a recursos críticos existentes en un gran número de sectores, algo que es necesario para evaluar la vulnerabilidad general que existe cuando hay una gran cantidad de sectores implicados.

Un enfoque por capas ayuda a mejorar los criterios de criticidad. Muchos países han desarrollado criterios e identificado las IC(I) a nivel sectorial (p. ej., Austria, Alemania, India, Estados Unidos y Suecia). La identificación de las funciones esenciales o los recursos críticos es menos habitual [ENISA2014]. La capa intersectorial (o nacional) y la capa sectorial pertenecen, en general, al ámbito de las autoridades del país que, de esta forma, pueden centrarse en la criticidad de las relaciones de dependencia de sectores individuales e intersectoriales que tengan relación con el bienestar social y la seguridad nacional.7 En general, las funciones esenciales y los recursos críticos deberán ser identificados conjuntamente por las autoridades nacionales y los operadores de las ICI.

Un ejemplo de políticas de PICI, que incluye un enfoque por capas para las ICI, es el de Estonia. Para identificar las ICI de Estonia, se ha utilizado un enfoque multicapa escalonado [ENISA2014]. Los sectores de las IC de este país se han incluido dentro de las políticas de PIC de Estonia. Para cada sector de las IC, se nombra a un “organizador de servicio” (el ministerio correspondiente) que será el encargado de establecer los criterios y límites para identificar los proveedores de servicios críticos dentro del sector (esto se asemeja al ámbito de las funciones esenciales o al nivel crítico del subsector). Los proveedores de servicios designados como críticos realizaron un análisis de riesgos, elaboraron una lista de los recursos críticos e hicieron un borrador en el que se incluía un plan para evitar riesgos y otro para la continuidad de las actividades (esto se asemeja al nivel de recursos críticos). La Autoridad de los Sistemas de Información (RIA) de Estonia revisó las listas de recursos críticos y los planes para mitigar los riesgos. Una vez que se unieron los datos de la lista de recursos críticos y los de todos los proveedores de servicios críticos, la RIA elaboró una lista nacional de ICI. Esta lista es similar al enfoque a nivel intersectorial para identificar las ICI.

7 Seguridad nacional en el sentido de que el fallo, interrupción o destrucción de las ICI pueden causar un impacto serio en la sociedad, economía y bienestar de los ciudadanos.

3.2.2 BUENAS PRÁCTICAS: IDENTIFICAR ELEMENTOS CRÍTICOS DEL SECTOR TIC Y ELEMENTOS DE LAS INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN DE OTROS SECTORES DE LAS IC.Hacer una distinción entre elementos críticos del sector de las TIC8 y elementos de las ICI para otros sectores de las IC es una buena práctica para divulgar con claridad la PICI y establecer criterios de criticidad adecuados para todos los componentes de las ICI. Los elementos críticos que pueden considerarse parte de las TIC son: proveedores de servicios de Internet, puntos de intercambio de Internet o principales proveedores de servicios en la nube. La interrupción del funcionamiento de estos actores, y los sistemas que operan, puede afectar directamente al bienestar de una nación y representan una amenaza para la seguridad nacional. Los elementos de las ICI, para otros sectores de las IC, pueden ser redes de comunicación específicas, sistemas de información o sistemas de control industrial.

La relación entre ambos se muestra en la Figura 2. La figura y el texto que lo acompaña dejan claro que las ICI pueden incluirse tanto en el sector de las TIC como dentro de otros sectores de las IC; e incluso pueden formar parte de otros ámbitos más allá de los establecidos para las IC. Además, se debe prestar atención a los aspectos críticos de las vulnerabilidades que surgen al utilizar (a escala global) software y hardware que producen un reducido grupo de fabricantes, proveedores e integradores de sistemas de las OT y las TIC. Sus productos, sistemas y servicios se utilizan en todos los sectores y en un gran número de países.

Un reto que hay que abordar es el hecho de que, a menudo, las estructuras gubernamentales designan a un ministerio o departamento (que depende del ministerio) como responsable de una o más infraestructuras críticas, y otro ministerio o departamento como responsable de las TIC. Un enfoque holístico para la identificación de las ICI y la gestión de todos los aspectos relacionados con las ICI puede generar conflictos. Sin embargo, se está evolucionando hacia la diversificación de las TIC y las OT críticas fuera de la estructura vertical clásica de las IC (el capítulo 4 aborda esta cuestión). Mantener la supervisión de las ICI y la coherencia en la identificación de las mismas requiere un enfoque coordinado entre todos los actores gubernamentales implicados, en lugar de emprender otras iniciativas diferentes de PICI dentro de cada IC.

3.2.3 BUENAS PRÁCTICAS: INCORPORAR ANÁLISIS DE DEPENDENCIA EN LA EVALUACIÓN DE CRITICIDAD DE LA INFRAESTRUCTURA DE INFORMACIÓN Es posible que una infraestructura de información deba estar clasificada dentro de las ICI debido a la dependencia que tienen otros sistemas críticos de estas infraestructuras de información. Estos sistemas dependientes pueden formar parte de las IC o de las ICI. La dependencia que tengan de otras IC o ICI debería estar incluida en la evaluación de criticidad de la infraestructura de información. Si se adopta un enfoque por capas (véase sección 3.2.1), las dependencias entre las ICI de distintas capas (desde recursos críticos hasta funciones esenciales y hasta sectores críticos) deben abordarse, así como las que tienen las IC en los diversos niveles existentes en las ICI (dependencias intersectoriales).

La evaluación de las dependencias se puede hacer de varias maneras [Nieuwenhuis2008]. En la mayoría de los casos, se realiza basándose en la opinión de expertos o mediante el uso de modelos y simulaciones. Durante el análisis de dependencias, se debe prestar especial atención a los elementos de la infraestructura de información que dan servicio a múltiples IC(I). La interrupción de tales elementos será la causa de que un gran número de IC(I) fallen simultáneamente, lo cual amplifica los efectos disruptivos.

8 Para facilitar la comprensión de este documento complementario, utilizaremos el concepto de sector TIC, en lugar de explicar cada una sus posibles variantes nacionales, como: “sector de las TI y las telecomunicaciones”, incluyendo las variantes con dos sectores distintos que dependen de diferentes departamentos ministeriales.

Un ejemplo de una ICI potencial es el servicio de Red Privada Virtual (RPV), que se puede utilizar para garantizar la confidencialidad de las comunicaciones cuando se utiliza Internet como un servicio de transmisión de datos. Los operadores de las ICI que pertenecen al sector de las TIC utilizan las conexiones RPV así como los operadores de las IC (instituciones que tienen relación con la energía o entidades financieras). Los servicios específicos de la RPV pueden llegar a formar parte de las ICI cuando las IC y las ICI consideren que la disponibilidad y el funcionamiento de un determinado servicio de RPV son fiables.

3.2.4 BUENAS PRÁCTICAS: UTILIZAR CRITERIOS DE CRITICIDAD ESPECÍFICOS Y OBJETIVOS PARA IDENTIFICAR RECURSOS CRÍTICOS La evaluación de infraestructuras críticas de información potenciales solo puede hacerse correctamente si se cuenta con la ayuda de criterios de criticidad específicos y objetivos [Fekete2011, Theoh2009]. Estos criterios especifican qué propiedades debe tener una infraestructura de información para que sea designada como ICI (véase sección 2.1.1). Cuando se utiliza un enfoque por capas (véase buenas prácticas en la sección 3.2.1), es necesario aplicar los criterios de criticidad para cada una de ellas (sectores críticos, funciones esenciales y recursos críticos).

