Las instalaciones que manipulan material nuclear u otro material radiactivo, y que realizan actividades asociadas, son infraestructuras críticas que requieren altos niveles de seguridad y protección. Adoptando un enfoque global y proactivo de la seguridad informática, las organizaciones pueden proteger los activos de información sensible y los sistemas informáticos de estas instalaciones contra cualquier riesgo. La base del enfoque de la seguridad informática recomendado por el OIEA reside en que los Estados establezcan requisitos para la estrategia o política nacional; y permitan la confidencialidad y la protección de la información sensible y de los sistemas informáticos relacionados con la protección física, la seguridad nuclear y la contabilidad y control del material nuclear. Estos requisitos también pueden adoptar la forma de normativas nacionales que prevean el desarrollo y la aplicación de un programa de seguridad informática (PSI)*.
Un CSP es un marco general que incluye elementos clave de un plan eficaz para aplicar políticas y procedimientos de seguridad informática que se utilizarán durante toda la vida útil de una instalación nuclear o una instalación con fuentes radiactivas. Su objetivo es proteger de las ciberamenazas los activos de información sensibles y los sistemas informáticos críticos para el mantenimiento de las funciones de seguridad tecnológica y física, con el fin de mitigar el impacto de los ciberataques.
Estrategia nacional
Una estrategia de seguridad informática completa y eficaz requiere un enfoque sistemático que integre diversos elementos, como reglamentos, programas, medidas de protección de la seguridad y capacidades de respuesta para sostener los regímenes nacionales de seguridad nuclear.
Normativa
Una normativa eficaz proporciona un marco jurídico para la protección de los sistemas informáticos sensibles y garantiza que las organizaciones hayan establecido CSP con los controles adecuados.
Elementos clave de los CSP:
Funciones y responsabilidades
Las funciones y responsabilidades organizativas con rendición de cuentas son vitales para una gestión eficaz, especialmente en el caso de infraestructuras críticas. El conocimiento de la jerarquía organizativa y unas líneas claras de autoridad y estructura jerárquica son necesarios para inculcar una colaboración y sinergia eficientes y eficaces dentro de los CSP.
Gestión de riesgos, vulnerabilidades y conformidad
La gestión de riesgos de seguridad informática implica evaluar las vulnerabilidades y las consecuencias potenciales de los activos digitales sensibles y los sistemas basados en ordenadores para aplicar controles de seguridad informática utilizando un enfoque graduado para defenderse de los ciberataques. El nivel de las medidas de seguridad aplicadas debe ser proporcional al nivel de riesgo asociado a la información y/o a los sistemas informáticos que se protegen. Teniendo en cuenta la consecuencia de la vulnerabilidad o amenaza, las organizaciones pueden determinar el nivel de medidas de seguridad necesarias para mitigar el riesgo.
Diseño y gestión de la seguridad
El diseño de la seguridad informática es un aspecto crítico de la protección contra las ciberamenazas. Los principios fundamentales de diseño incluyen un enfoque graduado y la defensa en profundidad, donde se implementan múltiples capas de controles de seguridad zonificados para prevenir y mitigar los ataques. Los requisitos de seguridad también deben incorporarse a lo largo del ciclo de vida de desarrollo del sistema, incluidas las organizaciones de terceros que se rigen por políticas y acuerdos claros para garantizar que las medidas de seguridad sean coherentes y eficaces.
Gestión de activos digitales
La seguridad informática efectiva se basa en un proceso sistemático para identificar una lista exhaustiva de todas las funciones, activos y sistemas de la instalación, incluidos los activos digitales sensibles que son esenciales para proteger las operaciones nucleares o para mantener un uso seguro y protegido del material nuclear y otros materiales radiactivos. Dicha lista también proporciona el flujo de datos y las interdependencias que son importantes para la organización para apoyar los controles de acceso, copias de seguridad y otras medidas de seguridad para proteger estos activos de sabotaje o robo.
Procedimientos de seguridad
Las políticas y procedimientos de seguridad nuclear operativa proporcionan a la dirección la responsabilidad de prevenir el robo, sabotaje o uso no autorizado de materiales e instalaciones nucleares. Estas políticas garantizan que el acceso a información y activos sensibles esté estrictamente controlado, y que las personas con acceso sean examinadas y formadas adecuadamente.
Gestión del personal
La fiabilidad, la concienciación y la formación son fundamentales para la gestión del personal en la industria nuclear. Deben realizarse evaluaciones de la fiabilidad para garantizar que el personal es fiable, competente y está libre de conflictos de intereses que puedan comprometer la seguridad tecnológica o física. Mantener un personal cualificado y digno de confianza es fundamental para garantizar la seguridad nuclear tecnológica y física.
