Guia Buenas Practicas Ppe PDF

GUA DE BUENAS PRCTICAS
PLAN DE PROTECCION ESPECFICO

(PPE)
GABINETE DE COORDINACIN
Y ESTUDIOS
SECRETARA DE ESTADO
DE SEGURIDAD
MINISTERIO
DEL INTERIOR

SECRETARA DE ESTADO DE
SEGURIDAD
GABINETE DE COORDINACIN Y
ESTUDIOS

1. INTRODUCCIN ......................................................................................................................................... 2
1.1. Base legal .................................................................................................................................... 3
1.2. Objetivo de este documento ........................................................................................................ 4
1.3. Proteccin de la informacin ........................................................................................................ 4
2. ASPECTOS ORGANIZATIVOS ....................................................................................................................... 5
2.1. Delegados de seguridad de las infraestructuras crticas .............................................................. 5
2.2. Mecanismos de coordinacin ....................................................................................................... 5
2.3. Mecanismos y responsables de aprobacin ................................................................................ 6
3. DESCRIPCIN DE LA INFRAESTRUCTURA CRTICA ......................................................................................... 6
3.1. Datos generales ........................................................................................................................... 6
3.2. Activos / elementos ...................................................................................................................... 7
3.3. Interdependencias ....................................................................................................................... 8
4. RESULTADOS DEL ANLISIS DE RIESGOS .................................................................................................... 8
4.1. Amenazas consideradas .............................................................................................................. 8
4.2. Medidas existentes ...................................................................................................................... 8
4.2.1. Organizativas o de gestin ............................................................................................. 9
4.2.2. Operacionales o procedimentales ................................................................................ 10
4.2.3. De proteccin o tcnicas .............................................................................................. 10
4.3. Valoracin de riesgos ................................................................................................................ 11
5. PLAN DE ACCIN PROPUESTO .................................................................................................................. 13
5.1. Acciones .................................................................................................................................... 14
5.2. Medidas de Seguridad ............................................................................................................... 17
6. DOCUMENTACIN COMPLEMENTARIA ........................................................................................................ 19
7. ANEXO I. DETALLE DE MEDIDAS DE SEGURIDAD ....................................................................................... 20
7.1. Detalle de Medidas Organizativas o de Gestin ........................................................................ 20
7.1.1. Cuerpo normativo definido ............................................................................................ 20
7.1.2. Organizacin de la Seguridad ...................................................................................... 21
7.1.3. Medios Humanos y Seguridad del Personal ................................................................. 23
7.2. Detalle de Medidas Operacionales o Procedimentales .............................................................. 23
7.2.1. Procedimientos de gestin de activos .......................................................................... 23
7.2.2. Gestin de la Formacin y Concienciacin ................................................................... 24
7.2.3. Gestin de la Continuidad ............................................................................................ 25
7.2.4. Supervisin Continua y Monitorizacin ......................................................................... 26
7.2.5. Gestin de accesos ...................................................................................................... 26
7.2.6. Gestin de Evacuacin y Emergencia .......................................................................... 26
7.2.7. Gestin de la Informacin ............................................................................................. 27
7.2.8. Gestin de la Respuesta, Incidentes y Escalado .......................................................... 28
7.2.9. Gestin del conocimiento ............................................................................................. 29
7.3. Detalle de Medidas de Proteccin o Tcnicas ........................................................................... 30
7.3.1. Prevencin y Deteccin ................................................................................................ 30
7.3.2. Vigilancia y monitorizacin ........................................................................................... 33
7.3.3. Coordinacin y respuesta ............................................................................................. 35
7.3.4. Continuidad y contingencia ........................................................................................... 37

MINISTERIO DEL INTERIOR
______________________
SECRETARIA DE ESTADO
DE SEGURIDAD

2

1. INTRODUCCIN
1.1 BASE LEGAL
Segn establece la Ley 08/2011, de 28 de abril, por la que se establecen medidas
para la proteccin de las infraestructuras crticas, el operador designado como crtico se
integrar como agente del sistema de proteccin de infraestructuras crticas, debiendo
cumplir con una serie de responsabilidades recogidas en su artculo 13. De acuerdo con
en el punto 1, letra d, del citado artculo, el operador deber elaborar un Plan de
Proteccin Especfico (en adelante PPE) por cada una de las infraestructuras crticas de
las que sea propietario o gestor.

El Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de
Proteccin de las Infraestructuras Crticas, a travs del cual se da desarrollo reglamentario
a la Ley 08/2011, en su captulo IV del Ttulo III sobre los Instrumentos de Planificacin,
establece aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos
planes, formas de revisin y actualizacin, autoridades encargadas de su aplicacin y
seguimiento y compatibilidad con otros planes ya existentes.

En este sentido, y conforme al artculo 25.5 de dicho Real Decreto, el Secretario de
Estado de Seguridad estableci, mediante Resolucin de fecha 15 de noviembre de 2011
y su modificacin con Resolucin de fecha 29 de noviembre de 2011, los Contenidos
Mnimos con los que debe contar todo PPE, as como el modelo en el que fundamentar su
estructura y complecin.

En el PPE, el Operador Crtico (en adelante OC) pblico o privado recoger de forma
prctica los siguientes aspectos y criterios incluidos en su Plan de Seguridad del
Operador (en adelante PSO), que afectan de manera especfica a esa instalacin:

Aspectos relativos a su poltica general de seguridad.
Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de
los servicios proporcionados por dicho operador a travs de esa infraestructura
crtica.
Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que
se implanten para hacer frente a las amenazas, tanto fsicas como lgicas,
identificadas en relacin con cada una de las tipologas de los activos existentes en
esa infraestructura.
______________________
DE SEGURIDAD

3

1.2 OBJETIVO DE ESTE DOCUMENTO
Con el presente documento se pretende orientar a aquellos operadores designados
como crticos en la elaboracin de sus PPEs, sirviendo como complemento a las
Resoluciones del Secretario de Estado de Seguridad sobre Contenidos Mnimos del PPE.
Por lo tanto, se trata de un documento de carcter voluntario que no incluye requisitos
adicionales a los establecidos por la legislacin vigente o por las Resoluciones
mencionadas previamente. Para facilitar la aplicacin de estas buenas prcticas se han
incluido diferentes ejemplos en este documento.

En esta gua se incluyen una serie de Anexos (detalle de medidas organizativas o
gestin, operacionales o procedimentales, proteccin o tcnicas, etc.) que podrn ser
referentes de ayuda a los operadores crticos para la confeccin de alguno de los puntos
de los contenidos mnimos del PPE.

1.3 PROTECCIN DE LA INFORMACIN
Tras la aprobacin del PPE, su grado de clasificacin ser, como se sabe, de
Difusin Limitada, debiendo el Operador Crtico definir sus procedimientos de gestin y
tratamiento de la informacin conforme a unos estndares de seguridad que garanticen
una adecuada y eficaz proteccin de dicha informacin.

Para ello, el OC tomar como referencia las orientaciones dictadas por la Autoridad
Nacional de Seguridad, entre las que cabe destacar
1
:

Seguridad documental
o OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin
Clasificada con Grado de Difusin Limitada.
Seguridad en el personal
o OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a
Informacin Clasificada.
Seguridad fsica
o OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una Zona
de Acceso Restringido.
o OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de Acceso
Restringido.

______________________
DE SEGURIDAD

4
1
Los documentos mencionados pueden consultarse en la direccin:
http://www.cni.es/es/ons/documentacion/normativa/

2. ASPECTOS ORGANIZATIVOS
2.1 DELEGADOS DE SEGURIDAD DE LAS INFRAESTRUCTURAS CRTICAS
El operador aportar la informacin solicitada en este apartado conforme a lo
establecido en el documento de contenidos mnimos del PPE, siendo recomendable
tambin informar de los mecanismos de contingencia y continuidad adoptados para
garantizar la comunicacin con el Delegado de Seguridad en caso de incidentes o que
dicha persona se vea afectada por cualquier tipo de suceso adverso que no le permitan
estar accesible, as como los canales de coordinacin existentes con los distintos actores
afectados (incluyendo FFCCS y CNPIC).

En cuanto a la formacin que deber reflejar, en funcin del Plan de Formacin,
debera incluir aspectos tanto tcnicos, como de gestin en el mbito de la seguridad y, en
sus dos dimensiones ms tradicionales (fsica y lgica). Sera recomendable incluir la
formacin que ha recibido de acuerdo con lo previsto en el Plan de Formacin recogido en
el PSO.

2.2 MECANISMOS DE COORDINACIN
Para clarificar los mecanismos de coordinacin establecidos en relacin a la IC
conforme a lo establecido en el documento de contenidos mnimos del PPE, se
recomienda identificar, en primer lugar, todos aquellos interlocutores con los que se debe
establecer relacin en el mbito de la proteccin de las IICC, tanto dentro como fuera de la
propia infraestructura.

A continuacin, se debera recoger para cada uno de ellos, tanto el mecanismo de
comunicacin principal como el secundario para casos de contingencias (canales que
deberan ser probados peridicamente, como es lgico).

Asimismo, se deberan reflejar tambin las reuniones, comits, protocolos y cualquier
otro mecanismo que se emplee para la coordinacin con dichos organismos / roles, as
como los procedimientos de actuacin previstos ante las distintas situaciones crticas o
extraordinarias con el objetivo de minimizar el impacto de estas eventualidades.

Finalmente, sera conveniente desarrollar planes de comunicacin para mantener
informados de las novedades a cada uno de los niveles de responsabilidad y funcionalidad
entre los distintos actores.

______________________
DE SEGURIDAD

5

2.3 MECANISMOS Y RESPONSABLES DE APROBACIN
Al igual que para otros tipos de polticas y procedimientos se debera recoger el
procedimiento que se utiliza para la aprobacin del propio PPE, es decir:

Quin es el responsable de su aprobacin.
Quin es el responsable de su revisin y actualizacin si fuera necesario.
Cules son los pasos para su aprobacin y a quin se comunican las
modificaciones en el plan (incluyendo cualquier tercero afectado por dichas
modificaciones).
Periodicidad con la que se revisa el Plan (que debe cumplir, en cualquier caso,
con los requisitos legales establecidos) y fecha de la ltima revisin.
Aspectos que sern objeto de revisin.
Registros generados por el procedimiento de revisin que permitirn comprobar
que el Plan ha sido revisado, aunque no se haya traducido en modificaciones
del plan (reuniones, actas del Comit correspondiente, estudios y anlisis
realizados, actualizaciones de los anlisis de riesgos, etc.).

3. DESCRIPCIN DE LA INFRAESTRUCTURA CRTICA
3.1 DATOS GENERALES
El Operador Crtico, a modo de introduccin de la Infraestructura Crtica, debera incluir al
menos la informacin de contexto suficiente para describir los siguientes aspectos:

Informacin de carcter estratgico.
Descripcin del servicio esencial que soporta y mbito geogrfico del mismo.
Relacin con otras posibles infraestructuras necesarias para la prestacin de
ese servicio esencial.
Del mismo sector.
De otros sectores.
Descripcin de sus funciones y de su relacin con los servicios esenciales
soportados.

Informacin de carcter general.
Denominacin y tipo de instalacin.
Descripcin general de la infraestructura a proteger.
Propiedad y gestin de la Infraestructura Crtica.

Localizacin fsica y estructura de la infraestructura a proteger.
Ubicacin geogrfica de la infraestructura.
______________________
DE SEGURIDAD

6

Planos generales de la infraestructura con referencia a todos los elementos,
as como su ubicacin relativa y absoluta.
Fotografas relevantes de la infraestructura y los elementos que la
componen.
Componentes (Edificios/Instalaciones/etc.).

Sistemas TIC y arquitectura.
Mapa de red y comunicaciones.
Mapa de sistemas y servicios.
Sistemas de control.
3.2 ACTIVOS / ELEMENTOS
Se debera realizar una descripcin de los activos que soportan la infraestructura
crtica, diferenciando aquellos que son vitales de los que no lo son y detallando las
dependencias existentes entre ellos. La informacin que se podra incluir al menos sera la
enumerada a continuacin:

Medios materiales y recursos necesarios para la prestacin del servicio esencial.
Componentes de la Infraestructura Crtica.
Ubicacin de los centros de procesamiento de datos (CPD) que gestionan
los diferentes elementos que conforman la Infraestructura Crtica.
Sistemas informticos (hardware y software) utilizados.
Relacin de sistemas (HW/SW).
Versiones.
Redes de comunicaciones que se utilizan para dicha IC. Tipos.

Medios personales para la prestacin del servicio esencial.
Tipologa.
Volumen.

Relacin de la IC con los servicios esenciales prestados por el operador.

Servicios crticos que son necesarios para el funcionamiento de dicha IC
(emergencias, abastecimiento, etc.).

Usuarios finales de los servicios prestados por la IC (particulares, empresas, Sector
pblico).
______________________
DE SEGURIDAD

7

3.3 INTERDEPENDENCIAS
Se debera realizar una descripcin y el motivo que origina las posibles
interdependencias entre servicios esenciales e infraestructuras crticas propias, as como,
con las de otros operadores dentro del mismo sector o diferente, que deban ser
consideradas en el anlisis de riesgos en el marco global de la organizacin. En este
sentido hay que tener en cuenta el anlisis de riesgo del marco global de la organizacin
as como el modo en que afectan al servicio, analizando las posibles dependencias de
entrada, de salida y de proceso, sin olvidar tanto el mbito interno como externo a la
organizacin de la dependencia. Algunos ejemplos de interdependencias seran:

Entre los servicios esenciales: Del propio operador y/o otros Operadores nacionales
o extranjeros del mismo o distinto sector.
Entre infraestructuras: Del propio operador y/o otros Operadores nacionales o
extranjeros del mismo o distinto sector.
Con sus proveedores dentro de la cadena de suministros.
Etc.

4. RESULTADOS DEL ANLISIS DE RIESGOS
4.1 AMENAZAS CONSIDERADAS
Para el anlisis de riesgos a realizar se podran tomar como punto de partida
diferentes tipologas de amenazas que estn definidas en diferentes catlogos existentes
o referentes a nivel nacional o internacional.

En ese sentido, se deben analizar las principales amenazas que pudieran tener un
origen intencionado por parte de terceras partes diferentes a los propios operadores y que
pudieran afectar a los activos de tipo lgico como de tipo fsico.

Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin tpica de amenazas que podr ser utilizada a modo de gua para
la realizacin de esta actividad.

4.2 MEDIDAS EXISTENTES
Se entiende por medidas de seguridad, las medidas de proteccin de los activos.
Estas medidas podrn ser, permanentes, temporales y graduales.

En las secciones siguientes se proporcionan recomendaciones y ejemplos generales
a partir de los cuales se podra estructurar la seguridad integral de los servicios esenciales
______________________
DE SEGURIDAD

8

y las infraestructuras crticas de las que ellos dependen. La lista de ejemplos
proporcionada no es exhaustiva, pero puede servir de punto de partida para organizar las
necesidades de proteccin del entorno concreto de proteccin para el que sean aplicables.

El Operador deber describir las medidas de seguridad integral actualmente
implantadas en lnea con el anlisis de riesgos realizado. Se recomienda seguir una
organizacin de las medidas en tres niveles:

Medidas organizativas o de gestin
Medidas operacionales o procedimentales
Medidas de proteccin o tcnicas.

En general las medidas a implementar, o implementadas, debern ser acordes con la
Legislacin vigente y aplicable, tanto en lo que respecta a la documentacin exigible, como
a la instalacin y mantenimiento.

4.2.1 Organizativas o de gestin
Todas las organizaciones tienen una funcin, misin o negocio, que determina sus
objetivos (qu hay que conseguir) y estrategias (cmo hay que conseguirlo). Es por ello
que la seguridad integral de una organizacin debera alinearse para garantizar la
consecucin de los mismos.

Las medidas organizativas son el conjunto de medidas de seguridad embebidas en
los procesos y estructuras organizativas existentes en la organizacin y cuyo objetivo
principal es gestionar la complejidad de los procesos de gestin de la seguridad y dar
respuesta a los riesgos, condicionantes normativos y regulatorios del entorno.

En el Anexo I (apartado 7.1) se incluye informacin adicional sobre las siguientes medidas
organizativas o de gestin que se pueden establecer:

Definicin de un cuerpo normativo
Organizacin de la seguridad
Comit de Seguridad y Crisis
Establecimiento de roles
Gestin de cambios
Gestin de la calidad y de la documentacin
Medios Humanos y seguridad del personal
Formacin y Concienciacin
Proteccin del personal.
______________________
DE SEGURIDAD

9

4.2.2 Operacionales o procedimentales
Derivados del cuerpo normativo establecido en la organizacin, las buenas
prcticas recomiendan la documentacin del conjunto indispensable de procedimientos
operacionales o procedimentales con su alcance concreto que permita realizar una gestin
integral del proceso de seguridad y la adecuada gestin de los controles implantados.
Todo ello con el objetivo de lograr la eficacia y la eficiencia de los mismos acorde con los
riesgos contemplados y la racionalidad y proporcionalidad de la proteccin requerida.

En el Anexo (apartado 7.2) se describen los procedimientos de alto nivel que
engloban la tipologa de controles que son aconsejables acordes con las buenas prcticas
de seguridad. En concreto, en dicho anexo se incluye informacin sobre los siguientes:

Procedimientos de gestin de activos
Gestin de la formacin y la concienciacin
Gestin de la continuidad
Supervisin continua y monitorizacin
Gestin de accesos
Gestin de evacuacin y emergencias
Gestin de la informacin
Gestin de la respuesta, incidentes y escalado
Procedimiento para la catalogacin de incidentes
Procedimiento para el escalado de incidentes
Procedimiento para la respuesta a incidentes
Gestin del conocimiento
Revisin.

4.2.3 De proteccin o tcnicas
Las medidas de proteccin o tcnicas hacen referencia a aquellos conjuntos de
controles de carcter tcnico necesariamente implantados en la organizacin para
conseguir un nivel de riesgo aceptable. La forma ms recomendable de implementacin es
mediante el establecimiento de medidas automatizadas que permitan crear registros de
evidencias fiables.

A continuacin, de forma no exhaustiva, se proporciona un conjunto de ejemplos de
alto nivel de controles y medidas agrupadas conforme a lo que consideramos criterios
prcticos: facilidad de lectura, catalogacin y naturaleza de las medidas. Estas
agrupaciones de controles tienen por objeto el facilitar su inclusin en un ciclo de gestin
continua de la seguridad que permita mayor eficacia y eficiencia en la implementacin y
mantenimiento de la seguridad. Ello no quita que algunas de las medidas pudieran ser
______________________
DE SEGURIDAD

10

clasificadas en ms de un grupo. No obstante, el objetivo es facilitar su identificacin y
comprensin de forma general para, conforme a las necesidades, aplicar medidas ms
concretas derivadas o relacionadas con las mismas. Por ejemplo, si se indica de forma
general medidas de control de permetro de seguridad hay varios grupos de medidas que
pueden ser implantados conforme a las necesidades de defensa en profundidad:
hipotticamente conforme a los riesgos sera necesario implementar una valla, un
volumtrico y una cmara de video vigilancia; adicionalmente para la proteccin del
permetro lgico sera necesaria la segmentacin de la red, la creacin de una DMZ, la
aplicacin de reglas de firewall y de sistemas de deteccin de intrusiones, etc.

Para organizar un ciclo de gestin continua de la seguridad las agrupaciones
propuestas, son las siguientes:

Prevencin y Deteccin
Vigilancia y Monitorizacin
Coordinacin y Respuesta
Continuidad y Contingencia.

En el Anexo I (apartado 7.3) se incluye informacin adicional sobre cada uno de los
tipos de medidas que se pueden aplicar en cada caso.

4.3 VALORACIN DE RIESGOS
A partir de la seleccin de las diferentes medidas de seguridad que hayan sido
implantadas se proceder a estimar el riesgo residual al que se encuentra expuesta una
infraestructura. Para poder proceder a dicha estimacin se deber tener en consideracin
el grado de implantacin de cada una de esas medidas de seguridad, es decir, habra que
evaluar si:

Estn correctamente implantadas
Estn operativas
Estn procedimentadas
Estn bajo un sistema de gestin y mejora continua
Son objeto de pruebas regulares para verificar su correcto funcionamiento y que el
personal encargado de usarlas est formado en sus funciones y responde en los
tiempos previstos.
______________________
DE SEGURIDAD

11

Para determinar el clculo final de los riesgos a los que se encuentra expuesta la
infraestructura se deberan tomar en consideracin las probabilidades que existen de que
el conjunto de amenazas identificadas puedan llegar a afectar a la infraestructura, as
como el potencial impacto que podran provocar. A partir de ese clculo se debera

contemplar la reduccin del riesgo a partir de las medidas de seguridad que se hayan
podido implantar, ya sea por la reduccin en las probabilidades de que llegaran a suceder
o bien por la reduccin del impacto que provocara esa determinada amenaza en el
supuesto que se materializara.

Se deben diferenciar en este anlisis los diferentes escenarios de la IC, as como,
en su caso, los diferentes horarios de su funcionamiento (instalacin ocupada o no, etc.).

En cualquier caso, dado el enfoque de proteccin de los servicios esenciales que
se persigue, deber prestarse especial atencin a las amenazas de alto impacto y baja
probabilidad que pudieran afectar al servicio esencial y dotarse de las medidas de
proteccin pertinentes.

Con el objetivo de mostrar la informacin de la valoracin de riesgos realizada se
podran elaborar dos tablas similares a las siguientes que resumen los principales datos
del anlisis:

1. Para los activos con niveles de riesgo altos o muy altos

Activos Amenaza
Riesgo intrnseco
Controles
existentes
Riesgo residual
Probabilidad Impacto Riesgo Probabilidad Impacto Riesgo

2. Para los activos con niveles de impacto altos o muy altos

Activos Amenaza
Riesgo intrnseco
Controles
existentes
Riesgo residual
Probabilidad Riesgo Probabilidad Riesgo

La interpretacin de la informacin recogida en las tablas previas es la siguiente:

Activo. Elemento / componente de la infraestructura crtica.
Amenaza. Suceso que puede afectar al funcionamiento o a la disponibilidad del activo
y, por tanto, del servicio esencial.
Riesgo intrnseco. Anlisis realizado con carcter previo a la aplicacin de medidas de
seguridad.
Probabilidad. Posibilidad de que la amenaza se materialice sobre el activo.
Impacto. Estimacin de las consecuencias de la ocurrencia de la amenaza
(est ligado al valor del activo).
Riesgo. Resultado de la combinacin de los valores previos de probabilidad
e impacto.
______________________
DE SEGURIDAD

12

Controles existentes. Medidas de seguridad que se aplican en la actualidad y que
reducen, bien la probabilidad, bien el impacto.
Riesgo residual. Anlisis realizado considerando ya los controles aplicados. Por lo
tanto, debern ser valores inferiores a los intrnsecos.
Probabilidad. Posibilidad de que la amenaza se materialice considerando
las medidas de seguridad existentes (solo las medidas preventivas reducen
la probabilidad).
Impacto. Estimacin de las consecuencias de la ocurrencia de la amenaza,
considerando las medidas de seguridad aplicadas (solo las medidas de
deteccin y las correctivas reducen el impacto).
Riesgo. Resultado de los valores de probabilidad e impacto residuales
previos.

5. PLAN DE ACCIN PROPUESTO
El Plan de Accin consiste en la planificacin completa para la implementacin de las
medidas de seguridad identificadas en el anlisis de riesgos de la infraestructura crtica
como necesarias para complementar las existentes en la actualidad, de forma que puedan
establecerse unos hitos y fechas para su implementacin.

El Plan de Accin se constituye en un nmero de acciones dnde se agruparan las
medidas de seguridad de ndole organizativa, operacional y tcnica, que se deberan
implantar, monitorizar y gestionar para afrontar los riesgos detectados.

El Plan de Accin es parte del PPE y debera ser implementado en el plazo mximo
de tres aos. Su revisin se debera realizar basndose siempre en un anlisis de riesgos
previo.

El Plan de Accin se debera recoger los siguientes requisitos:

Priorizar las acciones, en base al nivel de riesgo asociado, atendiendo a las
posibles dependencias existentes entre ellas.
Estructurar las distintas medidas de seguridad, asocindolas en base a su finalidad
y naturaleza, en acciones que resulten acotadas y viables.
Asignar responsabilidades en la implantacin de las acciones.
Realizar una planificacin completa y detallada donde se incluya la estimacin
sobre las inversiones y los plazos necesarios para su implantacin.
Establecer un mecanismo de seguimiento por medio de mtricas que permita
conocer el estado de las acciones.

______________________
DE SEGURIDAD

13

A cada medida de seguridad resultante del anlisis de riesgos, el Operador Crtico
debera asignarle un nivel de prioridad de cara a la reduccin del riesgo que la
implantacin de esta medida de seguridad provocara en la evaluacin general de los
riesgos que afectan a la Infraestructura Crtica.

En base al nivel de prioridad asignado a una determinada medida de seguridad, el
Operador Crtico podra priorizar la implantacin de las medidas en forma de acciones.
5.1 ACCIONES
Las acciones abarcan un conjunto de medidas de seguridad que se debern
implementar conjuntamente.

El Operador Crtico podra definir, para cada accin, los siguientes datos:

Identificacin de la Accin: Consiste en un cdigo nico y un nombre descriptivo
para la accin.
Objetivos: Especificacin, incluyendo mbito y alcance, de la finalidad hacia la que
se orienta el conjunto de medidas de seguridad que componen la accin y la
reduccin del riesgo esperado a la implantacin de sta.
Descripcin: Resumen de los contenidos e implicaciones de la accin de manera
descriptiva.
Responsable: Identifica el departamento o persona al cargo de la ejecucin de la
accin.
Dependencias: Refleja las posibles relaciones existentes entre otras acciones y la
que se desarrolla.
Activos: Activos sobre los que se aplica la accin.
Identificador del Activo: Consiste en un cdigo nico y un nombre
descriptivo para el activo.
Tipologa del Activo: Define la tipologa del activo sobre el que se aplica
la accin. sta podra ser, por ejemplo:
Instalaciones de la IC necesarias para la prestacin del
servicio esencial. (Cdigo: INS).
Sistemas informticos, ya sean hardware o software. (Cdigo:
SI).
Redes de comunicaciones que se utilicen en dicha IC. (Cdigo:
RED).
Personas que explotan u operan con los activos anteriormente
citados. (Cdigo: PER).
Proveedores crticos que son necesarios para el
funcionamiento de la IC. (Cdigo: PRO).
______________________
DE SEGURIDAD

14

Responsable del Activo: Responsable a cargo del activo sobre el cual
se aplica la accin.
Listado de las medidas de seguridad: Recoge las distintas medidas de seguridad
agrupadas como parte integrante de la accin. el responsable de dicha medida de
seguridad y su tipologa.
Inversin estimada: Estimacin de coste de la accin, basado en la experiencia en
presupuestos para acciones previas, anlogas y en entornos similares. Se
adjuntar adems un breve desglose del esfuerzo en recursos estimado, as como
las tecnologas y soluciones que se han tenido en consideracin.
Estimacin temporal: Fecha en la que est previsto que se desarrollar la accin.
Mecanismos de coordinacin y seguimiento: Mecanismos que se aplicarn para
la coordinacin y seguimiento en la ejecucin de la accin sobre uno o varios
activos.

______________________
DE SEGURIDAD

15

Tabla 1. Ejemplo de ficha de activo
IDENTIFICADOR DE LA ACCIN:
CDIGO NICO
NOMBRE DESCRIPTIVO
OBJETIVO:
ESPECIFICACIN DE LA FINALIDAD DE LA ACCIN.
DESCRIPCIN:
DESCRIPCIN DE LA ACCIN.
RESPONSABLE:
RESPONSABLE DE LA ACCIN.
DEPENDENCIAS CON OTRAS ACCIONES:
ACCIONES CON LAS QUE STA GUARDA RELACIN.
Activos
Identificador: Responsable: Tipologa:
Identificador del Activo 1
(Cdigo y Nombre Descriptivo)
Responsable del Activo 1 INS / SI / RED / PER / PRO
Identificador del Activo 2 Responsable del Activo 2 INS / SI / RED / PER / PRO
Medidas de Seguridad
Identificador: Responsable: Tipologa y Carcter
Medida de seguridad 1. Responsable de la medida de seguridad 1. Organizativa / Operacional / Tcnica
Permanente / Gradual
Medida de seguridad 2. Responsable de la medida de seguridad 2. Organizativa / Operacional / Tcnica
Permanente / Gradual
MECANISMOS DE COORDINACIN Y SEGUIMIENTO:
MECANISMOS PARA LA ACCIN.
INVERSIN: ESTIMACIN TEMPORAL:
ESTIMACIN DEL COSTE DE LA ACCIN.

______________________
DE SEGURIDAD

16

5.2 MEDIDAS DE SEGURIDAD
La consecucin de una accin va ligada a la aplicacin ordenada de una o mltiples
medidas de seguridad que pueden interrelacionarse. Las medidas de seguridad pueden
segmentarse en tareas atmicas que conducen a la consecucin de la medida de
seguridad.

Para la definicin apropiada de las medidas de seguridad se podran definir los
siguientes datos:
Identificacin de la medida de seguridad: Consistente en un cdigo nico y un
nombre descriptivo de la medida de seguridad.
Descripcin: Resume los contenidos e implicaciones de la medida de seguridad de
manera descriptiva.
Responsable: Identifica el departamento o persona al cargo de la ejecucin de la
medida de seguridad.
Identificacin de la Accin: Muestra la accin en la que se engloba la medida de
seguridad.
Criticidad: Marca el nivel de importancia de la medida de seguridad. La ejecucin
de una medida de seguridad de nivel de criticidad ms alto tendr un mayor
impacto en la gestin de riesgos.
Carcter: El carcter distingue entre medida de seguridad permanente o gradual.
Permanente: Medida de seguridad que se aplica en cualquier circunstancia.
Gradual: Se activar en funcin de los distintos niveles de amenaza. Se
deber indicar las circunstancias de activacin.
Tipologa: La tipologa de la medida de seguridad ser relativa a las siguientes.
Organizativas o de Gestin.
Operacionales o Procedimentales.
De Proteccin o Tcnicas.
Activos: Activos sobre los que se aplica la medida de seguridad.
Identificador: Consiste en un cdigo nico y un nombre descriptivo del
activo.
Responsable: Responsable a cargo del activo sobre el cual se aplica la
medida de seguridad.
Tipologa: Define la tipologa del activo:
Instalaciones de la IC necesarias para la prestacin del servicio
esencial. (Cdigo: INS).
Sistemas informticos, ya sean hardware o software. (Cdigo: SI).
Redes de comunicaciones que se utilicen en dicha IC. (Cdigo:
RED).
Personas que explotan u operan con los activos anteriormente
citados. (Cdigo: PER).
______________________
DE SEGURIDAD

17

Proveedores crticos que son necesarios para el funcionamiento de la
IC. (Cdigo: PRO).
Listado de tareas: Recoge las diferentes tareas unitarias a desarrollar que podran
considerarse necesarias, si bien no suficientes, para la consecucin de la medida
de seguridad. As como una descripcin de dicha tarea.

Tabla 2. Ejemplo de Medida de seguridad
IDENTIFICADOR DE LA MEDIDA DE SEGURIDAD:
CDIGO NICO
NOMBRE DESCRIPTIVO
DESCRIPCIN:
DESCRIPCIN DE LA MEDIDA DE SEGURIDAD.
RESPONSABLE
RESPONSABLE DE LA MEDIDA DE SEGURIDAD.
ACCIN:
IDENTIFICADOR DE LA ACCIN QUE ENGLOBA ESTA MEDIDA DE SEGURIDAD.
CRITICIDAD: CARCTER: TIPOLOGA:
NIVEL DE CRITICIDAD. PERMANENTE
TEMPORAL / GRADUAL
NIVEL DE AMENAZA INDICA EL
NIVEL DE AMENAZA O
CIRCUNSTANCIA PARA LA
ACTIVACIN DE LA MEDIDA
TEMPORAL O GRADUAL.
ORGANIZATIVA O DE GESTIN /
OPERACIONAL O PROCEDIMENTAL /
DE PROTECCIN O TCNICA.

Activos
Identificador: Responsable: Tipologa:
Identificador del Activo 1
(Cdigo y Nombre Descriptivo)
Responsable del Activo 1 INS / SI / RED / PER / PRO
Identificador del Activo 2 Responsable del Activo 2 INS / SI / RED / PER / PRO
TAREAS:
Tarea 1: Descripcin de la tarea 1.
Tarea 2: Descripcin de la tarea 2.

______________________
DE SEGURIDAD

18

6. DOCUMENTACIN COMPLEMENTARIA

El Operador Crtico incorporar como Anexo la planimetra general de la instalacin,
as como, aquellos otros planos que incorporen la ubicacin de las medidas de seguridad
implementadas. A su vez, se podr adjuntar aquella otra informacin que se pueda
generar de los diferentes apartados de este documento.

Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia,
autoproteccin, etc.), que afecte a la instalacin con el fin de establecer una adecuada
coordinacin entre ellos, as como, todo aquella normativa y buenas prcticas que regulen
el buen funcionamiento del servicio esencial prestado por esa infraestructura y los motivos
por los cuales le son de aplicacin.

