Ir al contenido principal

Así se deben proteger las infraestructuras críticas de D. Antonio Villalón,

Así se deben proteger las infraestructuras críticas

Antonio Villalón, Director de Seguridad de S2 Grupo, analiza el nivel de protección de las infraestructuras críticas y que pasos se deberían seguir en esa materia. Actualmente, nadie duda de la necesidad de proteger adecuadamente las infraestructuras críticas, base necesaria
Antonio Villalón, Director de Seguridad de S2 Grupo, analiza el nivel de protección de las infraestructuras críticas y que pasos se deberían seguir en esa materia.
Actualmente, nadie duda de la necesidad de proteger adecuadamente las infraestructuras críticas, base necesaria para el funcionamiento de diferentes sectores de una nación y, por tanto, para la propia seguridad nacional. Y esa protección debe realizarse de forma integral, cubriendo todas las posibles vulnerabilidades de las infraestructuras críticas y garantizando el máximo nivel de seguridad desde cualquier punto de vista.
Obviamente, garantizar unos niveles de protección adecuados no siempre es fácil. En primer lugar, en la protección de infraestructuras críticas participan muchos actores con a priori poca –o ninguna- relación, tanto del ámbito público como del privado (desde el propio Gobierno de la Nación hasta el operador de la infraestructura). Un primer reto a superar es, por tanto, garantizar una coordinación, una comunicación y una operación correctas entre todos estos agentes, estableciendo protocolos ágiles y seguros que permitan una adecuada protección de cada infraestructura. Es especialmente relevante conseguir la absoluta implicación de los operadores de infraestructuras críticas, en su mayor parte pertenecientes al sector privado y cuyos intereses de negocio no siempre estarán alineados con los requisitos de seguridad necesarios para la protección.
El segundo gran reto que presenta la protección de infraestructuras críticas es quizás el adjetivo “integral” que ahora tanto nos gusta utilizar –y con motivo- cuando hablamos de seguridad. Todo el mundo entiende como algo habitual las salvaguardas habituales ante problemas de seguridad en el ámbito físico, tanto intencionados como accidentales, y así a nadie se le pasa por la cabeza que una central nuclear o una planta de tratamiento de aguas no disponga de un servicio de vigilancia 24×7, un control de suministros básicos o un sistema de videovigilancia. Esto, que como decimos parece obvio en el mundo físico, no lo es tanto en el mundo virtual y por tanto una de las asignaturas pendientes en protección de infraestructuras críticas es la seguridad lógica de las mismas.
Actualmente, muchos sistemas informáticos que operan estas infraestructuras, incluyendo demasiados sistemas de control (los famosos SCADA) están expuestos completamente a Internet, con lo que eso implica: puede resultar más fácil un ciberataque contra la infraestructura que un ataque tradicional contra la misma. Y si a esto añadimos que los entornos de control industrial no suelen estar diseñados con la seguridad como requisito básico, tenemos una situación bastante grave: en ocasiones, un atacante puede llegar a alterar el funcionamiento de la infraestructura causando un impacto enorme, desde cualquier punto del mundo y sin correr ningún tipo de riesgo.
El primero de estos retos debe superarse potenciando enormemente la colaboración y el intercambio fluido de información entre los diferentes actores participantes en la protección de infraestructuras críticas, a todos los niveles y con la especial participación del sector privado. Esta comunicación, que como hemos indicado debe ser ágil y segura, debe venir liderada al más alto nivel estatal y contar con el apoyo –reflejado en hechos, no sólo en palabras- de todos los niveles de trabajo, desde el más estratégico al más operativo.
Para superar el segundo de los retos a los que hacíamos referencia –algo que tenemos que hacer en breve- debemos aplicar, a muy corto plazo, medidas que incrementen la seguridad tecnológica de los sistemas de control industrial, en dos grandes líneas: control de acceso y robustez de aplicaciones. En primer lugar, y tal y como se hizo con los entornos de propósito general a mediados de los años 90, debemos restringir convenientemente el acceso a estos sistemas mediante cortafuegos, listas de control de acceso o equivalentes, de forma que no sea posible conectar a un entorno de control de una infraestructura crítica desde cualquier parte del mundo sin más que un usuario y una clave –en muchos casos por defecto- o peor, sin ni siquiera esta autenticación básica.
Además, debemos exigir a los diferentes fabricantes entornos seguros, diseñados, desarrollados y explotados con la seguridad como requisito básico, que no introduzcan debilidades en una infraestructura (usuarios y contraseñas por defecto, tráfico no cifrado, vulnerabilidades lógicas…) y que garanticen el equilibrio adecuado entre funcionalidad y seguridad.
Al igual que sucedió con esos entornos de propósito general –a los que hacíamos referencia- hace un par de décadas, nos empezamos a encontrar ahora mismo con sistemas relativamente inseguros y completamente expuestos a Internet; en pocas palabras, una bomba de relojería que puede explotar en cualquier momento. Y al igual que sucedió entonces, probablemente nos encontremos a corto plazo con problemas de seguridad muy relevantes que motivarán que fabricantes y operadores aceleren el paso en su camino hacia la seguridad, aunque sólo sea por imagen o por posibles sanciones económicas. Pero hay una diferencia muy importante con lo que sucedió a mediados de los 90, y es que los sistemas de control de los que estamos hablando pueden, en muchos casos, causar impacto grave en las personas… ojalá nos podamos proteger a tiempo. En ello estamos (creo).

