Si bien las Infraestructuras Críticas (IC) han sido un potencial foco de ataques desde hace décadas y su seguridad siempre ha preocupado a los Estados, en los últimos años la convergencia IT/OT, la eclosión del IIoT (Internet Industrial de los Objetos) y el aumento de los puntos vulnerables a causa de la creciente conectividad e informatización de infraestructuras y equipos, han contribuido a conformar un escenario en el que la necesidad de desarrollar planes de protección integral e invertir en ciberseguridad es imprescindible.
Photo by Jason Blackeye on Unsplash
Al nacer de la preocupación por la seguridad nacional, la protección de las IC se articula de “arriba hacia abajo”, esto es, a partir de un marco regulatorio establecido por gobiernos e instituciones internacionales dentro del que se fijan estándares de seguridad y procedimientos de obligado cumplimiento para las grandes organizaciones que posean y/o gestionen infraestructuras catalogadas como críticas, tales como las que posibilitan la provisión de energía eléctrica, sistemas de transporte o agua.
Un marco regulatorio bien definido
Encontramos un ejemplo claro de lo expuesto en el modo de proceder al respecto de la UE. Hace ya más de una década, el Consejo de la Unión Europea emitió una directiva en la que indicó varios puntos fundamentales a cumplir por todos los países miembros para garantizar la seguridad de sus IC: su identificación en toda la UE; la obligación de informar anualmente sobre esa identificación a cada Estado al que pudiese afectar un fallo, así como al propietario u operador encargado de la gestión y mantenimiento de la infraestructura así considerada y a la Comunidad Europea; la obligación de asegurar que el operador de la IC dispusiera de un plan de seguridad (garantizando su aplicación tras un año de haber sido calificada como tal) la de comprobar que cada IC dispone de un responsable sobre seguridad al que se puede acudir mediante el establecimiento de procedimientos de comunicación adecuados y, finalmente, la obligación de presentar un informe bianual el que se evaluaran las amenazas y los posibles riesgos en los distintos sectores donde se localizaran las IC.
Puntos coincidentes con la protección industrial
Para organizar un buen plan de ciberseguridad de Infraestructuras Críticas se han de tener en cuenta varios aspectos. En esta entrada vamos a enumerar aquellos comunes a los considerados en el ámbito de la seguridad industrial general.
En primer lugar se ha de gestionar correctamente la seguridad de los componentes que conformen las infraestructuras (redes, equipos y sistemas en los que se aloja la información), fase que tiene como objetivo garantizar la fiabilidad de los sistemas de control, automatización y supervisión, con el fin de garantizar tanto la integridad de la información manejada como su plena disponibilidad.
La gestión de los posibles incidentes que puedan producirse en las IC es otra de las tareas a abordar. No requiere aplicar mecanismos, herramientas y técnicas muy diferentes a los que se emplean cuando se gestionan incidentes en el ámbito industrial. La diferencia radica en que, en el caso de producirse en una IC, su impacto negativo será mucho mayor y sus proporciones estarán en consonancia con las dimensiones y complejidad de la IC afectada, lo que se ha de tener en cuenta.
Como es lógico, cuando hablamos de ciberseguridad, la evaluación de riesgos es otro punto importante a considerar. Al igual que en ámbito industrial, en el de Infraestructuras Críticas ayudará a determinar sobre qué componentes actuar y qué medidas deben ser adoptadas para disminuir los posibles riesgos. Las metodologías de análisis se habrán de adaptar a las características de este tipo de infraestructuras, una labor que requiere la comunicación constante del equipo encargado de salvaguardar las IC, que habrá de estar formado por el personal especializado de la entidad que las controla como por los responsables de seguridad nacional. Es capital que ambos mantengan un intercambio de información fluido y constante.
La gestión de la cadena de suministro es uno de los aspectos más importantes a considerar, ya que los extraordinarios avances en el desarrollo de estándares para recabar y transmitir datos ha traído consigo, junto con una significativa disminución de los costes, una mayor interconectividad de sistemas y redes y una relación más abierta con proveedores y contratistas, una mayor vulnerabilidad.
El entramando de interconexiones con otras infraestructuras y agentes que puede presentar una IC incrementa la complejidad de la gestión de su ciberseguridad, ya que exige controlar todos y cada uno de los componentes y herramientas que se integran en la citada IC, supervisando que no entren a formar parte de esta algunos que puedan venir viciados “de origen”.
Finalmente, no se puede pasar por alto la gestión de la continuidad del servicio, esencial cuando trabajamos con IC, ya que de ella depende la provisión de recursos básicos. Para garantizarlo se debe contar con un plan capaz de proporcionar una recuperación casi inmediata de los datos, dispositivos físicos y software crítico.
Se recomienda articularlo en tres fases:
- Análisis de impacto, de riesgos y determinación de procesos críticos.
- Diseño de estrategia de recuperación y de planes de contingencia probados y procedimentados.
- Instalación de recursos en centro de respaldo, formación a los equipos de emergencia y documentación de procedimientos técnicos de recuperación.