El modelo de gobierno propuesto por Cobit5 se basa, como principio fundamental, en lo que ha denominado la cascada de objetivos. Lo que propone esta cascada, en esencia, es que nuestras acciones tienen que estar relacionadas con las necesidades de todas las partes interesadas (stakeholders) de nuestra organización. Si aplicamos este modelo …
infraestructuras críticas
Análisis: Electricity Subsector Cybersecurity CMM (ES-C2M2)
El Departamento de Energía de los EE.UU. (DOE) publicaba el pasado 31 de mayo, en colaboración con la Universidad Carnegie Mellon este modelo de madurez de capacidad en ciberseguridad para el subsector de la electricidad (pdf). Dada la importancia del sector eléctrico en el ámbito de las infraestructuras críticas nos ha parecido …
Comentarios a la comparecencia en el Senado del Ministro del Interior
El pasado 20 de marzo comparecía, a petición propia, el Ministro del Interior en el Senado para «informar sobre las líneas generales de la política del departamento» (texto completo en pdf de la comparecencia). Dadas las competencias de este Ministerio en materia de seguridad, me ha parecido interesante comentar algunos aspectos que …
Protección de los PSOs y los PPEs
El 9 de diciembre se publicó en el BOE la Resolución del 29 de noviembre, de la Secretaría de Estado de Seguridad, por la que se corregían errores en los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos publicados inicialmente el 15 de noviembre. Una de …
Gestión Integral de la Seguridad
Ya era una corriente que venía sonando con anterioridad pero, desde la aprobación de la Ley 8/2011 para la Protección de las Infraestructuras Críticas, la gestión integral de la seguridad es una necesidad / obligación para los operadores de este tipo de infraestructuras. No es que sea un tema muy …
Las infraestructuras críticas y la Protección Civil
Tras el análisis desde la perspectiva ciber que hicimos de la Estrategia Española de Seguridad ha habido un tema que ha salido en múltiples conversaciones con cierta recurrencia. Me refiero al hecho de que la nueva legislación para la protección de las infraestructuras críticas está enfocada en las amenazas de origen terrorista …
Vulnerabilidades más habituales en Sistemas de Control Industrial
El pasado mes de mayo, el US Department of Homenland Security (DHS) publicó el informe «Common Cybersecurity Vulnerabilities in Industrial Control Systems» (pdf) que para todos aquellos que estéis interesados en los sistemas de control industriales (SCI) es un documento imprescindible (también si estáis empezando porque incluye explicaciones detalladas y muy claras …
Estrategia Española de Seguridad. Un análisis ciber
[Publicado originalmente en Carpe Diem – Reproducido con permiso del autor] Hace unos días se publicó la denominada «Estrategia Española de Seguridad. Una responsabilidad de todos» (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí). En mi opinión, un documento de …
¿Quién paga la protección de las Infraestructuras Críticas?
Comentábamos en una entrada hace unos días sobre el tema de la protección de las infraestructuras críticas (IICC) y nos surgía entonces esta pregunta que dejamos sin respuesta y que hemos decidido retomar. Si hacemos caso a la Teoría de las Limitaciones del Dr. Goldratt, para analizar una situación, hemos de analizar el sistema en …
La protección de las infraestructuras críticas y la economía de la Seguridad
Parece ser que se acerca el momento de la publicación de la nueva Ley para la Protección de las Infraestrucutras Críticas y con ella, como habrá que empezar a trabajar en la adecuación a la misma y a invertir en la mejora de la seguridad, es muy probable que surja …