Las normativas a incluir comprenden tanto las de rangos nacionales, autonmicos,
europeos e internacionales, como las sectoriales, relativos:

Seguridad Fsica.
Seguridad Lgica.
Seguridad de la Informacin en cualquiera de sus mbitos.
Seguridad Personal.
Seguridad Ambiental.
Autoproteccin y Prevencin de Riesgos Laborales.

-----oo00oo-----

______________________
DE SEGURIDAD

19

7. ANEXO I. DETALLE DE MEDIDAS DE SEGURIDAD
7.1 DETALLE DE MEDIDAS ORGANIZATIVAS O DE GESTIN
7.1.1 Cuerpo normativo definido
Es aconsejable establecer los procesos de seguridad para que den cabida al
cumplimiento normativo, voluntario y regulatorio que afecta a la organizacin y sus activos.
Por eso es conveniente Identificarlo controles de seguridad derivados de la normativa
identificada en el PSO y las normativas o reglamentaciones aplicables al PPE.
Generalmente suelen ser aplicables los siguientes conjuntos de procesos en la definicin y
estructuracin del cuerpo normativo:

Relacin con normativa interna y corporativa.
Seguridad Fsica.
Proteccin civil.
Seguridad Ambiental.
Seguridad Personal.
Seguridad Autoproteccin y Prevencin de Riesgos Laborales.
Seguridad Lgica y de la informacin.

Para ello es necesario organizar de forma manejable, proporcionada y documentada
toda la informacin sobre los controles y medidas de seguridad implementadas o que
deberan serlo acorde al tratamiento de riesgos.
A alto nivel esta organizacin suele incluir:

Polticas y estndares de Seguridad.
Criterios de Seguridad.
Procedimientos.
Cumplimiento Normas y/o regulaciones de aplicacin a la infraestructura crtica, as
como identificacin de su nivel de cumplimiento.
Certificaciones, acreditaciones y evaluaciones de seguridad obtenidas para la
infraestructura crtica.
Planes de accin y mejora de la seguridad.
Definicin de roles y responsabilidades: Segregacin de Tareas
Jerarqua y responsabilidades de puestos de trabajo
Relaciones con Terceros
Gestin de la documentacin y Estructura de dependencia y del proceso de
elaboracin y presentacin de informes
Gestin de Cambios.
______________________
DE SEGURIDAD

20

7.1.2 Organizacin de la Seguridad
La organizacin de seguridad establece de forma general las estructuras
organizativas adecuadas y las directrices de seguridad a tener en cuenta para la
elaboracin de los diferentes procesos que se desarrollan en las funciones de seguridad y
los criterios aplicables a los mismos.

Una de las tareas principales de organizar la seguridad consiste en gestionar el
factor humano, embebiendo en los procesos de seguridad todo lo referente a la gestin de
las personas y las tareas directamente realizadas por las mismas.
Como ejemplo, entre los controles a tener en cuenta, podemos contemplarlos siguientes:

Seleccin y Contratacin del personal de Seguridad
Los accesos de personas
La vigilancia de la instalacin
Operacin de los Sistemas de Seguridad
Formacin y entrenamiento
Clasificacin de la Informacin
Acuerdos de confidencialidad
Simulacros.

7.1.2.1 Comit de Seguridad y Crisis
Puesto que la seguridad es un proceso transversal a la organizacin las mejores
prcticas para su gestin recomiendan la creacin de un comit de seguridad y crisis con
capacidad de priorizar y responsabilizarse de las acciones necesarias para la proteccin y
continuidad de los servicios y la organizacin.

La mejor forma de progresar es colaborar. Es conveniente, la creacin de grupos
de trabajo en el que se permita una colaboracin activa por parte de las personas
encaminadas a eliminar las debilidades del sistema o establecer protocolos comunes de
actuacin frente a situaciones de crisis.
7.1.2.2 Establecimiento de Roles
El factor humano es el que realmente determina la efectividad de cualquier sistema
de seguridad. Es por ello que debe existir un conjunto claro de funciones de seguridad y
responsabilidades adecuadamente segregadas.

Es importante tener encuentra lo siguientes puntos a la hora de asignar
responsabilidades:
______________________
DE SEGURIDAD

21
Asignar y documentar las responsabilidades.

Documentar y definir claramente los niveles de autorizacin dentro del sistema.
7.1.2.3 Gestin de Cambios
La implantacin del control de los cambios realizados en cualquier sistema, en
especial los relacionados con la seguridad y las infraestructuras crticas, debera realizarse
cmo mnimo mediante procedimientos formales (documentados) de control de cambios
que contemple al menos:

Evaluacin de riesgos.
Anlisis de los efectos de los cambios.
Especificacin de los controles de seguridad necesarios.

Como recomendacin de buenas prcticas es aconsejable la implementacin
automatizada de controles de cambios, de procedimientos de marcha atrs y la generacin
de los registros de auditoras pertinentes.
7.1.2.4 Gestin de la Calidad y Documentacin
Es esencial una buena gestin de la documentacin relacionada con los sistemas y
ubicaciones de las infraestructuras crticas de las que dependen los servicios esenciales.

Especficamente las referencias y normas aplicables concretamente al servicio
esencial deben estar identificadas para extraer de ellas los controles de seguridad
especficos que son necesarios para la instalacin / servicio.

Una buena gestin documental y de registros de la informacin relativa a la
seguridad facilita el control y las actividades de monitorizacin y auditora.
______________________
DE SEGURIDAD

22

7.1.3 Medios Humanos y Seguridad del Personal
7.1.3.1 Formacin y Concienciacin
Partiendo de una estrategia planificada de formacin: entrenamiento,
reentrenamiento y concienciacin, es conveniente sensibilizar y formar al personal, al
menos, en las siguientes funciones:

Sus roles y responsabilidades.
Los conocimientos tcnicos necesarios para el desempeo de su funcin.
La sensibilizacin y conocimiento de las polticas y procedimientos establecidos.
7.1.3.2 Proteccin del Personal
El personal es el principal activo de toda organizacin. Las condiciones de salud,
ambientales y seguridad personal son determinantes en todos los procesos de seguridad
establecidos; por lo que es adecuado establecer protocolos de proteccin para aquellas
personas cuya funcin dentro de la organizacin pueda suponer un alto riesgo en caso de
compromiso de su seguridad.
7.2 DETALLE DE MEDIDAS OPERACIONALES O PROCEDIMENTALES
7.2.1 Procedimientos de gestin de activos
Una de las formas ms eficientes de proteger las Infraestructuras crticas de un
organizacin es mediante el modelado de la mismas tomando como base el servicio y/o
los sistemas que la conforman.

Acorde con este modelo el punto de partida es la identificacin de los activos que
queremos proteger por lo que es conveniente contar con el inventario de los elementos
integrantes. A la hora de clasificar los activos suele ser necesario establecer una serie de
parmetros para poder determinar su nivel de y/o su agrupacin en sectores o conjuntos
de elementos. Como ejemplo de algunos parmetros a tener en cuenta podramos
destacar los siguientes:

Impacto del incidente en activos que afecten al funcionamiento general del
sistema.
Impacto del problema en activos que afecten a los usuarios del sector.
Impacto del problema en activos que afecten al resto de sectores.
Capacidad de resolucin del problema en un determinado activo.
Tiempo estimado para la resolucin del problema en un determinado activo.
Posibilidad de propagacin del problema en el mismo sector a travs de un
determinado activo.
______________________
DE SEGURIDAD

23

Coste de la resolucin del problema o sustitucin del activo.

Por ejemplo, los activos ms crticos de un sector podran ser los centros de
control, ya que normalmente controlan el resto de elementos, pero habr que tener en
cuenta los distintos sectores, porque cada uno tendr sus particularidades.

En una central nuclear puede que el subsistema encargado de su control directo
sea el ms crtico, ya que el dao que puede causar cualquier problema en el entorno
puede ser incalculable.

Igualmente en subestaciones encargadas de proveer de energa a las distintas
reas geogrficas tambin sern muy importantes, pero a medida que nos acercamos al
destino final (usuario) la criticidad ser menor, ya que deberan existir caminos
redundantes a la hora de proveer al usuario final o una capacidad de reaccin frente a
contingencias ms inmediatas.

Respecto a los sectores de telecomunicaciones, la posibilidad de establecer
caminos secundarios a travs de antenas y un control inmediato de las redes provocaran
que los cortes de suministro no fuesen muy largos, siempre que se dispusiera de un
servicio de accin rpido y eficiente.

Dentro de este apartado es conveniente contar con los procedimientos necesarios
relacionados congestin y mantenimiento de activos, y de ser posible de forma
automatizada:

Procedimiento de inventariado (Identificacin/Catalogacin/Etc.)
Activos fsicos.
Activos Digitales./Lgicos
Procedimiento de gestin contina de activos fsicos y lgicos
(Alta/Baja/Modificacin).
Etc.
7.2.2 Gestin de la Formacin y Concienciacin
La formacin y concienciacin se suele enfocar mediante dos vas de actuacin
principales:

La capacitacin para el desempeo de las funciones.
La sensibilizacin para los puestos de trabajo y procesos operativos existentes.

______________________
DE SEGURIDAD

24
En el primer caso se incluira el cronograma aplicable, tanto interna como
externamente, referido a los puntos siguientes:
l primer caso se incluira el cronograma aplicable, tanto interna como
externamente, referido a los puntos siguientes:

Evaluaciones
Certificacin
Auditoria
Simulacin y Ejercicios
Formacin peridica
Capacitacin.

En el segundo de los casos comprenderan todos aquellos procedimientos de
formacin, concienciacin y capacitacin (tanto general como especfica) asociados a los
planes definidos para:

Empleados/Operarios
Vigilantes de seguridad
Proveedores, etc.
7.2.3 Gestin de la Continuidad
La continuidad de la actividad es uno de los objetivos generales de la seguridad.

Por tanto es aconsejable abarcar todos aquellos procedimientos que velan por la
supervivencia y continuidad de la organizacin y los servicios prestados. En especial los
planes y procedimientos de Contingencias y Recuperacin en funcin de los escenarios
derivados de los riesgos.

Imposibilidad de acceso a algn edificio de un complejo industrial.
Indisponibilidad de los sistemas de informacin que operan una infraestructura
crtica
Etc.

Dentro de las necesidades de la gestin de la continuidad podemos indicar los
siguientes conjuntos de controles:

Plan Continuidad del negocio
Plan de continuidad y Plan de Contingencia
Prueba, mantenimiento y reevaluacin de los planes de continuidad
Pruebas peridicas
Respaldos
Inclusin de seguridad en el proceso de gestin de continuidad de negocio.
______________________
DE SEGURIDAD

25

7.2.4 Supervisin Continua y Monitorizacin
El objetivo de la monitorizacin y la supervisin continua suele ser doble: por un
lado permitir la deteccin de las anomalas de comportamiento y su correccin y, por otro,
servir como base para la adquisicin de la informacin necesaria que permita el registro de
la actividad y la toma de decisiones.

Este conjunto de procedimiento suelen abarcar todos aquellos procesos operativos
para la monitorizacin y supervisin de los activos, los sistemas y las personas que los
controlan. En especial todos aquellos que nos permitan recolectar la informacin necesaria
para la medida y mejora de la gestin, los controles de seguridad, y la minimizacin del
riesgo de los activos afectados.

De forma general se suelen controlar los siguientes grupos de activos:
Activos Fsicos de la infraestructura
Activos Lgicos y/o de sistemas de operacin.
7.2.5 Gestin de accesos
La gestin de accesos es sin duda la primera lnea de defensa para la proteccin
de los activos y suele englobar todos aquellos procedimientos operativos relacionados con
el acceso a los sistemas y ubicaciones de la organizacin. Suele ser conveniente
estructurar los accesos conforme a las buenas prcticas de zonificacin y segmentacin
de seguridad para establecer parcelas de actuacin que permitir una gestin ms eficaz,
eficiente y controlable. En especial deberan considerarse todos aquellos procedimientos y
medidas que nos permitan manejar de forma eficaz y eficiente las identidades y sus
accesos como por ejemplo:

Accesos de usuarios y personas (altas / bajas / modificaciones), incluyendo
accesos temporales.
Acceso de vehculos, mercancas, correspondencia, soportes tcnicos,
equipamiento, etc. (entradas / salidas).
Control de accesos temporales.
Control de entradas y salidas.
Control de rondas.
Identificacin de Seguridad (pases, tarjetas, etc.).
Control de visitas.
Control de llaves y combinaciones.
______________________
DE SEGURIDAD

26
7.2.6 Gestin de Evacuacin y Emergencia
Es conveniente prevenir y anticiparse a hechos que obliguen la ejecucin de
procedimientos de emergencia, incluidos aquellos en los que sea necesaria la evacuacin

de las instalaciones. Fundamental mente en este apartado es til establecer
procedimientos para:

Gestionar la evacuacin de las personas
Gestionarla coordinacin con terceros
La gestin y escalado de las emergencias.
Proteccin y bastionado extraordinario de activos durante el estado de
emergencia.
7.2.7 Gestin de la Informacin
En la sociedad actual la informacin suele ser el principal activo de una
organizacin, por lo que es necesario aplicar normas y procedimientos para garantizar que
la incorporacin de cada nueva fuente de informacin desencadena el proceso de
actualizacin y clasificacin de la misma, retirando, de ser necesario, aquellas fuentes de
informacin y/o clasificaciones pertinentes cuando ya no son aplicables o necesarias.

Normalmente la clasificacin de la informacin es algo consustancial con la
organizacin conforme a aquellas caractersticas como confidencialidad, disponibilidad,
integridad o su trazabilidad conforme a la "necesidad de conocer"; por lo que es
conveniente parametrizar y establece los niveles necesarios de uso.

Existen algunos criterios comnmente utilizados para el marcaje y clasificacin de
la informacin, en los que a modo de ejemplo podemos mencionar:

1. Los criterios marcados por el Traffic Light Protocol (TLP), creado por el rgano
CPNI del Reino Unido (Centro Nacional de Proteccin de Infraestructuras de Reino Unido),
y ampliamente extendido en su implementacin por parte grupos de trabajo
interdepartamentales.

ROJO De uso privado, para destinatarios concretos nicamente. En el contexto
de una reunin, por ejemplo, la informacin de nivel ROJO se limita a aquellos presentes
en la misma. En la mayora de las circunstancias la informacin de nivel ROJO se
comunicar de verbalmente o en persona.

AMBAR Distribucin limitada. Los destinatarios pueden compartir la informacin
de nivel AMBAR con otros miembros de la organizacin, bajo el criterio de necesidad de
conocer.

VERDE De mbito comunitario. La informacin manejada en esta categora
puede circular extensamente dentro de una comunidad especfica. Sin embargo, la
informacin no puede publicarse en Internet, ni salir fuera de la comunidad.
______________________
DE SEGURIDAD

27

BLANCO Informacin de uso no restringido. Sujeto a las reglas del copyright que
puedan aplicar, la informacin de nivel BLANCO puede distribuirse libremente, sin
restricciones.

2. Criterio de clasificacin basados en clasificacin establecida por la normativa
vigente de aplicacin para determinados organismos de las Administraciones Pblicas,
eso s; suavizando quiz algunos de los requerimientos para ajustarlos al entorno y
circunstancias concretas, a menos que sean legalmente exigibles. En ltimos casos es
necesario recordar puede ser exigible la habilitacin de seguridad oportuna para poder
tener acceso a la informacin. Como ejemplo de niveles en esta clasificacin podemos
mencionar los siguientes:

Secreto
Reservado
Confidencial
Difusin limitada
Sin clasificar.
7.2.8 Gestin de la Respuesta, Incidentes y Escalado
En general, conviene articular una gestin de respuesta a incidentes graduada que
permita responder eficaz y proporcionalmente a los eventos no deseados que impacten en
la operativa normal de la organizacin. No hay que olvidar considerar el subconjunto
especfico relativo a incidentes que puedan comprometer la propia seguridad de los
sistemas y procesos de seguridad.

A modo de ejemplo las sub-secciones siguientes indican los procedimientos mnimos
que deberan considerarse.
7.2.8.1 Procedimiento para la catalogacin de incidentes
Para poder desplegar y articular una respuesta eficaz y proporcionada a los riesgos
derivados de un incidente es necesario catalogar los mismos de acuerdo a los riesgos
detectados. Es necesario considerar el subconjunto especfico relativo a incidentes que
puedan comprometer la propia seguridad de los sistemas y procesos de seguridad. Cmo
mnimo es aconsejable establecer:

Niveles.
Criticidad.
Proteccin de las evidencias.

