Header Ads

Necesidad de una protección integral de las infraestructuras críticas @OscarRRMato


Autor: Oscar R. R. MATO *

De un tiempo a la actualidad escuchamos dos palabras en todas las conferencias o seminarios de Tecnologías de la Información (TI), Ciberseguridad, o Ciberdefensa: Infraestructuras Críticas (IC). Estas dos palabras comenzaron a ser mencionadas cada vez más seguido en los eventos de Ciberseguridad luego del ataque Stuxnet, e incluso en los últimos años ha sido tema central de conferencias. Es acaso sólo una moda, o es un tema que debe ser abordado seriamente?

Como para hablar de una tema hay que saber qué se entiende por él, el primer aspecto a tratar va a ser dar una definición de IC, y lamentablemente debo decirles que en la Argentina no se ha definido qué, o cuales, son las IC a proteger, por lo que utilizaré las definiciones dadas en los documentos de la Unión Europea (UE) o de los EEUU.

En la UE a través de la Directiva europea: 2008/114/CE del 8 de diciembre de 2008, se la estableció que son IC: “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“. [1]

En los EEUU, según el USA Patriot Act de 2001: “Sistemas y activos, ya sea físicos o virtuales, tan vital para los Estados Unidos que su incapacidad o destrucción provocaría un impacto sobre la seguridad, la economía nacional, la salud pública o la seguridad nacional, o cualquier combinación de las anteriores.” [2]. En el año 2003, el gobierno de los EEUU publicó la HSPD 7 (Homeland Security Presidential Directive 7), “Critical Infrastructure Identification, Prioritization, and Protection”, que establece una política nacional para las agencias y departamentos federales cuyo objetivo es la identificación, priorización y protección de las IC. [3]

En la Argentina, en el año 2011, y mediante la Resolución JGM Nº 580/2011, se crea el “Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad” (ICIC), el que tiene como finalidad impulsar la creación y adopción de un marco regulatorio específico que propicie la identificación y protección de las infraestructuras estratégicas y críticas del Sector Público Nacional, los organismos interjurisdiccionales y las organizaciones civiles y del sector privado que así lo requieran, y la colaboración de los mencionados sectores con miras al desarrollo de estrategias y estructuras adecuadas para un accionar coordinado hacia la implementación de las pertinentes tecnologías, entre otras acciones. Tal como mencioné en el segundo párrafo, lamentablemente no se avanzó con el citado programa y en la actualidad no se ha definido QUE se entiende por IC ni CUALES son (además se debe destacar que el programa está orientado solamente al aspecto de Ciberseguridad de las IC).

Si analizamos las definiciones de la UE y de los EEUU, podemos observar que no se habla de IC de sistemas de información e IC de otro tipo de activo, son IC sean físicas o estén en el ciberespacio, es decir que serán IC todas aquellas infraestructuras que su inhabilitación o destrucción genere un impacto alto (mayor) en la economía, salud, seguridad o bienestar de la nación, por lo que su protección se debe planificar y realizar tanto desde un punto de vista de la seguridad física como de la ciberseguridad, pues si se implementa uno y no el otro, la IC no estará segura y será muy vulnerable.

Entonces me hago la siguiente pregunta: ¿porque en nuestro país el tema de la protección de IC es tratado más desde el punto de vista de TI que desde un aspecto integral y multidisciplinario? Una posible respuesta podría ser que a la seguridad física se la asimila: 1) Con una responsabilidad que le cabe a la organización (perímetro de la empresa hacia adentro) y 2) Con la responsabilidad del Estado (puertas afuera de la empresa) respecto de la función de policía de seguridad.

Por lo dicho en el párrafo anterior me pregunto por qué no advertimos que luego de los ataques a través del ciberespacio (ejemplo: Stuxnet), o de ataques como el del 11M a la estación terminal de trenes de Atocha en Madrid, los Estados tomaron conciencia de la necesidad de unificar en un organismo la responsabilidad de dictado de políticas tendientes a la protección contra ataques a las IC.

La no aplicación de este concepto es un error muy grave, lo podemos ver con dos ejemplos:

1)      Infraestructura Crítica: Planta Nuclear: Existe un organismo  que es el rector en la materia, pero respecto a la seguridad su mirada esta puesta en la seguridad nuclear y en el control físico de acceso, pero vemos que con el ataque Stuxnet si las medidas de seguridad de tipo informáticas hubieran sido las correctas no se hubieran filtrado los dispositivos infectados a la planta nuclear. El problema debe ser analizado como un todo y las medidas deben ser implementadas en forma integral.

2)      Infraestructura Crítica: Sistema Financiero – Valores e Inversiones : En este ámbito también existe un órgano rector pero si este organismo solo imparte directivas mirando solamente su campo de acción y no las genera de manera integral e interdisciplinaria (atendiendo al riesgo que implica para la seguridad y salud del Estado, no solamente a su nivel), este sistema de  IC  es vulnerable.

     Observación: El lector puede pensar que crear un organismo nuevo (por sobre los órganos rectores ya existentes) es agrandar la burocracia, pero en este caso es necesario que exista un actor que vea el riesgo total y a un nivel mas arriba que el del sistema individual, y que genere las directivas desde un punto de vista integral e interdisciplinario.


CONCLUSIONES

            Para poder proteger de manera seria nuestras IC se deberían realizar las siguientes acciones:

1)      En primer lugar hacer la descripción y enumeración de las diferentes IC que deban ser protegidas (como mencioné más arriba, si no las detallamos no sabremos cuales son, ni quiénes son los responsables).
2)      Asignar la responsabilidad a un organismo, el que tendrá a cargo la redacción de las políticas, planes y estándares a cumplir para permitir la protección de las IC y el control del cumplimiento de estas políticas y estándares; este organismo tendrá la responsabilidad tanto sobre la protección física como en el ciberespacio.
3)      Impulsar acciones de concientización, divulgación y capacitación de los diferentes actores del sistema.

--- Google Ad ---

---


REFERENCIAS

[1] Directiva Europea: 2008/114/CE, https://www.boe.es/buscar/doc.php?id=DOUE-L-2008-82589

[2]  Larrieu-Let Enrique, “Ciberataques, Estamos Preparados?”, Octubre 2015, CIGRAS 2015,

[3] S2Grupo, “Protección de Infraestructuras Críticas 2011”, Diciembre 2011, https://www.aeiciberseguridad.es/descargas/categoria6/4508139.pdf



*  El autor es Comodoro (retirado) de la Fuerza Aérea Argentina, Licenciado en Seguridad (IUPFA), Abogado (UBA), MBA en Dirección de Sistemas de Información (USAL), Licenciado en Sistemas Aéreos y Aeroespaciales (IUA).


No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de enot-poloskun. Con tecnología de Blogger.