Líneas de actuación del Esquema Nacional de Seguridad Industrial

Publicado el 29/11/2016, por INCIBE
Esquema Nacional de Seguridad Industrial

La Ley PIC 8/2011, establece las medidas para la Protección de las Infraestructuras Críticas, poniendo de manifiesto la importancia de la seguridad de las Infraestructuras Críticas dentro de la Seguridad del Estado.

Para abordar la mejora de la seguridad del sector industrial se propone la creación del Esquema Nacional de Seguridad Industrial (ENSI).

El ENSI surge como elemento sobre el que facilitar el desarrollo de las actuaciones en materia de seguridad industrial en un marco a través del que homogeneizar el tratamiento de problemáticas comunes desde perspectivas particulares y cumpliendo la normativa establecida.

Los principios que se persiguen con esta iniciativa son:

  • Mejorar la seguridad de la industria, garantizando la continuidad del servicio y cumpliendo la normativa establecida.
  • Mejorar las capacidades actuales de la industria y sus proveedores favoreciendo una adaptación ágil ante nuevas amenazas.
  • Colaborar con la Industria para asegurar la mejora integral de la seguridad en el sector industrial.
  • Buscar del entendimiento con las empresas del sector de la seguridad desde una perspectiva integral de la misma.
  • Agilizar la adaptación a nuevos casos y sectores.

Además, el ENSI tiene una vocación global y pretende acercar el conocimiento el sector de la seguridad de la información a la seguridad aplicada a las operaciones industriales.

¿A qué tipo de organizaciones aplica el ENSI?

El Esquema Nacional de de Seguridad Industrial puede ser de apoyo para cualquier organización o empresa del sector industrial, especialmente particularizado a Operadores Críticos distribuidos en los doce sectores estratégicos definidos por la Ley PIC.

¿Cuáles son los objetivos y beneficios esperados con la implantación del ENSI?

Los objetivos que persigue el Esquema Nacional de Seguridad Industrial son:

  1. Mejorar la seguridad de los Sistemas de Control Industrial dispuestos en organizaciones industriales.
  2. Mejorar la resiliencia para elevar la capacidad de los sistemas de soportar y recuperarse ante desastres y perturbaciones.
  3. Facilitar la aplicación de la regulación en materia de Protección de Infraestructuras críticas.
  4. Homogeneizar el tratamiento de la seguridad, tanto física como ciberseguridad, de los entornos industriales.
  5. Extender la seguridad a la cadena de valor, para mejorar la seguridad de las organizaciones y de sus proveedores.

Los beneficios esperados del Esquema Nacional de Seguridad Industrial son:

  1. Mejorar la internacionalización y competitividad de las organizaciones industriales.
  2. Dinamizar el sector de la seguridad física y ciberseguridad.
  3. Extender la cultura de seguridad dentro de las organizaciones industriales.
  4. Catalizar nuevas normativas.
  5. Promover las sinergias entre seguridad de Tecnologías de la Información y de Operación.

¿Cuáles son las guías de actuación que presenta el ENSI?

Guías de actuación del ENSI

Para dar cumplimiento a los objetivos perseguidos con el ENSI, actualmente, se concretan cuatro elementos esenciales:

  • Política General: La política del ENSI establece la situación contextual que promueve la creación del Esquema Nacional de Seguridad Industrial, reflejando la necesidad de su creación y del apoyo normativo que lo sustenta, señalando los principios que se persiguen, así como los objetivos y beneficios que supone la implantación del esquema en el ámbito industrial, e identificando a los actores y partes interesadas que están llamados a participar en el ENSI y pretendan una mejora integral de la seguridad en la industria.

  • Metodología de Análisis de riesgo Ligero de Seguridad Integral (ARLI-SI): Esta metodología permite identificar, analizar, evaluar y tratar oportunamente aquellos riesgos que afectan a infraestructuras con sistemas de control industrial; y, al mismo tiempo, obtener resultados comparables y reproducibles, proporcionando un modelo sencillo y práctico de análisis de riesgos integral en sistemas de control industrial.

    Por su parte, la metodología de Análisis de Riesgos Ligero de Ciberseguridad Industrial (ARLI-CIB), permite un acercamiento específico y también ligero, al análisis de riesgos de ciberseguridad en sistemas de control industrial. ARLI-CIB proporciona una herramienta para facilitar la aplicación, por parte de los operadores de sistemas de control industrial, de la metodología del análisis de riesgos de ciberseguridad.

  • Indicadores para la Mejora de la Ciberresiliencia (IMC): El modelo de indicadores para la mejora de la capacidad de Ciberresiliencia (IMC) de las organizaciones ante distintos ataques, amenazas o incidentes que puedan sufrir, está basado en un modelo que permite medir el estado de la ciberresiliencia en las metas objetivo definidas: anticipar, resistir, recuperar y evolucionar. Permitiendo a la organización medir la resiliencia de las funciones críticas de la prestación de sus servicios esenciales.

    IMC dispone de un diccionario de Indicadores que son de aplicación para medir la ciberresiliencia de organizaciones industriales, proporcionando una herramienta para facilitar la aplicación del modelo de Indicadores de Ciberresiliencia por parte de los operadores de sistemas de control industrial.

  • Modelo de Construcción de Capacidades en Ciberseguridad de la Cadena de Valor (C4V): C4V proporciona una serie de controles basándose en un modelo de madurez de diferentes niveles que permita tanto la evaluación interna o a la cadena de valor como establecer niveles mínimos aceptables en función de los resultados obtenidos durante la fase de análisis de riesgos.

    Este modelo está pensado para poder evaluar de forma independiente la Disponibilidad, Confidencialidad e Integridad de la información, obteniéndose de esta forma una calificación para cada uno de los tres aspectos en función de la aplicación de la regla de mínimos a los diferentes controles aplicables.

    C4V proporciona un diccionario de controles para la evaluación de la madurez de las organizaciones y su cadena de valor.

Los diferentes documentos y herramientas que componen actualmente el ENSI se encuentra publicados para su consulta en la página del CERTSI https://www.certsi.es/publicaciones/ensi

Actualmente estas guías están siendo evaluadas a través de diferentes pruebas y procesos piloto con empresas, operadores, proveedores y expertos para mejorarlos y asegurar la adecuación de los mismos.

 

Etiquetas: