Necesidad de una protección integral de las infraestructuras críticas @OscarRRMato
Autor: Oscar R. R. MATO *
De un tiempo a la actualidad escuchamos dos palabras en todas las conferencias o seminarios de Tecnologías de la Información (TI), Ciberseguridad, o Ciberdefensa: Infraestructuras Críticas (IC). Estas dos palabras comenzaron a ser mencionadas cada vez más seguido en los eventos de Ciberseguridad luego del ataque Stuxnet, e incluso en los últimos años ha sido tema central de conferencias. Es acaso sólo una moda, o es un tema que debe ser abordado seriamente?
Como para hablar de una tema hay que saber qué se
entiende por él, el primer aspecto a tratar va a ser dar una definición de IC,
y lamentablemente debo decirles que en la Argentina no se ha definido qué, o cuales,
son las IC a proteger, por lo que utilizaré las definiciones dadas en los
documentos de la Unión Europea (UE) o de los EEUU.
En la UE a través de la Directiva europea: 2008/114/CE
del 8 de diciembre de 2008, se la estableció
que son IC: “Aquellas instalaciones,
redes, servicios y equipos físicos y de tecnología de la información cuya
interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o
el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las
instituciones del Estado y de las Administraciones Públicas“. [1]
En los EEUU, según el USA Patriot Act de 2001: “Sistemas
y activos, ya sea físicos o virtuales, tan vital para los Estados Unidos que su
incapacidad o destrucción provocaría un impacto sobre la seguridad, la economía
nacional, la salud pública o la seguridad nacional, o cualquier combinación de
las anteriores.” [2]. En el año 2003, el gobierno de los EEUU publicó la HSPD 7
(Homeland Security Presidential Directive 7), “Critical Infrastructure
Identification, Prioritization, and Protection”, que establece una política
nacional para las agencias y departamentos federales cuyo objetivo es la
identificación, priorización y protección de las IC. [3]
En la Argentina, en el año 2011, y mediante la Resolución
JGM Nº 580/2011, se crea el “Programa Nacional de Infraestructuras Críticas de
Información y Ciberseguridad” (ICIC), el que tiene como finalidad impulsar la
creación y adopción de un marco regulatorio específico que propicie la identificación
y protección de las infraestructuras estratégicas y críticas del Sector Público
Nacional, los organismos interjurisdiccionales y las organizaciones civiles y
del sector privado que así lo requieran, y la colaboración de los mencionados
sectores con miras al desarrollo de estrategias y estructuras adecuadas para un
accionar coordinado hacia la implementación de las pertinentes tecnologías,
entre otras acciones. Tal como mencioné en el segundo párrafo, lamentablemente
no se avanzó con el citado programa y en la actualidad no se ha definido QUE se
entiende por IC ni CUALES son (además se debe destacar que el programa está
orientado solamente al aspecto de Ciberseguridad de las IC).
Si analizamos las definiciones de la UE y de los EEUU,
podemos observar que no se habla de IC de sistemas de información e IC de otro
tipo de activo, son IC sean físicas o estén en el ciberespacio, es decir que
serán IC todas aquellas infraestructuras que su inhabilitación o destrucción
genere un impacto alto (mayor) en la economía, salud, seguridad o bienestar de
la nación, por lo que su protección se debe planificar y realizar tanto desde
un punto de vista de la seguridad física como de la ciberseguridad, pues si se implementa
uno y no el otro, la IC no estará segura y será muy vulnerable.
Entonces me hago la siguiente pregunta: ¿porque en
nuestro país el tema de la protección de IC es tratado más desde el punto de
vista de TI que desde un aspecto integral y multidisciplinario? Una posible
respuesta podría ser que a la seguridad física se la asimila: 1) Con una
responsabilidad que le cabe a la organización (perímetro de la empresa hacia
adentro) y 2) Con la responsabilidad del Estado (puertas afuera de la empresa)
respecto de la función de policía de seguridad.
Por lo dicho en el párrafo anterior me pregunto por qué
no advertimos que luego de los ataques a través del ciberespacio (ejemplo:
Stuxnet), o de ataques como el del 11M a la estación terminal de trenes de
Atocha en Madrid, los Estados tomaron conciencia de la necesidad de unificar en
un organismo la responsabilidad de dictado de políticas tendientes a la protección
contra ataques a las IC.
La no
aplicación de este concepto es un error muy grave, lo podemos ver con dos
ejemplos:
1)
Infraestructura
Crítica: Planta Nuclear: Existe un organismo que es el rector en la materia, pero respecto a la seguridad su mirada esta puesta en la seguridad nuclear y en el
control físico de acceso, pero vemos que con el ataque Stuxnet si las medidas
de seguridad de tipo informáticas hubieran sido las correctas no se hubieran
filtrado los dispositivos infectados a la planta nuclear. El problema debe ser
analizado como un todo y las medidas deben ser implementadas en forma integral.
2)
Infraestructura
Crítica: Sistema Financiero – Valores e Inversiones : En este ámbito también existe un órgano rector pero si este organismo solo imparte directivas mirando solamente su campo de acción y no las genera de manera integral e interdisciplinaria (atendiendo al riesgo que implica para la seguridad y salud del Estado, no solamente a su nivel), este sistema de IC es vulnerable.
Observación: El lector puede pensar que crear un organismo nuevo (por sobre los órganos rectores ya existentes) es agrandar la burocracia, pero en este caso es necesario que exista un actor que vea el riesgo total y a un nivel mas arriba que el del sistema individual, y que genere las directivas desde un punto de vista integral e interdisciplinario.
Observación: El lector puede pensar que crear un organismo nuevo (por sobre los órganos rectores ya existentes) es agrandar la burocracia, pero en este caso es necesario que exista un actor que vea el riesgo total y a un nivel mas arriba que el del sistema individual, y que genere las directivas desde un punto de vista integral e interdisciplinario.
CONCLUSIONES
Para
poder proteger de manera seria nuestras IC se deberían realizar las siguientes
acciones:
1)
En primer lugar
hacer la descripción y enumeración de las diferentes IC que deban ser
protegidas (como mencioné más arriba, si no las detallamos no sabremos cuales
son, ni quiénes son los responsables).
2)
Asignar la
responsabilidad a un organismo, el que tendrá a cargo la redacción de las
políticas, planes y estándares a cumplir para permitir la protección de las IC
y el control del cumplimiento de estas políticas y estándares; este organismo
tendrá la responsabilidad tanto sobre la protección física como en el
ciberespacio.
3)
Impulsar acciones
de concientización, divulgación y capacitación de los diferentes actores del
sistema.
--- Google Ad ---
---
REFERENCIAS
[2] Larrieu-Let Enrique, “Ciberataques,
Estamos Preparados?”, Octubre 2015, CIGRAS 2015,
[3] S2Grupo, “Protección de
Infraestructuras Críticas 2011”, Diciembre 2011, https://www.aeiciberseguridad.es/descargas/categoria6/4508139.pdf
* El autor es Comodoro (retirado) de la Fuerza Aérea
Argentina, Licenciado en Seguridad (IUPFA), Abogado (UBA), MBA en Dirección de
Sistemas de Información (USAL), Licenciado en Sistemas Aéreos y Aeroespaciales
(IUA).
No hay comentarios.