______________________
DE SEGURIDAD

28

En lo referente a la elaboracin de procedimientos de los niveles de seguridad tanto
permanentes como excepcionales (temporales/provisionales) debe tenerse en cuenta las
circunstancias especiales de origen operativo o de riesgo (amenaza) inminente con
mencin especfica a situaciones de no operatividad parcial (relevante) o total de los
sistemas de seguridad.
7.2.8.2 Procedimiento para el escalado de incidentes
Este conjunto de procedimientos permite definir la graduacin, responsabilidades y
necesidades de informacin y el flujo de la misma que debe establecerse para la toma de
decisiones y la gestin del conocimiento. Cmo mnimo es aconsejable establecer medios
para:
Comunicacin
Seguimiento.
7.2.8.3 Procedimiento para la respuesta a incidentes
En este apartado es adecuado tener en cuenta las relaciones con terceros y la
colaboracin a los Planes de Apoyo Operativos, en los que como operador de
infraestructura crtica, se debe prestar apoyo a las Administraciones y organismos pblicos
implicados. Es conveniente articular previamente los escenarios de respuesta de modo
que nos permitan realizar el anlisis, resolucin, cierre y aprendizaje de los mismos, para
lo que debemos tener al menos en cuenta los siguientes entornos de operacin:

Interno
Locales
Externos
Fuerzas y Cuerpos de Seguridad del Estado, autonmicas y locales.
7.2.9 Gestin del conocimiento
Es necesario articular la retroalimentacin de las experiencias y situaciones
acontecidas tanto propias como ajenas para realizar la incorporacin de lecciones
aprendidas de forma transversal a la gestin de la seguridad. La gestin del conocimiento
nos permite aumentar el grado de certidumbre de las ocurrencias de eventos no deseados
e identificar mejor la probabilidad de las amenazas al tiempo que nos prepara para ofrecer
una respuesta ms eficaz y proporcional a los incidentes.

Cmo mnimo es aconsejable establecer los siguientes procedimientos y
mecanismos asociados necesarios:

Recopilar el conocimiento
Procesar y correlacionar el conocimiento
______________________
DE SEGURIDAD

29

Distribuir el conocimiento.
7.3 DETALLE DE MEDIDAS DE PROTECCIN O TCNICAS
7.3.1 Prevencin y Deteccin
7.3.1.1 Proteccin multi-capa
Es til para la defensa en general y ante la intrusin en particular aplicar un modelo
de proteccin de acuerdo con el principio de defensa en profundidad en el que se aplican
controles complementarios y superpuestos para lograr un mayor grado de proteccin.

Se deberan implementar las medidas necesarias de proteccin, deteccin y
respuesta ante las intrusiones. Por ello es conveniente articular la compartimentacin de
zonas de proteccin conforme a las necesidades. Al menos es aconsejable considerar tres
capas o zonas de proteccin, tanto en el mundo fsico como en el lgico.
7.3.1.1.1 Zona Exterior o ante-permetro
Vigilancia y Control de las zonas ms externas al sistema o ubicacin para detectar
de forma proactiva posibles amenazas en las zonas circundantes al mismo. Es
conveniente tener en cuenta los parmetros ambientales y sociales que pueden aumentar
los riesgos y provocar incidentes que indirectamente afecten a la seguridad (huelgas,
manifestaciones, vertidos, incendios, etc..), cumpliendo siempre con la legislacin
vigente en este sentido.
7.3.1.1.2 Permetro
Es recomendable controlar todo el permetro de la organizacin, considerando ste
tanto desde el punto de vista interior como exterior conforme a la segmentacin en zonas
de gestin.

A su vez, dentro de esta zonificacin deberan considerarse zonas ms generales
de aquellas otras ms vitales y/o importantes; monitorizando y registrando su actividad
convenientemente para anticipar circunstancias de riesgo y anomalas.
7.3.1.1.3 reas Protegidas
Son las reas en las que el acceso debe estar restringido incluso para usuarios
internos segn la necesidad de acceder. Seran reas en las que, por su sensibilidad,
pocas o muy pocas personas deberan tener acceso.
______________________
DE SEGURIDAD

30

7.3.1.2 Control de acceso
Es elemental establecer controles y medidas de seguridad adecuados para la
identificacin, la restriccin del acceso, el aseguramiento y monitorizacin del entorno de
sistemas y ubicaciones bajo proteccin. El control de acceso debe fundamentarse en la
necesidad de conocer y puede aplicarse de forma fsica y lgica a los sistemas y
ubicaciones objeto de proteccin.

Algunos ejemplos de medidas de control de acceso aplicables podran serlas siguientes:

Como ejemplos de medidas y elementos de seguridad fsica y electrnica
podemos indicar vallas, zonas de seguridad, cmaras de video vigilancia / CCTV,
puertas y exclusas, cerraduras, lectores de matrculas, arcos de seguridad, tornos,
etc.
Cmo ejemplos de medidas y elementos de seguridad lgica relativos a los
sistemas de informacin podemos indicar firewalls, DMZs; IPSs, segmentacin y
aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de
usuarios (tokens, controles biomtricos, etc.), medidas de instalacin y
configuracin segura de elementos tcnicos, herramientas de correlacin de
eventos y logs, etc.
Otras medidas especficas acordes con los riesgos ms particulares o concretos
existentes.
7.3.1.2.1 Identificacin y autenticacin
Es necesario un sistema eficaz de identificacin del personal, que facilite la
categorizacin y diferenciacin de los usuarios, la circulacin y el acceso e impedir
accesos no autorizados. Por ello se deben implementar medios tcnicos y organizativos
que permitan la identificacin de personas, objetos y componentes.

Como ejemplo de medidas aplicables podemos destacar, las tarjetas de acceso,
tarjetas de identificacin, biometra, deteccin de metales, escneres corporales,
inventarios, etc.

Desde el punto de vista de la eficiencia, suele ser conveniente que los usuarios
sean identificados y autenticados solamente una vez, pudiendo acceder a partir de all, a
todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales
como en sistemas a los que deba acceder en forma remota.
7.3.1.2.2 Proteccin de reas o zonas
La estructuracin de las zonas interiores y exteriores de seguridad debe realizarse
coherentemente para lograr el aseguramiento, vigilancia y monitorizacin de las mismas
______________________
DE SEGURIDAD

31

en funcin de los riesgos sin olvidar aquellas zonas internas vitales cuyo compromiso
puede producir un impacto altamente adverso en las personas, los procesos de negocio y
los activos/ recursos de la organizacin.

Normalmente la creacin de una divisin zonal de aquellos activos de mayor
tamao, alcance o complejidad favorece la gestin eficaz de las medidas y mecanismo
implantado para su proteccin.

Cmo ejemplos de carcter general suelen tenerse en cuenta los siguientes
elementos.

Control de accesos tanto fsicos como lgicos
reas de acceso pblico, entrega y carga
Asegurar oficinas, cuartos e instalaciones
Control y contencin de la intrusin
Paramentos Horizontales y Verticales:
Muros, suelos, techos
Puertas, exclusas, y puertas de emergencia
Conductos
Ventanas
Etc.
7.3.1.2.3 Control de Trabajo en Zonas Seguras
Uno de los elementos ms importantes a controlar son la zonas seguras,
fundamentalmente aquellas destinadas al control y supervisin de la seguridad.
Cmo ejemplos de carcter general suelen tenerse en cuenta los siguientes
elementos:
Control ambiental del entorno de la instalacin: Iluminacin de seguridad,
operadores, etc.
Vigilante de Seguridad o Recepcionista.
Control de Acceso Automatizado.
Control de Vehculos y mercancas.
Circuito cerrado de televisin (CCTV).
Proteccin contra incendios.
Contenedores de seguridad, cajas fuertes, ficheros de claves, armarios
blindados etc.
Sistemas y elementos de respaldo.
______________________
DE SEGURIDAD

32

7.3.2 Vigilancia y monitorizacin
7.3.2.1 Monitorizacin y alarma
Un componente importante de la seguridad se basa en el conocimiento y es por
tanto aconsejable establecer todas aquellas medidas requeridas que conducen a la
recoleccin de informacin, su correlacin y la deteccin de desviaciones de lo que se
considera normalidad.