En general, los criterios de criticidad para los sectores forman parte de una política nacional o multinacional de la PIC. La identificación de las funciones esenciales también puede estar dentro de una política de la PIC o de una característica específica de la PICI. En ambas situaciones, se requieren criterios específicos para evaluar la criticidad de las funciones básicas. Una política efectiva de PICI necesita, asimismo, que se identifiquen los recursos críticos, donde se incluyen recursos del sector de las TIC y elementos de infraestructura de la información de las IC.

Para identificar recursos críticos, también es necesario incorporar dependencias en los criterios de criticidad porque, a menudo, no es el impacto inmediato lo que se produce en una interrupción de primer orden de los recursos lo que hace que sean críticos, sino el efecto de la interrupción en otros elementos de las IC(I). La criticidad de los recursos que se utilizan en una gran cantidad de sectores de las IC, y de los cuales un fallo interrumpe el funcionamiento de las ICI y las IC (de las que son un elemento crítico), solo se puede evaluar cuando se conocen cuáles son las relaciones de dependencia. Al ir incorporando dependencias (véase buenas prácticas en la sección 3.2.3), la gravedad de los efectos producidos por la interrupción de elementos de la infraestructura crítica de información en el bienestar de un país sigue siendo el punto de referencia de mayor importancia.

3.2.5 BUENAS PRÁCTICAS: EVALUAR LA CRÍTICIDAD CON APOYO DE ENCUESTAS Y DATOSLa evaluación de la criticidad se basa, a menudo, en la opinión de un experto. Los países deberían esforzarse, en la medida de lo posible, en ampliar la evaluación de la criticidad con sondeos para recabar información en los que participen operadores de IC y operadores (potenciales) de ICI. En los sectores de las IC(I) en los que hay muchas partes interesadas, los sondeos pueden dar una visión más detallada de la criticidad total, o un porcentaje, de las potenciales ICI que la que pueda ofrecer la opinión de los expertos. Los operadores de las IC y las ICI sobre las dependencias y las consecuencias de los fallos podrían ofrecer información más amplia y fiable. No obstante, se debe prestar la suficiente atención a la confidencialidad y la posibilidad de que se esté tratando con una información sensible.

Un buen ejemplo de un sondeo para aumentar el conocimiento de las dependencias internacionales de las IC respecto a infraestructuras de información que van más allá de las fronteras nacionales ─es decir, las dependencias de las ICI que se encuentran entre fronteras─ se puede encontrar en un estudio sobre la regulación de las dependencias de las ICI transfronterizas [Kaska2015]. El estudio aborda las similitudes y diferencias entre la PIC y la PICI de doce naciones y evalúa la dependencia que tienen de las ICI transfronterizas. Estas dependencias variaban en cada país, pero se observó que para todos ellos la energía, las finanzas y el transporte son los sectores que más dependen de las ICI transfronterizas. El estudio concluye que, en general, son pocas las medidas que los países pueden tomar para abordar directamente la cuestión de las dependencias entre fronteras. Solo tres de los encuestados (España, Estonia y Hungría) informaron sobre una serie de obligaciones legales específicas que existían para evaluar y evitar las dependencias transfronterizas de las ICI. Los resultados del estudio son una información de utilidad para los legisladores y los responsables de políticas gubernamentales, ya que proporcionan datos generales sobre las dependencias transfronterizas de las ICI y los asuntos políticos, legales y estratégicos que puedan surgir relacionados con ellas.

3.2.6 BUENAS PRÁCTICAS: HACER UNA ESTIMACIÓN DEL VALOR DE LOS CRITERIOS DE CRITICIDAD BAJO DIFERENTES CONDICIONESEl impacto de la interrupción de las ICI, a menudo, se evalúa en condiciones operativas "normales", debido a que se hace una estimación de los efectos de una interrupción asumiendo que todos los demás elementos siguen funcionando sin cambios. La interrupción de una red de telecomunicaciones, por ejemplo, se evalúa generalmente de forma aislada y no en combinación con las interrupciones que se puedan producir en otros sectores críticos o en otras circunstancias específicas. La interrupción de las ICI podría deberse a una situación de crisis, como la interrupción del suministro de energía, inundaciones, situaciones climáticas extremas o un ciberataque a gran escala. En determinadas circunstancias, ciertas infraestructuras de información en particular se pueden considerar como ICI; por ejemplo, las que se utilizan como respuesta a una crisis o como enlaces de comunicación por satélite que sirven de apoyo a los enlaces de comunicación en general. En condiciones normales de funcionamiento, estos sistemas no se consideran como ICI [Nieuwenhuijs2008]. Un ejemplo práctico de la incorporación de diferentes condiciones es incluir dependencias según la estación del año para las regiones en las que la población puede variar de manera significativa durante determinadas temporadas, p. ej., áreas turísticas. Puede que las redes de telecomunicaciones en estas zonas no cumplan con los criterios de criticidad durante el invierno ya que su interrupción no afecta a suficientes personas ni tiene un impacto económico significativo; sin embargo, los efectos sí traspasan el umbral de los criterios de criticidad durante el verano.

3.2.7 BUENAS PRÁCTICAS: BUSCAR INSPIRACIÓN EN OTRAS NACIONES PERO PRESTAR ATENCIÓN A LAS PARTICULARIDADES DE CADA PAÍSAl examinar la información disponible sobre la PICI, los responsables de políticas gubernamentales pueden escoger entre una gran cantidad de métodos para identificar las ICI. Según ENISA (2014), una buena práctica para los países consiste en contar con un portfolio que contenga varios enfoques que sirvan de ayuda para evaluar las ICI en lugar de elegir un solo modelo para realizar todas las evaluaciones. Asimismo, ENISA llegó a la conclusión de que solo los países que ocupan los primeros puestos en el índice de disposición a la conectividad del Foro Económico Mundial (WEF NRI) suelen dar un enfoque estructurado a la PICI. Esto indica que la disposición a invertir los recursos necesarios para dar un enfoque estructurado a la PICI llega mediante la digitalización de gran alcance.

Contar con una política de PICI correctamente formulada es de vital importancia para la seguridad de una nación. Los responsables de políticas gubernamentales deberían adaptar sus políticas de PICI a las condiciones concretas de cada país (por ejemplo, el grado de digitalización u otras particularidades como las IC singulares o dependencias específicas en determinadas TIC y OT). Debido a la tendencia a nivel mundial de aumentar la digitalización, los responsables de políticas gubernamentales deberían revaluar periódicamente la necesidad de intensificar el esfuerzo dedicado a la PICI.

3.3 BIBLIOGRAFÍA Y MATERIAL DE LECTURA COMPLEMENTARIO

[Kaska2015] Kaska, K. y Trinberg, L. (2015). Regulating cross-border dependencies of Critical Information Infrastructures, NATO Cooperative Cyber Defence Centre of Excellence (CCD-COE), Tallinn. [Regulación de las dependencias transfronterizas de las Infraestructuras Críticas de la Información, Centro de Excelencia para la Ciberdefensa Cooperativa de OTAN (CCD-COE), Tallin. En línea: https://ccdcoe.org/sites/default/files/multimedia/pdf/ CII_dependencies_2015.pdf

[PICI2008] Brunner, E. M., y Suter, M. (2008). International CIIP handbook 2008/2009, Center for Security Studies, ETH Zurich. [Manual Internacional de PICI 2008/2009, Centro de Estudios de la Seguridad, ETH Zúrich]. En línea: http://www.css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/pdfs/CIIPHB-08-09.pdf

[ENISA2014] Mattioli, R., y Levy-Bencheton, C. (2014). Methodologies for the identification ofCritical Information Infrastructure assets and services. ENISA Report–2014–43. [Metodologías para la identificación de recursos y servicios de infraestructuras críticas de información. Informe ENISA-2014-43]. En línea: https://www.enisa.europa.eu/publications/methodologies-for-theidentification-of-ciis/at_download/fullReport

[Fekete2011] Fekete, A. (2011). Common criteria for the assessment of critical infrastructures. International Journal of Disaster Risk Science, 2(1), 15-24. [Criterios comunes para la evaluación de infraestructuras críticas. International Journal of Disaster Risk Science, 2 (1), 15-24.]. En línea: https://link.springer.com/article/10.1007/s13753-011-0002-y

[GM2016] GFCE-MERIDIAN (2016), GFCE-MERIDIAN Good Practice Guide on Critical Information Infrastructure Protection for governmental policy-makers. [Guía de buenas prácticas sobre infraestructuras críticas de la información para responsables de políticas gubernamentales]. En línea, https://www.thegfce.com/initiatives/c/critical-informationinfrastructure-protection-initiative /documents/reports/2016/11/10/ciip-goodpractice-guide y a través de la página web, https://www.tno.nl/gcciip

[Katina2013] Katina, P. F., y Hester, P. T. (2013). Systemic determination of infrastructure criticality. In: International journal of critical infrastructures, 9(3), 211-225. [Determinación sistémica de la criticidad de infraestructuras. International journal of critical infrastructures, 9 (3), 211-225]. En línea: https://doi.org/10.1504/IJCIS.2013.054980

[Nieuwh2008] Luiijf, H. A. M., Nieuwenhuijs, A. H., y Klaver, M. H. A. (2008). Critical infrastructure dependencies 1-0-1. In Infrastructure Systems and Services: Building Networks for a Brighter Future (INFRA), 2008 First International Conference on (pp. 1-3). IEEE. [Dependencias de las infraestructuras críticas 1-0-1. En sistemas y servicios de infraestructuras: Construyendo redes para un futuro mejor (INFRA), 2008 Primera Conferencia International en (pp. 1-3). IEEE].

[Theoh2010] Theoharidou, M., Kotzanikolaou, P., y Gritzalis, D. (2010). A multi-layer criticality assessment methodology based on interdependencies. Computers & Security, 29(6), 643-658. [Una metodología por multicapas para evaluar la criticidad basada en interdependencias. Computers & Security, 29 (6), 643-658]. En línea: https://doi.org/10.1016/j.cose.2010.02.003

[Theoh2009] Theoharidou, M., Kotzanikolaou, P., y Gritzalis, D. (2009). Risk-based criticalityanalysis. Critical Infrastructure Protection III, 35-49. [Análisis de criticidad basados en riesgos. Protección de Infraestructuras Críticas III, 35-49]. En línea: https://doi.org/10.1007/978-3-642-04798-5_3

4 AVANCES TECNOLÓGICOS E IDENTIFICACIÓN DE NUEVAS ICILa PICI supone un reto constante para los responsables de políticas gubernamentales y los dirigentes políticos. Para gestionar la PICI de forma eficaz es necesaria una constante visión de futuro. Los avances en las TIC y las OT hacen que la naturaleza de las IC y las ICI cambie constantemente. El uso creciente de las TIC y las OT (integradas) para supervisar y controlar sistemas ciberfísicos críticos y complejos pone de manifiesto que una gran cantidad de IC tienen algún componente de las ICI o se están transformando paulatinamente en ICI. Esta situación ya se ha dado dentro del sector financiero de muchos países. Asimismo, las tecnologías de redes inteligentes están cambiando radicalmente el sector de la energía y podrían introducir nuevos elementos de las ICI. Los continuos avances en tecnología digital exigen que los países estén al tanto del cambiante panorama de los riesgos y, en consonancia con esto, revisen las políticas de PICI, como se indicaba en el capítulo 6 de la GBP 2016 [GM2016].

En este capítulo, se identifican los retos que representan para los responsables de políticas de PICI los avances tecnológicos y el uso de estos. Se aportan varias buenas prácticas para los avances en señalización y supervisión, así como sus implicaciones para la PICI.

4.1 DESCRIPCIÓN GENERAL Y PRINCIPALES DESAFÍOS

4.1.1 EL DESAFÍO DE ENTENDER LOS AVANCES TECNOLÓGICOS

Hacer una evaluación de determine qué es crítico en una infraestructura de la información es una tarea especialmente difícil, sobre todo en el caso de nuevas tecnologías y los avances de la tecnología en general. Con una política de PICI bien establecida, un país está preparado para abordar los cambios y avances de los que tienen información. Sin embargo, rara vez se llegan a conocer por completo. El uso de tecnologías emergentes y las dependencias críticas que de ellas tenga una nación puede parecer algo relativamente sorprendente.

-----------------------------------------------------------------------------------------------------------------------------Riesgo nacionalRiesgo relacionado con las ICRiesgo relacionado con las ICIRiesgo internacional

Figura 3: Riesgo nacional e internacional incluyendo el riesgo de las IC y las ICI

----------------------------------------------------------------------------------------------------------------------------La hiperconectividad existente en la tecnología moderna contribuye a que surjan dificultades para apreciar avances en la criticidad de las infraestructuras críticas. Se ha llegado a una complejidad como resultado de vincular, o incluso subcontratar, servicios fuera del ciberespacio. El creciente número de conexiones entre sistemas también está alterando las dependencias existentes y hace que surjan nuevas dentro de las ICI y entre las ICI y las IC. Las dependencias pueden cambiar sin previo aviso debido a la adopción imprevista de elementos de la infraestructura de información tradicionales o que aparentemente no tienen importancia. Dichos cambios pueden dar lugar a que otros servicios de infraestructuras de información se conviertan en críticos para el país.

Como se argumentaba en capítulos anteriores, las ICI solo forman parte, parcialmente, de las estructuras que gestionan verticalmente las IC y el sector de las TIC. Además de los elementos críticos de las TIC y las OT ─dentro de las IC específicas─, y los servicios críticos del sector TIC, los elementos de las ICI que no pertenecen a estas áreas son cada vez más difíciles de identificar y gestionar (véase Figura 3). Los nuevos elementos de las infraestructuras de información que pueden representar un riesgo para la nación pueden tener su origen en algún ámbito relativamente desconocido y que, por tanto, no esté regulado, como es el caso del ciberespacio internacional (por ejemplo, servicios en la nube utilizados para operaciones de IC).

La adopción masiva e integración de nuevas tecnologías, además de cambiar la naturaleza de las IC y las ICI, también están haciendo que aumente el riesgo de ciberataques a las ICI. Avances como Internet de las cosas (IoT), tecnología de cadena de bloques, inteligencia artificial (vehículos autónomos, aprendizaje automático, robótica, etc.), e Internet industrial de las cosas (IIoT) ofrecen enormes posibilidades para el crecimiento económico. El inconveniente es que si la gran cantidad de millones de dispositivos no están protegidos adecuadamente, facilitan nuevas plataformas para que las ICI sean atacadas. Estos cambios en el riesgo aumentan la necesidad de contar con una política nacional efectiva de PICI, por una parte, y, por otro lado, de ser conscientes de que con el tiempo pueden aparecer nuevos riesgos para las ICI.

4.1.2 NUEVAS TECNOLOGÍAS INTRODUCEN NUEVOS ACTORES IMPLICADOS Organizaciones diferentes a las que ya están involucradas en la PICI (o la PIC) pueden desarrollar y/o integrar nuevas formas de información y tecnología operativa en los servicios críticos nacionales. Como exponen Luiijf y Klaver [Luiijf2015a], seis áreas tecnológicas y organizativas deberían ser supervisadas cuando, por un lado, se esté considerando la posibilidad de que nuevas infraestructuras de información puedan forman parte de las ICI y, por otro lado, aparezca un nuevo riesgo para las ICI (vigentes) a nivel nacional e internacional. La protección de las ICI se refuerza cuando se anticipan los avances en estas seis áreas y se identifican a tiempo las nuevas ICI y los cambios críticos en las ICI ya existentes.

Los seis elementos de las ICI que deben ser objeto de seguimiento por los responsables de políticas gubernamentales y los dirigentes políticos son:1. Principales fabricantes: cuando sus productos fallan (por ejemplo, vulnerabilidad de día cero en

todas las OT de un proveedor clave), la disponibilidad e integridad de las ICI puede verse afectada.

2. Cambios tecnológicos y organizativos en el sector de las TIC. 3. Cambios tecnológicos de gran importancia en las TIC (incorporadas) y las OT de las “IC

tradicionales”, como ya se ha descrito anteriormente. Los cambios tecnológicos en esta área pueden dar lugar a cambios en el conjunto de las ICI, p. ej, las criptomonedas y las estructuras de cadena de bloques podrían convertirse en ICI en poco tiempo.

4. Servicios críticos prestados por terceros al sector de las TIC tales como servidores por nombre y dirección, infraestructuras de certificados, etc. que son fundamentales para el funcionamiento de las ICI (y las IC). Los cambios tecnológicos y organizativos en esta área pueden causar cambios (sin ser advertidos) en el conjunto de las ICI.

5. Mercado a gran escala/consumidor de TIC. Los ataques importantes de virus, el fallo (masivo) en la nube, las redes sociales, servicios/servidores de correo electrónico y películas, así como dispositivos inteligentes e Internet de las cosas (IoT) pueden crear interrupciones que afecten a la sociedad y se acerquen al nivel de criticidad.

6. Productos de gran consumo y que tienen integrados TIC (inter)conectadas y OT que determinan la funcionalidad del producto. Piénsese en IoT, vehículos modernos (automáticos) y similares. El riesgo de ciberataques contra las ICI debe tenerse en cuenta y ser gestionado en la actualidad e, indudablemente, en el futuro por todos las partes interesadas. Este riesgo incluye ataques importantes de malware, explotación de vulnerabilidades de día cero y el uso indebido, cada vez más frecuente, de varios millones de dispositivos de IoT que actúan como una plataforma de ciberataques.

---------------------------------------------------------------------------------------------------------------------------------1 Principales fabricantes de las TIC 2 Comunicaciones críticas y sector TI (TIC)3 Otras infraestructuras críticas (TIC integradas)4 Servicios críticos de terceros de apoyo a TIC 5 Mercados a gran escala de TIC (ciudadanos y PYME) 6 Funcionalidad de mercados a gran escala (TIC integradas)

Figura 4: División de la ICI en seis elementos---------------------------------------------------------------------------------------------------------------------------------

Las (nuevas) partes interesadas de estas seis áreas, que pueden considerarse como (potenciales) actores clave en las ICI y en la protección de las mismas, deben involucrarse en la gestión de la PICI.El primer desafío para los países es determinar con la suficiente antelación que esos nuevos servicios son parte de las ICI. Esto implica que los países deben realizar un seguimiento de los avances tecnológicos como parte del proceso de identificación de las ICI.En segundo lugar, las obligaciones de los actores implicados en las ICI también deben aplicarse a las nuevas partes interesadas. Esto puede ser difícil ya que los nuevos participantes podrían ser reacios a formar parte del grupo de personas que ya gestionan la PICI. Las pequeñas empresas que se encargan de las ICI pueden no estar dispuestas a correr con los gastos de una mayor protección. Las comunidades de operadores de ICI que respaldados por años de confianza en ellas podrían mostrar cierta resistencia a admitir a operadores de ICI que acaban de ser asignados recientemente, como tal, y que "surgen a un ritmo veloz" pero carecen de experiencia acreditada. Algunos operadores de IC/ICI también podrían perder su estatus de criticidad en el momento en que sus sistemas ya no se considerasen críticos, y podrían ser reacios a tener que renunciar a este.

Cuando la nueva tecnología de las ICI es gestionada por empresas multinacionales, los países pueden tener dificultades en que estas influyentes partes interesadas cumplan con los estándares y la normativa propia de cada uno de ellos. Asimismo, el hecho de que otros países sean propietarios de elementos de las ICI puede tener repercusiones en la seguridad nacional, algo que deberá resolverse. [AUSGov2015] [ISF2011]

4.1.3 SEGUIMIENTO DE LOS CAMBIOS ORGANIZATIVOS QUE HACEN QUE LOS ACTORES IMPLICADOS SEAN PARTE DE LAS ICI El ciberespacio es un entorno dinámico, como lo son los cambios de propiedad. Estos cambios de propiedad pueden alterar directa e indirectamente la criticidad de la infraestructura de la información, así como incorporar o reducir dependencias. La quiebra, fusiones, adquisiciones, subcontrata y deslocalización influyen en la propiedad y la responsabilidad que implican infraestructuras de la información. Estos cambios pueden hacer que los servicios que prestan estas infraestructuras se conviertan en críticos para una nación. Por ejemplo, una fusión de dos operadores de ICI puede provocar que, con el paso del tiempo, los servicios técnicos se fusionen, reduciendo las posibilidades de que haya duplicidad en los servicios críticos contratados. Otro ejemplo es la adquisición de un operador de ICI por una empresa extranjera. ¿Seguirá protegiendo la compañía extranjera la ICI nacional como se ha hecho hasta ahora?, o, ¿podrían cambiar las prioridades dando lugar a unos servicios críticos menos fiables?

Los cambios organizativos también pueden ocurrir en la cadena de suministro que da soporte a una empresa. La adopción de servicios en la nube está aumentando tanto para el almacenamiento de datos como para la entrega y la funcionalidad del software (software como un servicio) [CloudPro2017]. En 2017, se llevaron a cabo varias adquisiciones en la industria de servicios en la nube, lo que hizo que se consolidase aún más el número de proveedores de estos servicios en el ámbito internacional. Los servicios individuales en la nube podrían integrarse en operadores más grandes, lo que aumentaría la posibilidad de fallos de punto único en los principales servicios en la nube.

Los cambios organizativos también surgen cuando las empresas deciden trasladar y administrar software en otros países, donde el propietario podría seguir siendo el mismo, pero donde no es posible gestionar adecuadamente la responsabilidad, integridad y seguridad de los datos. No adaptarse a esta situación puede dar lugar a graves consecuencias [Anderson2017]. El operador que está a cargo es quien sigue teniendo la responsabilidad de que la externalización de los datos y/o servicios que realizan respetadas empresas o entidades del sector público. La deber de protección puede plantearse y garantizarse por escrito, pero es posible que no esté del todo claro en términos prácticos para el propietario y el usuario de los datos o los servicios. Además, los efectos de una violación de los datos o interrupción para el servicio podrían surgir de forma imprevista (debido a la contratación externa, las fusiones en la cadena de suministro o en la de adquisiciones). La gestión de las ICI en otros países da lugar a problemas imprevistos como la falta de supervisión, accesibilidad, dificultades jurídicas y normativas, y la distancia para viajar a un lugar concreto. Las violaciones o interrupciones imprevistas revelan una falta de conocimiento que puede dar lugar a obligaciones contractuales en las que se omite cómo gestionar los cambios organizativos.

4.2 BUENAS PRÁCTICAS RELACIONADAS CON LOS AVANCES TECNOLÓGICOS Y LA IDENTIFICACIÓN DE NUEVAS ICIEn este apartado, se incluye una lista de posibles buenas prácticas para el seguimiento y comprensión de los avances tecnológicos y la identificación de nuevas ICI.

4.2.1 BUENAS PRÁCTICAS: REALIZAR Y APOYAR UN ANÁLISIS DE HORIZONTES PERIÓDICO Una buena praxis consiste en realizar periódicamente un análisis de horizontes. Este análisis refuerza las políticas de PICI ya que permite a los países identificar y evaluar proactivamente los avances tecnológicos, y actuar cuando una nueva tecnología llega a un punto en el que puede formar parte de las ICI nacionales. También ayuda a entender los avances que influirán en la situación actual de la PICI.

Cuhls y col. describen el análisis de horizontes como: El análisis de horizontes es el procedimiento sistemático para detectar signos tempranos de avances potencialmente importantes. Estos pueden ser señales débiles (o tempranas), tendencias, wild cards u otros avances, problemas persistentes, riesgos y amenazas, y asuntos al margen del pensamiento actual que cuestionan referentes del pasado. El análisis de horizontes puede ser un ejercicio de total exploración y abierto o una búsqueda de información, con límites definidos, en un campo específico basado en los objetivos de los respectivos proyectos o tareas. Se intenta determinar qué es constante, qué es lo que puede cambiar, y qué es lo que cambia constantemente en el periodo de futuro que se analiza. Se utilizarán una serie de criterios en el proceso de búsqueda y/o filtrado. El futuro analizado puede ser un periodo a corto, medio o largo plazo.

Un análisis de horizontes realizado de forma periódica y conjunta puede fomentar la relación entre los responsables de las políticas gubernamentales y las partes interesadas nacionales e internacionales. Asimismo, puede ser de utilidad para sentar las bases de una mayor cooperación y entendimiento mutuo sobre los elementos que influyen o modifican las ICI y la necesidad de la PICI (por ejemplo, invitar a nuevos participantes para llevar a cabo conjuntamente actividades relacionadas con la gestión de crisis o ejercer el intercambio de información sobre la PICI [Luiijf2015b]).

El análisis de horizontes es de especial utilidad cuando se incorporan los puntos de vista de diferentes actores implicados. Una buena práctica es invitar a los principales actores implicados de una nación a que formen parte del conjunto de elementos potenciales de las ICI (véase Figura 4). Las diferentes perspectivas pueden conducir a una comprensión de las dependencias en tecnologías y organismos.

Estar al tanto de futuros desarrollos tecnológicos es importante, sin embargo, deben ser evaluados teniendo en cuenta una visión más amplia de la (posible) dinámica, avance y dependencias que incorporen a las IC y las ICI.

Para más información sobre el análisis de horizontes, consúltese [Curry2008] y [OCDE2016].

4.2.2 BUENAS PRÁCTICAS: ANÁLISIS DE RIESGOS (BASADO EN SITUACIONES) Los expertos en seguridad nacional, analistas y operadores de las ICI deberían participar periódicamente en la realización conjunta de análisis de riesgos que pueden ser una fuente de información para una reevaluación del conjunto de las ICI identificadas y para poder identificar los cambios en la criticidad. Una buena praxis para un gobierno es ofrecer (sin coste alguno) a los organismos y las empresas las herramientas y la información necesarias sobre el análisis de riesgos. Este podría ser obligatorio, pero los proveedores de infraestructuras de información también querrían tener una visión holística de la resiliencia y criticidad de sus productos y servicios.

Un ejemplo de una evaluación de análisis de riesgo voluntaria y sin costes es el informe de ciber-resiliencia de los EE. UU. (CRR). El CRR ayuda a evaluar la capacidad de resiliencia de los servicios críticos de sectores de la IC, el tamaño de la organización y madurez organizativa [US-CERTnd]. El CRR se compone de diez guías informativas (véase el recuadro a continuación) que se pueden utilizar individualmente o en conjunto. Otra guía de utilidad para abordar los enfoques de gestión de riesgos se puede encontrar en la publicación de ENISA "Inventory of Risk Management methods and tools” [Listado de métodos y herramientas de gestión de riesgos] [ENISA2016].

Las diez guías informativas del informe de ciber-resiliencia (CRR) que se pueden descargar a través de [USCERTnd] son: - Gestión de activos: esta guía se centra en los procesos utilizados para identificar, documentar y gestionar los activos de la organización.- Gestión de controles: esta guía describe los procesos que se utilizan para definir, analizar, evaluar y gestionar los diferentes controles de la organización. - Configuración y gestión de cambios: esta guía se ocupa de los procesos utilizados para garantizar la integridad de los activos de una organización. - Gestión de vulnerabilidades: esta guía se centra en los procesos que se utilizan para identificar, analizar y gestionar vulnerabilidades dentro del entorno operativo de la organización.- Gestión de incidentes: esta guía describe los procesos utilizados para identificar y analizar eventualidades, declarar incidentes, determinar una respuesta y mejorar la capacidad de gestión de incidentes de la organización. - Gestión de la continuidad del servicio: esta guía presenta los procesos que se utilizan para garantizar la continuidad de los servicios esenciales de una organización. - Gestión de riesgos: esta guía se centra en el proceso utilizado para identificar, analizar y gestionar los riesgos para los servicios críticos de una organización. - Gestión de dependencias externas: esta guía describe los procesos que se utilizan para gestionar los riesgos vinculados a la dependencia que tienen los servicios críticos de la actuación de entidades externas. - Formación y sensibilización: esta guía presenta los procesos utilizados para el desarrollo de capacidades y para fomentar la concienciación de las personas que tienen un rol de apoyo al servicio crítico. - Conocimiento de la situación: esta guía se centra en los procesos utilizados para descubrir y analizar la información relacionada con la estabilidad operativa inmediata de los servicios críticos de la organización y la coordinación de esa información en toda la organización.

El análisis de riesgos intersectorial o de la cadena de distribución requiere un enfoque más estructurado y mejor gestionado. Esta actividad la puede realizar una asociación (de empresas o del sector), y/o puede hacerse junto con otras agencias gubernamentales.

Una buena praxis para los responsables de políticas gubernamentales es designar una agencia o varias para realizar una evaluación de riesgos intersectorial o de la cadena de suministro, especialmente en países donde la responsabilidad de la PICI no está clara.

El análisis de riesgos también puede ser realizado y respaldado a través de argumentos basados en situaciones que, en comparación con un análisis de riesgos técnico, puede tener un contenido más amplio. El análisis de riesgos basado en situaciones ayuda a las partes interesadas a imaginar las condiciones en las que los elementos de la infraestructura de información pueden fallar y a evaluar la criticidad de diferentes elementos en todo el país en condiciones similares. Además, un análisis de riesgos basado en situaciones que tenga una perspectiva amplia (proceso, personas, tecnología) puede ser de ayuda para demostrar la importancia de TIC y OT que no están directamente relacionadas con el proceso crítico, pero que también son partes implicadas y nuevos avances que pueden formar parte (en el futuro) de la política de PICI.

4.2.3 BUENAS PRÁCTICAS: UNA MEJOR COMPRENSIÓN MEDIANTE EL ANÁLISIS DE INCIDENTES La complejidad de la tecnología puede hacer difícil el ejercicio de imaginar qué es lo que puede fallar dentro de las infraestructuras de información y saber qué combinaciones de eventos pueden dar lugar a interrupciones. Analizar los incidentes y sus impactos puede ayudar a entender cómo se desencadenan las interrupciones y a prevenir futuras interrupciones en las ICI. El análisis de incidentes y la publicación de sus resultados también pueden ayudar a concienciar más sobre la seguridad a las partes interesadas de la PICI.

Hay varios ejemplos de incidentes de los que se pueden extraer enseñanzas.

DEPENDENCIAS CRÍTICAS Las ICI nacionales podrían depender de la estabilidad de la infraestructura global de Internet o de sus servicios internacionales. Se ha demostrado que la fiabilidad e integridad de estas infraestructuras y servicios son importantes para los bienes y servicios de todo el mundo. El protocolo de puerta de enlace de frontera (BGP) gestiona la ruta más eficiente entre los puntos de intercambio de Internet, que están conectados por cables. El emplazamiento y la instalación de estos cables, que establecen conexiones entre continentes, lo realizan empresas privadas que están gestionadas por organizaciones sin ánimo de lucro que se dedican al intercambio de servicios de Internet. Como consecuencia de averías en los cables submarinos, que causaron problemas en la parte norte de Argentina, cinco millones de personas se vieron afectadas por interrupciones de servicio [Eldiario242012], [Lanaction2012]. Australia y Jersey también sufrieron problemas con el servidor de nacional de Internet debido a problemas en los cables submarinos. [Dailymail2016], [TheRegister2016].

