CIBERSEGURIDAD INDUSTRIAL E INFRAESTRUCTURAS CRÍTICAS ¿QUÉ HEMOS HECHO EN EL PERU?

En el mundo están sucediendo hechos que hacen que los Estados se vuelvan vulnerables, esto es, si miramos un poco hacia atrás, lo ocurrido desde los ataques del 11 de septiembre del 2001 a los nuevos ataques realizados por espías corporativos, o las amenazas de Anonymous, Wikileaks y los efectos del WannaCry, han llevado a la mayoría de los Estados a incluir en sus agendas estrategias nacionales de ciberseguridad y medidas de protección para garantizar que sus infraestructuras críticas no se vean afectadas.

Toda esta nueva situación ha causado que ciertos conceptos restringidos a ámbitos profesionales muy especializados, hoy empiecen a ocupar lugares en los medios de comunicación y se conviertan en expresiones de uso común. Ejemplos de esto son la “Protección de Infraestructuras Críticas” y la “Ciberseguridad Industrial” que se empiezan a tener como prioridades.

 

Resultado de imagen para protección de infraestructuras críticas

 

¿Qué son las Infraestructuras Críticas? Casi todos los Estados coinciden en definirlas como instalaciones y sistemas sobre los que recaen servicios esenciales cuyo funcionamiento no permite soluciones alternativas.

Esto quiere decir que las infraestructuras críticas existentes en un Estado, se agrupan dentro de sectores estratégicos, aquellos que son primordiales para la seguridad nacional o para el conjunto de la economía de un país (defensa, energía, telecomunicaciones, agua, salud, finanzas, etc…). Por lo tanto, la Protección de las Infraestructuras Críticas surge como respuesta de los gobiernos a la necesidad de proteger este complejo sistema que da soporte y posibilita el normal funcionamiento de los sectores productivos, de gestión y de la vida ciudadana en general.

Para ello muchos países han abordado dicha problemática con perspectivas muy similares, en cualquier caso, el objetivo fundamental de la Protección de las Infraestructuras Críticas es el desarrollo, implantación o mejora de las medidas de seguridad oportunas, tanto en su vertiente física como lógica/cibernética, que deben tomar los operadores propietarios o responsables de su gestión, con la finalidad de  garantizar un nivel de protección adecuado.

¿Qué es la Ciberseguridad Industrial? Es el conjunto de prácticas, procesos y tecnologías diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales que tienen como agentes a las personas, procesos y tecnologías. Así, la Ciberseguridad Industrial (CI) aborda la prevención, monitoreo y mejora de la resistencia de los sistemas industriales, tanto como recuperación, ante acciones hostiles o inesperadas que puedan afectar al correcto funcionamiento de los procesos industriales.

Todas estas medidas se deben complementar con otras dimensiones de la seguridad, como las medioambientales, físicas y personales, así como los equipamientos. Por otro lado, se debe también tener en cuenta el patrimonio tecnológico de las industrias. Este está compuesto por activos tangibles e intangibles que se derivan del trabajo intelectual, específicamente una idea, invención, secreto industrial, proceso, programa, dato, fórmula, patente, copyright, marca, aplicación, derecho o registro. Este patrimonio, puede ser o no catalogado como una infraestructura crítica (dependiendo del sector en el que se enmarque), pero siempre será el principal activo a proteger por las industrias.

Operativamente, la Ciberseguridad Industrial podría ser aplicada en todos los entornos que contengan sistemas de control industrial para controlar procesos físicos que van desde la generación, transmisión y distribución de energía, a la manufactura automatizada, hasta la logística, las industrias alimentarias, la aeronáutica civil, farmacéutica o de telecomunicaciones y en definitiva cualquier proceso que requiera algún tipo de automatización mecanizada.

A pesar de esto, debemos tener en cuenta que la Protección de Infraestructuras Críticas puede requerir en ocasiones el uso de métodos y tecnologías propias de la Ciberseguridad Industrial, pero necesariamente todas las acciones de Ciberseguridad Industrial están asociadas a una Infraestructura Crítica, aunque cada una sea igual de relevante en su campo.

Resultado de imagen para protección de infraestructuras críticas

Entonces, se puede observar que dentro del ámbito de la Industria, el concepto de CI, es más amplio que el de Protección de Infraestructuras Críticas y que la mayoría de las infraestructuras industriales existentes podrían no estar catalogadas como críticas, pero tener requisitos de CI. Por otra parte, la Protección de Infraestructuras Críticas, abarca sectores que no están incluidos dentro del ámbito de la Ciberseguridad Industrial, ya que algunos de estos sectores como la Administración Pública, el sector financiero o el sector de la salud no cumplen con los requerimientos industriales requeridos para ello.

Conclusiones principales

  1. La gestión tanto de las Infraestructuras críticas como de la Ciberseguridad industrial, aún en el Perú no tienen una visión conjunta desde todos los sectores.
  2. No existe ningún desarrollo al interno de las organizaciones en él Perú, de cómo se deben enfrentar estos dos temas.
  3. Es urgente diseñar un plan de continuidad de los servicios principales. Este podría organizarse en tres etapas.
  • Etapa 1: Análisis de impactos, riesgos y de la determinación de procesos críticos del negocio.
  • Etapa 2: Diseño de Estrategias de Recuperación y establecimiento de planes de contingencia probados, que incluyan tanto la operación a seguir, como los recursos técnicos y humanos a utilizar, a fin de garantizar la continuidad de las operaciones del negocio en el tiempo transcurrido entre el incidente y la recuperación de los sistemas afectados.
  • Etapa 3: Formación de los equipos de emergencia y documentación de procedimientos técnicos de recuperación e instalación de recursos en un centro de respaldo. En el caso de la Protección de Infraestructuras Críticas, la continuidad del servicio puede ser vital para el funcionamiento de toda la sociedad en su conjunto, así como para la economía global del país, al ser dichos servicios considerados como esenciales. No obstante, cualquier infraestructura industrial, sea crítica o no, requerirá también de medidas que permitan garantizar la continuidad del negocio, así como una rápida recuperación de los servicios críticos en el menor tiempo posible.
  • La Academia, como una organización independiente, debe impulsar y contribuir a la mejora de la ciberseguridad industrial y de las infraestructuras críticas.
  • Se deben desarrollar, análisis y estudios, sobre las prácticas, procesos y tecnologías diseñadas para gestionar el riesgo del ciberespacio, derivado del uso, procesamiento, almacenamiento y transmisión de información, utilizada por las empresas y organizaciones industriales peruanas.
  • La información obtenida a partir de la investigación mencionada, será la base de inicio de la construcción de la actual sociedad de la información, se debe tener un ente que mire con ojos distintos a todo el ciberespacio y a las infraestructuras críticas, de tal manera que las acciones sean transversales.

1 Este articulo resume el documento “La protección de infraestructuras críticas y la ciberseguridad industrial”, realizado por el CCI, tomando como escenario el Perú