Para ello es conveniente tener en cuenta los algunos elementos apropiados como:

Centros de control de alarmas, centros de control de operaciones, centro de
recepcin y visionado de imgenes
Equipos de vigilancia (turnos, rondas, dotacin, etc.)
Megafona y radio
Sistemas de deteccin y alarma de incendios.
Sistemas de revisin de incidencias e incidentes
Otros.
7.3.2.2 Seguridad del mantenimiento y activos de seguridad
La seguridad del mantenimiento consiste en prestar especial atencin a todos los
sistemas y ubicaciones y, en su caso, entornos no directamente relacionados con los
activos a proteger; pero que por su naturaleza estn imbricados en la estructura de la
organizacin y/o son procesos bsicos de mantenimiento del estado operativo de la
organizacin.

Por ejemplo, se deberan asegurar las zonas y elementos de mantenimiento como
cuadros de luces, llaves, cajas fuertes, elementos anti-incendios, dispositivos de alarma y
seguridad, material y sustancias peligrosas, generadores, etc. que aunque no estn
directamente relacionados con los activos identificados del negocio; pero que su
compromiso puede ser indicio o causa de un incidente de seguridad.

Como ejemplo de estos elementos podramos considerar los siguientes:

Subsistemas de Seguridad Electrnica
Centralizacin y Control de Alarmas
Mantenimiento del sistema de seguridad
Mantenimiento de la infraestructura
Mantenimiento de sistemas digitales crticos y comunicaciones
Cableado, lneas de alimentacin, etc.
Sistema de comunicaciones de seguridad fsica
______________________
DE SEGURIDAD

33

Enlaces con los centros de control, puestos de vigilancia mviles o fijos
Sistema de alimentacin elctrica, cableado, mantenimiento de equipos y
reparaciones.
7.3.2.3 Auditora y responsabilidad
La gestin de la seguridad y su implantacin (es decir, los objetivos de control, los
controles, las polticas, los procesos y los procedimientos de seguridad), deberan
someterse a una revisin independiente a intervalos planificados o siempre que se
produzcan cambios significativos en la implantacin de la seguridad. Tras la misma, es
aconsejable adoptar las acciones correctivas que correspondan para as mitigar los
riesgos detectados, siempre bajo el bajo el marco de responsabilidad de la organizacin
que permita corregir y dar cumplimiento a las insuficiencias detectadas en las mismas.

Es una buena prctica aconsejable establecer los controles de auditoras
necesarios para determinar el grado de cumplimiento frente a las polticas y regulaciones
establecidas, as como la eficacia y eficiencia de los controles de seguridad implantados; a
la vez que se conciencia al personal sobre la responsabilidad de los procesos de los que
forman parte.

De forma general el conjunto de auditoras a planificar suele ser de dos tipologas:
de cumplimiento y tcnicas. Las primeras se realizan frente a las regulaciones y
normativas aplicables y la segunda frente a los requisitos documentados y comportamiento
esperado de los sistemas auditados.

Como ejemplos de conjuntos de auditora podemos destacar:

Cumplimiento de normativa y legislacin aplicable
Eficacia de las medidas tcnicas aplicadas
Cumplimiento de los planes de accin acordados.
7.3.2.3.1 Gestin de registros
La gestin de conocimiento y la auditora no es posible si no se registran evidencias
de los hechos acontecidos; por lo que es necesario establecer una poltica de registros de
evidencias acorde con las necesidades tanto de cumplimiento como conocimiento ligado a
la eficacia y eficiencia de los procesos de seguridad.

Entre los elementos a controlar suele ser til contar con:

Gestin de registros en general.
Registro de incidencias de seguridad.
______________________
DE SEGURIDAD

34

Registros de Avisos y Alertas.
Registros o logs de auditora.
Proteccin de logs.
Revisin de uso de sistemas.
Logs de administradores y operadores.
Logs de fallo del sistema.
Etc.
7.3.2.3.2 Anlisis forense
Se centra principalmente en conocer que ha sucedido tras un incidente estudiando
los sucesos iniciadores que pueden dar lugar a la activacin de determinadas medidas o
actuaciones de seguridad. Ante cualquier incidente deberan aplicarse las tcnicas
metodolgicas preestablecidas adecuadas para reconstruir los hechos, descubrir las
relaciones entre ellos y comprender porque han sucedido con objeto de asimilar la leccin
aprendida. Por ejemplo, el mtodo rbol de causas persigue evidenciar las relaciones
entre los hechos que han contribuido en la produccin de un incidente.

De forma general en cualquier anlisis forense de unos hechos se deberan
contemplar los siguientes puntos:

Identificacin y caracterizacin de los hechos
Preservacin de la evidencia
Anlisis y correlacin de eventos para reconstruir la secuencia de hechos
Informe, lecciones aprendidas y acciones de ser necesarias.
7.3.2.4 Mtricas
Indicacin de metodologa de medicin del desempeo de la Seguridad: qu tipo de
objetivos se miden, qu forma de medirlos y qu procedimientos se disponen para su
estudio y posterior propuestas de mejora.
7.3.3 Coordinacin y respuesta
Ante la ocurrencia de un incidente de seguridad es necesaria una repuesta efectiva
que permita lanzar acciones correctoras en tiempo y forma para contener o minimizar los
daos que pudieran producirse.

La gestin adecuada de la respuesta y la informacin relativa a los incidentes de
seguridad es esencial para cumplir con los parmetros normativos y regulatorios que
sistematizan las evidencias necesarias para su estudio posterior.

______________________
DE SEGURIDAD

35

Como ejemplo de elementos a tener en cuenta en la articulacin de la coordinacin
y repuesta podramos considerar los siguientes:

Gestin de incidentes.
Medida temporal y gradual.
Repuesta ante incidentes y mitigacin de ataques.
Coordinacin Internas.
Comunicaciones externas: Criterios y Modelos de comunicacin interna en caso
de incidente comunicable.
CNPIC.
Administraciones y Ministerios.
FFCCSE.
ICS CERT (Industrial Control Systems Cyber Emergency Response Team)
CCN-CERT del CNI (Centro Nacional de Inteligencia) del Ministerio de la
Presidencia.
INTECO (Instituto Nacional de TEcnologas de la COmunicacin) - INTECO
(CERT) Centro de Respuesta a Incidentes de Seguridad, del Ministerio de Industria,
Energa y Turismo.
Servicios de Alertas de Proveedores.
Etc.
7.3.3.1 Interrelacin
En este punto se deberan tener en cuenta las interfaces bien sean suministradores
o consumidores de las entradas y salidas de los procesos y/o servicios objeto de
proteccin necesario entender a que aplican y su nivel de criticidad y/o los riesgos que
suponen para los activos protegidos. Un punto clave es contar con documentacin
adecuada y veraz del intercambio mnimo necesario que se comparte o requiere entre los
participantes.

Entre los puntos a tener en cuenta en este apartado podramos destacar las
necesidades tcnicas y organizativas relativas a los siguientes elementos:

Entorno ambiental.
Entorno funcional.
Servicios de los que depende.
Servicios que dependen.
Etc.
______________________
DE SEGURIDAD

36

______________________
DE SEGURIDAD

37
7.3.4 Continuidad y contingencia
La continuidad de una organizacin depende directamente de cumplir eficaz y
eficientemente con la misin que se ha impuesto y la caracteriza; por ello, normalmente los
servicios identificados como esenciales constituyen el punto central de su actividad. Es
necesario dar continuidad a los mismos a pesar de las circunstancias y, cuando estas son
adversas, se deberan prestar en condiciones mnimas aceptables y volver a la normalidad
en cuanto sea posible. Por tanto es conveniente definir los controles necesarios que con
una perspectiva de alcance adecuada a los servicios afectados permitan organizar los
procesos de continuidad y contingencia aplicables segn la granularidad necesaria.

Para lograr un conjunto mnimo de condiciones aceptables de continuidad suele ser
til contar con conjunto de elementos mnimos para desempear el servicio como por
ejemplo los siguientes:

La informacin y datos necesarios:
Respaldo de los datos.
Respaldo de las informaciones.
Respaldo de las dependencias externas e internas.
Respaldo del conocimiento.
La infraestructura y las personas
Entornos alternativos.
Elementos de Respaldo y soporte.
Personas entrenadas y motivadas.
Capacidades alternativas del personal.
Los planes y procedimientos para dar una respuesta en tiempo
Plan de contingencia y continuidad.
Prueba, mantenimiento y reevaluacin de los planes.
Divulgacin y formacin de los planes.
Planes de Recuperacin y reconstruccin.

-----oo00oo-----

Guia Buenas Practicas Ppe PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guia Buenas Practicas Ppe PDF

Загружено:

Авторское право:

Доступные форматы

GUA DE BUENAS PRCTICAS

PLAN DE PROTECCION ESPECFICO

Вам также может понравиться