El análisis de tales incidentes en infraestructuras específicas claves y de los incidentes relacionados con la interrupción de un grupo más amplio de IC e ICI (véase, por ejemplo, la Figura 5) también pueden ayudar a los países a identificar sus ICI y a gestionar las dependencias críticas de los servicios que prestan las ICI.

ATMs, electronic payments: Cajeros automáticos, pagos electrónicosStock Exchange: BolsaInternet banking: Banca por InternetInternet backbone: Red central de InternetInternet phone/VOIP: Telefonía por Internet/VoIPBanks: BancosInternet Services: Servicios de InternetInternet Access: Acceso a InternetFinancial services: Servicios financierosFixed: Telefonía fijaBackbone: Red centralGovernment: GobiernoGas: GasMobile telephony: Telefonía móvil Health: SanidadOil: PetróleoMobile data: Datos por móvilesCable/CATV: Cable/Televisión por cableWaste water: Aguas residualesPower: EnergíaBroadcast: RadiodifusiónWater management: Gestión hidrológicaSchools: EnseñanzaRoad: CarreterasRail: FerrocarrilesShipping: Navegación marítimaFood: AlimentaciónPublic Transport: Transporte PúblicoMetro: MetroInland shipping/navigation: Navegación interior/navegaciónAir: Navegación aéreaIndustry: IndustriaCreado con NodeXL Basic (http://nodexl.codeplex.com) por la fundación Social Media Research (http://ww.smrfoundation.org)

Figura 5: Ejemplo de un gráfico con las relaciones de dependencia de servicio de las IC basado en el conjunto de datos de la TNO donde figuran los incidentes de interrupción de las IC/ICI ocurridos en Europa entre 2005 y 2017 que aparecieron en medios de comunicación (fuente: TNO).--------------------------------------------------------------------------------------------------------------------------------

ESCASEZ DE CAPACIDADExisten varios ejemplos de incidentes donde los dispositivos conectados de forma colectiva intentaron volver a conectarse o reiniciarse a la vez. En 2013, los teléfonos móviles de Holanda de una compañía telefónica en particular no se pudieron conectar a la red de otros países como Bélgica, Francia, Mónaco y Etiopía [Tweakers.net2013]. Debido a que esto ocurrió en un periodo vacacional, muchos clientes holandeses que estaban de viaje aumentaron las solicitudes para conectarse a las redes de operadores de telefonía móvil extranjeras. En Nueva Zelanda, los teléfonos móviles produjeron una sobrecarga masiva en un controlador de la red de radio cuando los dispositivos de los clientes intentaron volver a conectarse debido a una interrupción en otra red de radio [Lightr2010]. El análisis de este tipo de incidentes ha ayudado a comprender y superar situaciones en las que existe una escasez de capacidad en las ICI.

DEPENDENCIA DE CONECTIVIDAD REMOTASe estima que el número de dispositivos que utilizarán una conexión 5G será superior a los que en la actualidad están conectados a través de las infraestructuras de red actuales. La cantidad de dispositivos de IIoT y IoT que necesitan conexiones externas (control remoto, comando, mantenimiento a distancia) están aumentando rápidamente y ya presentan problemas a pequeña y gran escala debido a las interrupciones ocurridas en las conexiones externas que se necesitan. Los problemas han sido causados por el mal funcionamiento de las actualizaciones, parches o por no poder contactar con el fabricante. Un ejemplo de esto es el incendio que se declaró en la sede de Samsung, que provocó el envío de mensajes de error en todo el mundo a través de smartphones, tabletas y televisiones inteligentes [COMPW2014].

[FOCUS2014] Asimismo, se ha comprobado que los termostatos conectados tampoco pueden funcionar sin conectividad. [Motley2016] [ARSTECHNICA2017]

Además, existe una gran cantidad de dispositivos con conexión pueden ser explotados (p. ej., mediante vulnerabilidades desconocidas o a las que no se les puede instalar un parche) con el objetivo de mejorarlos y sirvan de plataforma realizar un ataque contra las ICI (p. ej., en forma de ataques de denegación de servicio). Los países pueden supervisar la dependencia de la conectividad remota mediante el análisis de este tipo de incidentes.

4.2.4 BUENAS PRÁCTICAS: DISEÑO PROACTIVO EN LA GESTIÓN DE NUEVAS ICI Los avances en tecnología hacen que nuevos actores se interesen por la PICI. Es necesario que estos participantes se impliquen, lo antes posible, en la PICI para que se pueda evaluar la criticidad de sus tecnologías y servicios, y para que tomen conciencia de las responsabilidades que implica la gestión de las ICI.

En Singapur, se puede encontrar un ejemplo de gestión bien documentada, equilibrada y proactiva de las nuevas ICI. La estrategia de ciberseguridad de Singapur anima a que el gobierno nacional, los reguladores del sector y los propietarios de las ICI trabajen en estrecha colaboración para identificar nuevas ICI. En Singapur, se está elaborando un nuevo procedimiento formal para incluirlo dentro del proyecto de ley de Ciberseguridad 2018 (TBA) para designar nuevas ICI. El Ministerio de Comunicaciones e Información (MCI) y la Agencia de Ciberseguridad de Singapur (CSA) han invitado explícitamente a las partes interesadas a que aporten comentarios para el borrador del proyecto de ley de Ciberseguridad.

La gestión mediante la legislación es un reto ya que el ciberespacio es un entorno que evoluciona rápidamente. La legislación relativa a la identificación de las ICI debería redactarse, siempre que sea posible, de tal forma que no sea necesario elaborar una nueva ley cuando se identifiquen nuevos elementos de las ICI. Se debería elaborar una lista de los actores de las ICI que sea independiente de la legislación, en la que se puedan agregar o eliminar operadores y sistemas del listado de ICI en el menor tiempo posible. Para organizar la gestión de las nueva ICI de forma efectiva, los países pueden buscar alternativas a la legislación y la regulación. A las nuevas partes interesadas se les puede hacer participar en la gestión de las ICI de la siguiente manera: - Haciendo que participen en la comunidad que comparte información del Gobierno sobre PICI y

proporcionando informes de tendencias relevantes, información de inteligencia sobre amenazas, hojas informativas y documentos técnicos,

- Invitándoles a participar en grupos que se encargan de formular normativas y consultas gubernamentales, - Invitándoles a plataformas de intercambio de información.

La política de PICI podría suponer un obstáculo para la adopción de nuevas técnicas y productos dado que, en general, incorpora normas de seguridad adicionales. Las tecnologías emergentes pueden ser de gran utilidad para la actividad económica, los usuarios y los ciudadanos. Las restricciones que se aplican a los operadores, fabricantes o empresas que incorporan o producen tecnologías deben guardar un cuidadoso equilibrio con los beneficios potenciales que se obtengan. El hecho de que un operador sea identificado como ICI puede significar que tenga que asumir una serie responsabilidades. Un enfoque basado en la colaboración y transparencia sobre las responsabilidades derivadas de las políticas de PICI es una buena práctica para una gestión proactiva.

