Funciones y responsabilidades
Las funciones y responsabilidades organizativas en materia de rendición de cuentas son vitales para una gestión eficaz, especialmente en el caso de la infraestructura crítica. Para inculcar una colaboración y una sinergia eficientes y eficaces en los PSI es preciso que se conozca la jerarquía organizativa y que haya unas líneas claras de autoridad y estructura jerárquica.
Gestión de riesgos, factores de vulnerabilidad y cumplimiento
En el marco de la gestión de riesgos de seguridad informática se evalúan factores de vulnerabilidad y posibles consecuencias de los activos digitales de carácter estratégico y sistemas informáticos, a fin de aplicar controles de seguridad informática empleando un enfoque graduado a modo de defensa frente a los ciberataques. La magnitud de las medidas de seguridad aplicadas debe estar en consonancia con la del riesgo asociado a la información y/o a los sistemas informáticos que son objeto de protección. En función de las consecuencias del factor de vulnerabilidad o amenaza, las organizaciones estarán en condiciones de determinar qué magnitud han de tener las medidas de seguridad para mitigar el riesgo.
Concepción y gestión de la seguridad
El dise?o de la seguridad informática es un aspecto crítico de la protección frente a ciberamenazas. Entre los principios fundamentales de dise?o figuran un enfoque graduado y la defensa en profundidad, en el marco de lo cual se aplican múltiples capas de controles de seguridad zonificados para prevenir y mitigar los ataques. Asimismo, los requisitos de seguridad deben incorporarse en todo el ciclo de vida de desarrollo del sistema, también por lo que respecta a organizaciones de terceros regidas por políticas y acuerdos claros, para garantizar que las medidas de seguridad sean coherentes y eficaces.
Gestión de recursos digitales
Una seguridad informática eficaz se basa en un proceso sistemático con el que confeccionar una lista exhaustiva de todas las funciones, recursos y sistemas de las instalaciones, incluidos los activos digitales de carácter estratégico esenciales para proteger las operaciones nucleares o para mantener un uso tecnológica y físicamente seguro del material nuclear y otro material radiactivo. Una lista de esa índole también dispone el flujo de datos y las interdependencias importantes para la organización en apoyo de los controles de acceso, las copias de seguridad y otras medidas de seguridad para proteger estos recursos frente a sabotajes o robos.
Procedimientos de seguridad
Las políticas y procedimientos de seguridad física nuclear operacional orientan las medidas destinadas a evitar robos, sabotajes o usos no autorizados de materiales e instalaciones nucleares. Estas políticas garantizan que el acceso a información y activos de carácter estratégico esté estrictamente controlado, y que las personas con acceso sean examinadas y capacitadas de manera adecuada.
Gestión de personal
La probidad, la concienciación y la capacitación son fundamentales para la gestión de personal en la industria nuclear. Deberían realizarse evaluaciones de la probidad para garantizar que el personal es fiable y competente y está exento de cualquier conflicto de intereses que pudiera comprometer la seguridad tecnológica o la seguridad física. A fin de garantizar la seguridad nuclear tecnológica y física, es fundamental mantener un personal cualificado y de confianza.
*La publicación No 17-T (Rev. 1) de la Colección de Seguridad Física Nuclear del OIEA, titulada Computer Security Techniques for Nuclear Facilities, reúne más detalles al respecto.