Comentarios

Entradas populares de este blog

Una operación conjunta de la Policía Nacional y de la Agencia Tributaria da como resultado la Intervención de casi una tonelada de cocaína transportada oculta en el interior de falsas piedras

Detenidas 11 personas que intentaron introducir la droga en España utilizando un cargamento de 188.000 kilos de piedras siendo varias de ellas, realmente, un conglomerado de apariencia rocosa que imita de forma muy convincente a las reales
Los agentes tuvieron que picar con mazas todas las piedras voluminosas hasta dar con aquellas que camuflaban el estupefaciente, localizando 785 paquetes de más de un kilogramo de cocaína cada uno de ellos
Los arrestados conformaban una organización, compuesta por ciudadanos colombianos y venezolanos, dedicados a la introducción de importantes cantidades de cocaína en nuestro país y su posterior distribución por el resto de Europa
Durante la investigación se realizaron siete registros, entre ellos una nave industrial situada en Humanes (Madrid) donde se localizó el cargamento de piedras Agentes de la Policía Nacional y funcionarios de Vigilancia Aduanera de la Agencia Tributaria, en una operación conjunta, han intervenido casi una tone…

La empresa de Ferrocarrriles #rodalies #Renfe #Cataluña ha sancionado a la empresa de seguridad Ombuds y ha anunciado la retirada de un vigilante de seguridad

Barcelona, 15 feb .-La empresa de Ferrocarrriles rodalies #Renfe ha sancionado a la empresa de seguridad Ombuds y ha anunciado la retirada de un vigilante de seguridad de la misma a causa de su comportamiento con un viajero negro en la estación de Sants de Barcelona. La empresa de ferrocarriles #Renfe, que ha rechazado "cualquier tipo de actitud discriminatoria por la razón que sea", ha decidido retirar al vigilante  de seguridad habilitado después que ayer por la tarde se difundiera en las redes sociales un vídeo donde el vigilante de seguridad habilitado de la empresa #ombusd aparece en actitud chulesca y empujando al usuario mientras le exigía la documentación y le decía "vamos fuera".
"Estamos recopilando todos los datos para incluirlos en el expediente sancionador y determinar qué pasó",a que quien ha informado de la retirada del vigilante de seguridad habiitado ha sido #Renfe, y no la empresa #Ombuds, que han calificado el h…

D. Héctor Iván Espinoza Farfán Embajador de la República de Guatemala en Cuba

Impulsan los paises de #Cuba y #Guatemala la reactivación de vuelos directos entre ambos para aumentar si cabe los intereses económicos comerciales, al desarrollo del Acuerdo de Turismo Multidestino tan beneficioso para todos . https://t.co/jGYhmKQnWT#turismoguatemala — Careonsafety Consultoria #formación #siseguridad (@careonsafety) 24 de enero de 2018
Impulsan los paises Cuba y Guatemala la reactivación de sus vuelos directos Enviado por editor en Lun, 08/01/2018 - 09:08 GUATEMALA, 6 de enero de 2018.- El embajador de Cuba en el país maya, Carlos De Céspedes Piedra (link is external), fue recibido en la Cancillería guatemalteca por Jairo David Estrada Barrios, viceministro del MINEX y por otros directivos de ese Ministerio, entre ellos el embajador guatemalteco en Cuba, Iván Espinoza Farfan (link is external), para de conjunto con el Director de la Aeronáutica Civil de Guatemala, Carlos Velásquez, avanzar en proyectos de interés común.
El intercambio que se desarrolló de ma…