¿Cómo se puede promover que los operadores de ICI realicen actividades voluntarias y eficaces a la hora de redactar políticas de PICI? Una buena práctica figura en el plan de acción de Japón para la PICI [NISC2014]: - Un contenido realista de un plan de acción de PICI que sea viable para que lo puedan aplicar los que están dando sus primeros pasos en este ámbito. - Los elementos básicos deben estar articulados en la política básica para que los ejecutivos y dirigentes del mundo empresarial, que tienen la llave para garantizar la seguridad de la información en los operadores de ICI, puedan entender la necesidad de implementar la política básica. - Debido a que es probable que tanto los expertos como los no expertos vayan a leer la política básica, el contenido del plan debería ser fácil de entender para cualquier parte implicada; de modo que cada una sepa qué tipo de medidas se deben tomar en virtud de la política básica. - Explicar con claridad el ciclo de PDCA para el mantenimiento y mejora de la capacidad de protección de las ICI, especialmente en lo que respecta a operadores de ICI pequeñas y medianas, así como a los operadores que están todavía en proceso de desarrollar dicha capacidad, lo que contribuirá a fomentar que estos operadores apliquen medidas efectivas y voluntarias.- Explicar con detalle la importancia de la gestión de riesgos y la necesidad de que los operadores de las ICI la incorporen para abordar los cambios del entorno con flexibilidad. - Reunir las normativas de varios niveles, que los operadores de ICI deben comprender, para que puedan ser compartidas y entregadas a los sustitutos de las partes implicadas, a pesar de que se den muchos cambios en los actores implicados. - Seguir promoviendo una mayor cantidad de actividades de relaciones públicas de modo que, incluso después de que la política básica sea publicada, se dé una respuesta adecuada que permita abordar el entorno cambiante y se siga recopilando y facilitando la información correspondiente.

4.3 BIBLIOGRAFÍA Y MATERIAL DE LECTURA COMPLEMENTARIO[Anderson2017] New York Times (2017), Swedish Government Scrambles to Contain Damage

From Data Breach. [El Gobierno sueco lucha para contener los daños por violación de datos] En línea: https://www.nytimes.com/2017/07/25/world/europe/ibm-sweden-data-outsourcing.html

[ATECHNICA2017] ARSTECHNICA, 2017. IoT garage door opener maker bricks customer’s product after bad review | Ars Technica. [Encargado de acceso a IoT bloquea el producto de un consumidor tras crítica negativa | Ars Technica] En línea: https://arstechnica.com/informationtechnology/2017/04/iot-garage-door-opener-maker-bricks-customers-productafter-bad-review/

[AUSGov2015] Australian Government (2015). Information Security Management Guidelines:Risk management of outsourced ICT arrangements (including Cloud), version 1.1. [Gobierno australiano (2015). Pautas para gestionar la seguridad de la información: Gestión del riesgo de los acuerdos de TIC subcontratadas (incluida la nube), versión 1.1]. En línea: www.protectivesecurity.gov.au/informationsecurity/Documents/AustralianGovernmentInformationSecurityManagementGuidelines.pdf

[CLOUDPRO2017] CloudPro (2015). SaaS and cloud M&A on the up in 2017. [El software como servicio y las fusiones y adquisiciones Cloud en aumento en 2017]. En línea: http://www.cloudpro.co.uk/cloud-essentials/public-cloud/6992/saas-and-cloud-ma-on-theup-en-2017.

[COMPW2014] COMPUTERWELT, 2014. Feuer bei Samsung lässt Smart-TVs ausflente. En línea: http://www.computerwelt.at/news/wirtschaft-politik/unternehmen/detail/artikel/103307-feuer-bei-samsung-laesst-smart-tvs-ausfallen/,/

[Curry2008] Curry, A. and Hodgson, A. (2008). Seeing in Multiple Horizons: ConnectingFutures to Strategy, Journal of Futures Studies, 13(1): 1 – 20. [Mirando en los múltiples horizontes: el futuro conectado como estrategia, Journal of Futures Studies, 13 (1): 1 – 20]. En línea: http://jfsdigital.org/articles-and-essays/2008-2/vol-13-no-1-august/ articles/seeingin-multiple-horizons-connecting-futures-to-strategy/

[Cuhls2015] Cuhls, K., Van der Giessen, A., Toivanen, H. (2015). Models of Horizon Scanning - How to integrate Horizon Scanning into European Research and Innovation Policies, Technical Report. DOI: 10.13140/RG.2.1.1938.7766 [Modelos de análisis de horizontes - cómo integrar el análisis de horizontes en las políticas europeas de investigación y desarrollo, informe técnico]

[Dailymail2016] Daily Mail Online, 2012. Telstra outage hits customers AGAIN five days after8m users left without service. [Telstra enfurece a sus clientes OTRA VEZ, cinco días después de que 8 millones de usuarios se quedaran sin servicio] En línea: http://www.dailymail.co.uk/news/article-3503708/Telstra-customers-complain-outage-just-five-days-eightmillion-users-went-without-service.html?ITO=1490&ns_mchannel=rss&ns_campaign=1490.

[Eldiario2012] ElDiario24.com. Gigantesco apagón informático en todo el norte argentino. En línea: http://www.eldiario24.com/nota/256476/gigantesco-apagon-informaticoen- todo-el-norte-argentino.html

[ENISA2016] European Network and Information Security Agency. (2015). Inventory of RiskManagement methods and tools. [Agencia Europea de Seguridad de las Redes y de la Información (2015) Listado de métodos y herramientas para la gestión de riesgos] En línea: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-managementinventory/introduction

[FOCUS2014] FOCUS Online, 2014. Samsung: Brand in Korea ärgert Samsung-Nutzer in aller Welt. [Una marca en Corea molesta a los usuarios de Samsung de todo el mundo]. En línea: http://www.focus.de/digital/samsung-brand-in-korea-aergertsamsung-nutzer-in-aller-welt_id_3788162.html

[Motley2016] The Motley Fool, 2016. Google’s Nest Proves the Internet of Things Still Has a Long Way to Go – The Motley Fool. [El nest de Google demuestra que el Internet de las cosas aún tiene un largo camino por recorrer: The Motley Fool] En línea: https://www.fool.com/investing/general/2016/01/19/googles-nest-proves-the-internet-of-things-still-h.aspx

[GM2016] GFCE-MERIDIAN (2016), GFCE-MERIDIAN Guía de buenas prácticas sobre infraestructuras críticas de la información para responsables de políticas gubernamentales. En línea, https://www.thegfce.com/initiatives/c/critical-informationinfrastructure- protection-initiative /documents/reports/2016/11/10/ciip-goodpractice-guide y a través de la página web, https://www.tno.nl/gcciip

[ISF2011] Information Security Forum (2011). Driving out the seven deadly sins of cloud computing: Information Security Forum. [Foro de seguridad de la información (2011). Expiando los siete pecados capitales de la nube informática: Foro de seguridad de la información]. En línea: https://www.securityforum.org/uploads/2015/03/isf_cloud_computing_es.pdf.

[LaNacion] La Nación, 2012. Un apagón de Telecom afectó a medio país. En línea: http://www.lanacion.com.ar/1481581-un-apagon-de-telecom-afecto-a-medio-pais

[Lightr2010] LightReading, 2010. New Zealand’s 3G Network Nightmare. [Pesadilla en la red 3G de Nueva Zelanda]. En línea: http: // www. lightreading.com/mobile/3g-hspa/new-zealands-3g-network-nightmare/d/did/ 674871

[Luiijf2015a] Luiijf, E., Klaver, M. (2015). Governing Critical ICT: Elements that RequireAttention, European Journal of Risk Regulation, Symposium on Critical Infrastructures: Risk, Responsibility and Liability, Vol. 6, Issue 2 pp. 263 – 270. [Gestión de TIC críticas: elementos que requieren atención, Revista Europea de Regulación de Riesgos, Simposio sobre Infraestructuras Críticas: riesgos, responsabilidades y obligaciones, vol. 6, número 2 págs: 263-270].

[Luiijf2015b] Luiijf, E. and Kernkamp, A. (2015). GCCS2015 Good Practice: Sharing Cyber Security Information, TNO. [GCCS2015 Buenas prácticas: intercambio de información sobre ciberseguridad]. Fuente: DOI: 10.13140/RG.2.1.4321.7442 https://repository.tudelft.nl/view/tno/uuid:1eeb81c7-4328-459f-944df55c52e31fb1/

[NISC2014] National Information Security Center NISC, 2014. The Basic Policy of Critical Information Infrastructure Protection (3rd Edition). [Centro Nacional de Seguridad de la Información NISC, 2014. Política básica de la protección de infraestructuras críticas de información (3ª edición)]. En línea: https: //www.nisc. go.jp/eng/pdf/actionplan_ci_eng_v3.pdf

[OCDE2016] OCDE (2016). Preparing governments for long term threats and complexchallenges. [Preparar a los gobiernos para amenazas a largo plazo y retos complejos]. En línea: http://www.oecd.org/gov/Preparing-governments-for-longthreats- and-complex-challenges.pdf

[TheRegister2016] The Register, 2016. Jersey sore: Anchor rips into island’s undersea cables,sinks net access. [Lío en Jersey: un ancla rompe los cables submarinos de la isla, el acceso a la red se hunde]. En línea: https://www.theregister.co.uk/2016/11/30/jersey_ submarine_cable/

[Tweakers.net2013] Tweakers.net, 2013 Deel KPN-klanten in buitenland weer offline door mislukken herstelactie - Tablets en telefoons. [los clientes de KPN en el extranjero otra vez sin conexión al fallar la acción de restauración - tabletas y teléfonos]. En línea: https://tweakers.net/nieuws/90365/ deel-kpn-klanten-in-buitenland-weer-offline-door-mislukken-herstelactie.html

[US-CERTnd] US-CERT (not dated). Assessments: Cyber Resilience Review (CRR) | US-CERT. [US-CERT (sin fecha). Evaluaciones: informe de ciber-resiliencia (CRR) | US-CERT. En línea: https://www.us-cert.gov/ccubedvp/assessments.

5 LISTA DE ABREVIATURAS

BGP Border Gateway Protocol [Protocolo de Puerta de Enlace de Frontera] CIIR Critical Information Infraestructure Resilience [Resiliencia de las Infraestructuras

Críticas de Información] CIR Critical Infraestructure Resilience [Resiliencia de las infraestructuras críticas]CPS Cyber-Physical System [Sistema Ciberfísico]ECN Estrategia de Ciberseguridad Nacional ENISA European Union Agency for Network and Information Security [Agencia Europea de

Seguridad de las Redes y de la Información] GBP Guía de Buenas Prácticas GFCE Global Forum on Cyber Expertise [Foro Global de Experiencia Cibernética] GNSS Global Navigation Satellite System [Sistema Global de Navegación por Satélite]IC Infraestructuras Críticas ICI Infraestructuras Críticas de Información IIoT Industrial Internet of Things [Internet Industrial de las Cosas]IoT Internet of Things [Internet de las Cosas]ISO / CEI Comisión Electrotécnica Internacional de la ISO ISO International Organization for Standardization9 [Organización Internacional de

Normalización]NCSC-NL Netherlands National Cyber Security Centre [Centro Nacional de Ciberseguridad de

los Países Bajos] NIST (USA) National Institute of Standards and Technology [Instituto Nacional de

Normas y Tecnología (EE. UU.)] NRI Network Readiness Index [Índice de Disposición a la Conectividad]OCDE Organización para la Cooperación y el Desarrollo EconómicosONG Organización No GubernamentalOT Operational Technology/Technologies [Tecnología(s) de Operaciones] PDCA Plan,Do,Check,Act (cycle) [(ciclo) Planificar, Hacer, Verificar, Actuar] PIC Protección de Infraestructuras Críticas PICI Protección de Infraestructuras Críticas de Información RIA Riigi Infosüsteemi Amet (Estonian Information System Authority) [Autoridad del

Sistema de Información de Estonia]RPV Red Privada VirtualSCADA Supervisory Control and Data Acquisition [Supervisión Control y Adquisición de

Datos] TI Tecnología(s) de la InformaciónTIC Tecnologías de la Información y la ComunicaciónUIT Unión Internacional de Telecomunicaciones: Agencia Especializada de las

Naciones Unidas para las Tecnologías de la Información y la comunicación – TICWEF World Economic Forum [Foro Económico Mundial]

9 ISO es más una descripción que una abreviatura, véase www.iso.org.

COLOFÓN

AUTORESEric LuiijfTom van Schie Theo van Ruijven

TNO Lange Kleiweg 137 2288 GJ Rijswijk Países Bajos info@tno.nl TNO.NL

Con la colaboración de Peter Burnett (coordinador de Meridian), Nynke Stegink (NCSC-NL) y miembros de Meridian de Singapur, Estados Unidos, Japón, Corea, Suiza, España y la Organización de los Estados Americanos (OEA).

El presente Documento complementario a la Guía de buenas prácticas de GFCE-MERIDIAN 2016 sobre protección de infraestructuras críticas de la información para responsables de políticas gubernamentales ha sido elaborado por GFCE-Meridian. La versión digital de la GBP 2016 está disponible para descargar en: https://www.thegfce.com/initiatives/c/critical-information-infrastructure-protection-initiative/documents /reports /2016/11/10/ciip-good-practice-guide, y en https://www.tno.nl/gcciip. También está disponible para su descarga en https://www.tno.nl/gcciip.

MERIDIANEl Proceso Meridian tiene como objetivo intercambiar ideas e iniciar acciones para la cooperación de organismos gubernamentales en temas de Protección de Infraestructuras Críticas de Información (PICI) a nivel mundial. Explora los beneficios y oportunidades de la cooperación entre los gobiernos y ofrece una oportunidad para compartir las mejores prácticas de todo el mundo. Busca crear una comunidad de altos responsables gubernamentales de PICI fomentando la colaboración continuada.

El Proceso Meridian reconoce que sólo trabajando juntos podemos avanzar en cada uno de nuestros objetivos y metas nacionales respecto a la PICI. La participación en el Proceso Meridian está abierta a todos los países/economías y está dirigida a altos responsables gubernamentales involucrados en asuntos relacionados con la PICI. Se invita a cada país/economía a participar en el Proceso Meridian, y se le anima a asistir a la Conferencia Meridian anual [www.meridianprocess.org].

GFCEEl Foro Global de Experiencia Cibernética (GFCE) es una plataforma global para países, organizaciones internacionales y empresas privadas para intercambiar las mejores prácticas y experiencias en la construcción de capacidades cibernéticas. El objetivo es identificar políticas, prácticas e ideas que hayan tenido éxito y multiplicarlas a un nivel mundial. Junto con los socios pertenecientes a ONG, la comunidad tecnológica y el mundo académico, los miembros del GFCE desarrollan iniciativas prácticas para mejorar la capacidad cibernética [www.thegfce.com/].

Octubre 2017

Este documento ha sido patrocinado por el Gobierno holandés.

© TNO 2017 Esta guía se ha elaborado con una finalidad meramente informativa. El usuario está autorizado a copiar y/o distribuir libremente esta guía para los fines anteriormente citados, siempre y cuando la guía y su contenido se mantengan sin cambios y en su totalidad. Sin consentimiento previo o escrito, está prohibido presentar esta guía con propósitos de registro o legales, uso comercial, fines publicitarios o publicidad negativa. El uso no autorizado o inadecuado de esta guía o de su contenido puede vulnerar los derechos de propiedad intelectual de TNO, por lo que es usted responsable. Aunque TNO ha actuado con la diligencia debida para garantizar la exactitud de la información contenida en esta guía, TNO excluye expresamente cualquier responsabilidad sobre los contenidos. Todo el contenido se proporciona tal como es y como está disponible. Las decisiones que adopte basándose en esta información serán responsabilidad suya. Se autoriza la traducción de la guía completa a otro idioma, previa notificación a los autores y autorización por escrito de los mismos.