11/11/17: CIBERSEGURIDAD INDUSTRIAL E INFRAESTRUCTURAS CRITICAS, ¿QUE HEMOS HECHO EN EL PERU?

En el mundo están sucediendo hechos que hacen que los Estados se vuelvan vulnerables, esto es, si miramos un poco hacia atrás, lo ocurrido desde los ataques del 11 de septiembre del 2001 a los nuevos ataques realizados por espías corporativos, o las amenazas de Anonymous, Wikileaks y los efectos del WannaCry, han llevado a la mayoría de los Estados a incluir en sus agendas estrategias nacionales de ciberseguridad y medidas de protección para garantizar la seguridad de sus infraestructuras críticas.

 

Toda esta nueva situación ha causado que ciertos conceptos restringidos a ámbitos profesionales muy especializados, hoy empiecen a ocupar lugares en los medios de comunicación y se conviertan en expresiones de uso común.

 

Entonces la “Protección de Infraestructuras Críticas” y la “Ciberseguridad Industrial”, se empiezan a tener como prioridades.

 

¿Qué es una Infraestructura Crítica? Casi todos los Estados coinciden en definir como las instalaciones y sistemas sobre los que recaen servicios esenciales cuyo funcionamiento no permite soluciones alternativas.

Quiere decir entonces, que las infraestructuras críticas existentes en un estado, se agrupan dentro de sectores estratégicos, aquellos que son esenciales para la seguridad nacional o para el conjunto de la economía de un país (defensa, energía, telecomunicaciones, agua, salud, finanzas, etc…).

Por lo tanto, la Protección de las Infraestructuras Críticas surge como respuesta de los gobiernos a la necesidad de proteger el complejo sistema de infraestructuras que dan soporte y posibilitan el normal funcionamiento de los sectores productivos, de gestión y de la vida ciudadana en general.

Para ello muchos países han abordado dicha problemática con perspectivas muy similares, en cualquier caso, el objetivo fundamental de la Protección de las Infraestructuras Críticas es el desarrollo, implantación o mejora de las medidas de seguridad oportunas, tanto en su vertiente física como lógica/cibernética, que deben acometer los operadores propietarios o responsables de su gestión, de cara a garantizar un nivel de protección adecuado.

 

¿Qué es la Ciberseguridad Industrial?, Es el conjunto de prácticas, procesos y tecnologías diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando como medios a las personas, procesos y tecnologías.

Entonces podemos decir que la Ciberseguridad Industrial aborda la prevención, monitoreo y mejora de la resistencia de los sistemas industriales y su recuperación, ante acciones hostiles o de acciones inesperadas que puedan afectar al correcto funcionamiento de los procesos industriales.

 

Todas estas medidas se deben complementar con otras dimensiones de la seguridad, como lo son la seguridad medioambiental, la seguridad física, la seguridad de las personas y el equipamiento, no olvidar el patrimonio tecnológico de las industrias, que son aquellos activos tanto tangibles como intangibles que se derivan del trabajo intelectual, específicamente una idea, invención, secreto industrial, proceso, programa, dato, fórmula, patente, copyright, marca, aplicación, derecho o registro. Este patrimonio, puede ser o no catalogado como una infraestructura crítica (dependiendo del sector en el que se enmarque) pero siempre será el principal activo a proteger por las industrias.

Operativamente, la Ciberseguridad Industrial sería de aplicación en todos los entornos que contengan sistemas de control industrial. Estos sistemas controlan procesos físicos que van desde la generación, transmisión y distribución de energía, a la manufactura automatizada, pasando por la logística, las industrias alimentarias, la aeronáutica civil, farmacéutica o de telecomunicaciones y en definitiva cualquier proceso que requiera algún tipo de automatización mecanizada.

Pero debemos tener en cuenta que la Protección de Infraestructuras Críticas requerirá en ocasiones el uso de métodos y tecnologías propias de la Ciberseguridad Industrial, pero no todas las acciones de la Ciberseguridad Industrial estarán asociadas a una Infraestructura Crítica, aunque dentro de su ámbito de actuación puedan ser igualmente importantes.

Por lo tanto, dentro del ámbito de la Industria, la Ciberseguridad Industrial, es un concepto más amplio que la Protección de Infraestructuras Críticas, ya que la mayoría de las infraestructuras industriales existentes no estarán catalogadas como críticas y sin embargo tendrán requisitos de ciberseguridad. Por otra parte, la Protección de Infraestructuras Críticas, abarca sectores que no están incluidos dentro del ámbito de la

Ciberseguridad Industrial, ya que algunos de estos sectores como la Administración Pública, el sector financiero o el sector de la salud no tienen el componente industrial requerido para estar dentro del ámbito de la Ciberseguridad Industrial.

Conclusiones principales

  1. a) La gestión tanto de las Infraestructuras críticas como de la Ciberseguridad industrial, aún en el Perú no tienen una visión conjunta desde todos los sectores.
  2. b) No existe ningún desarrollo al interno de las organizaciones en él Perú, de cómo se deben enfrentar estos dos temas.
  3. c) Se debe tener YA, un plan de continuidad de los servicios principales, este plan se puede organizar en tres etapas:
  • Etapa 1: Análisis de Impactos, Riesgos y de la determinación de procesos críticos del negocio.
  • Etapa 2: Diseñar Estrategias de Recuperación y establecer planes de contingencia probados, que incluyan tanto la operación a seguir, como los recursos técnicos y humanos a utilizar, a fin de garantizar la continuidad de las operaciones del negocio en el tiempo transcurrido entre el incidente y la recuperación de los sistemas afectados.
  • – Etapa 3: Formación de los equipos de emergencia y documentación de procedimientos técnicos de recuperación e instalación de recursos en un centro de respaldo. En el caso de la Protección de Infraestructuras Críticas, la continuidad del servicio puede ser vital para el funcionamiento de toda la sociedad en su conjunto, así como para la economía global del país, al ser dichos servicios considerados como esenciales. No obstante, cualquier infraestructura industrial, sea crítica o no, requerirá también de medidas que permitan garantizar la continuidad del negocio, así como una rápida recuperación de los servicios críticos en el menor tiempo posible.

 

  1. d) La Academia, como una organización independiente, debe impulsar y contribuir a la mejora de la ciberseguridad industrial y de las infraestructuras críticas.
  2. e) Se deben desarrollar, análisis, desarrollo de estudios, sobre las prácticas, procesos y tecnologías diseñadas para gestionar el riesgo del ciberespacio, derivado del uso, procesamiento, almacenamiento y transmisión de información, utilizada por las empresas y organizaciones industriales peruanas.
  3. f) Como estas informaciones serán la base de inicio de la construcción de la actual sociedad de la información, se debe tener un ente que mire con ojos distintos a todo el ciberespacio y a las infraestructuras críticas, de tal manera de transversalizar las acciones.

 

 

 

 

 

1 Este articulo resume el documento “La protección de infraestructuras críticas y la ciberseguridad industrial”, realizado por el CCI, tomando como escenario el Perú

Puntuación: 0 / Votos: 0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *