Este documento es un análisis de la “Protección de Infraestructuras Críticas” (PIC) y la “Ciberseguridad Industrial” (CI), y pretende aclarar su significado y establecer las diferencias y puntos comunes entre ellos
Los acontecimientos ocurridos durante los últimos años, desde los ataques del 11 de septiembre de 2001 a los recientes actos de ciberespionaje, realizados por los estados (informe Mandiant) o por espías corporativos con fines de lucro o de mejora estratégica, utilizando técnicas cada día más avanzadas; pasando por las amenazas de Anonymous, Wikileaks y los efectos de malware como Stuxnet, han llevado a la mayoría de los gobiernos a incluir en sus agendas el desarrollo de estrategias nacionales de ciberseguridad y medidas de protección para garantizar la seguridad de sus infraestructuras críticas. Esta situación ha causado que ciertos conceptos, hasta hace poco restringidos a ámbitos profesionales muy especializados, ocupen lugares destacados en los medios de comunicación y se hayan convertido en expresiones de uso común. Dos de estas expresiones son la “Protección de Infraestructuras Críticas” (PIC) y la “Ciberseguridad Industrial” (CI), que aunque en muchas ocasiones son utilizados como sinónimos, particularmente en el caso de las infraestructuras críticas de la Información, poseen diferencias significativas.
La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial
Desde el punto de vista de la aproximación a la protección de las organizaciones, PIC tiene un alcance mayor que CI, ya que ésta sólo se dedica a los procesos industriales (y los sistemas que los soportan), mientras que PIC, además de abarcar sectores que no tienen relación con la industria, incluye aspectos como la seguridad física, ambiental y de las personas, y, en algunos países, el cumplimiento legal. Es precisamente el aspecto legal, y evidentemente la repercusión que tendría sobre la sociedad la alteración o destrucción de las infraestructuras afectadas, lo que ha causado que la PIC adquiera mucha más relevancia que la Ciberseguridad Industrial. Sin embargo, el ámbito de aplicación de la CI es más amplio que el de PIC en los sectores industriales, ya que la gran mayoría de las infraestructuras industriales existentes en el mundo no estarán afectadas por ninguna ley PIC.
La protección de Infraestructuras Críticas (PIC) ha adquirido gran relevancia debido a la repercusión que tendría sobre la sociedad la alteración o destrucción de las infraestructuras críticas. Por otra parte, el ámbito de aplicación de la Ciberseguridad Industrial, dentro de los sectores industriales, es mayor que el de PIC, ya que la mayor parte de las infraestructuras industriales no son críticas, pero requieren ser protegidas de manera adecuada. A partir de estas premisas, se realiza un análisis de los conceptos comunes y las diferencias entre los dos conceptos.
Ámbitos de PIC y CI
La mayor parte de las iniciativas existentes en Protección de Infraestructuras Críticas nacen de la preocupación de los gobiernos de las naciones sobre cómo hacer frente a las amenazas que han surgido como consecuencia de la aparición de nuevas tecnologías. Por tanto, la mayor parte de estas iniciativas tienen un fuerte componente regulatorio.
Sin lugar a dudas, la nación líder en el mundo en cuanto a la Protección de Infraestructuras Críticas es los Estados Unidos de América, donde tenemos la primera referencia al concepto de infraestructuras críticas para una nación aparece el año 1995 en la Directiva Presidencial número 39 (PDD-39) US Policy on Counterterrorism. En esta directiva, se declara la necesidad de crear un comité para revisar las vulnerabilidades de las infraestructuras críticas de la nación ante ataques terroristas.
En Europa fue en 2004 cuando se creo la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, European Network and Information Security Agency) que tiene el objetivo mejorar las redes y la seguridad de la información en la Unión Europea así como desarrollar una cultura de la ciberseguridad que beneficie a los ciudadanos, a las empresas y al sector público de la Unión Europea. Para ello, ENISA ayuda y aconseja de forma profesional, a través de estudios e investigación, tanto a la Comisión Europea como a los Estados Miembros.
También en España desde el año 2004, mediante el Real Decreto 421/2004, de 12 de marzo, se regula y define el ámbito y funciones del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI) exigido por la sociedad española que demanda unos servicios de inteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos del actual escenario nacional e internacional.
En Latinoamérica, parte de sus países ya cuentan con una estrategia nacional y un marco legal para la ciberseguridad y la ciberdefensa con respecto a la protección de infraestructuras críticas, mientras que el resto está en desarrollo. En Latinoamérica hay 14 países con Equipos de Respuesta a Incidentes de Seguridad Cibernética (CSIRT), entre los que se encuentran el ArCERT (Argentina, 1999, que posteriormente daría lugar al ICIC), el ClCERT (Chile, 2001), el CTIR-GOV (Brasil, 2004), el CTIRGT (Guatemala, 2006), el CERTUy (Uruguay, 2008), el VenCERT (Venezuela, 2008), el PerCERT (Perú, 2009) y el ColCERT (Colombia, 2011).
Estado del arte
El principal problema surgido a raíz del establecimiento de leyes relacionadas con la protección de infraestructuras críticas es la necesidad de financiar los trabajos destinados a alcanzar el cumplimiento legislativo. En la mayor parte de las ocasiones, la legislación no ha estado acompañada de programas de financiación.
Otro problema añadido que las organizaciones industriales encuentran en relación a la implantación de medidas de Ciberseguridad está causado por el alto grado de externalización existente en estas organizaciones, ya que no es habitual que las empresas contratistas incorporen características de ciberseguridad en sus servicios y en pocos casos, las responsabilidades de ciberseguridad están correctamente definidas.
- En la Protección de Infraestructuras críticas las responsabilidades están claramente definidas, partiendo de los gobiernos que buscan proteger los servicios esenciales de los Estados hasta los operadores de las infraestructuras críticas que son los principales afectados por las normativas PIC, pasando por el papel de los organismos competentes y las terceras partes subcontratadas.
- En la Ciberseguridad Industrial no hay un interesado principal tan evidente como en la Protección de Infraestructuras Críticas. En este caso, los interesados son precisamente los propietarios de sistemas industriales que resultan fundamentales para el correcto funcionamiento de los procesos de negocio.
De todas las maneras, esto debe ser matizado, ya que dentro de este tipo de organizaciones, es posible que los interesados en la implantación de medidas de Ciberseguridad Industrial varíen de una a otra. Esto depende del conocimiento (o de su falta) que exista dentro de la organización acerca de las implicaciones que la ciberseguridad puede tener para el funcionamiento de su negocio.
Problemas encontrados
El principal problema surgido a raíz del establecimiento de leyes relacionadas con la protección de infraestructuras críticas es la necesidad de financiar los trabajos destinados a alcanzar el cumplimiento legislativo. En la mayor parte de las ocasiones, la legislación no ha estado acompañada de programas de financiación.
Otro problema añadido que las organizaciones industriales encuentran en relación a la implantación de medidas de Ciberseguridad está causado por el alto grado de externalización existente en estas organizaciones, ya que no es habitual que las empresas contratistas incorporen características de ciberseguridad en sus servicios y en pocos casos, las responsabilidades de ciberseguridad están correctamente definidas.
Principales responsables
En la Protección de Infraestructuras críticas las responsabilidades están claramente definidas, partiendo de los gobiernos que buscan proteger los servicios esenciales de los Estados hasta los operadores de las infraestructuras críticas que son los principales afectados por las normativas PIC, pasando por el papel de los organismos competentes y las terceras partes subcontratadas. En la Ciberseguridad Industrial no hay un interesado principal tan evidente como en la Protección de Infraestructuras Críticas. En este caso, los interesados son precisamente los propietarios de sistemas industriales que resultan fundamentales para el correcto funcionamiento de los procesos de negocio. De todas las maneras, esto debe ser matizado, ya que dentro de este tipo de organizaciones, es posible que los interesados en la implantación de medidas de Ciberseguridad Industrial varíen de una a otra. Esto depende del conocimiento (o de su falta) que exista dentro de la organización acerca de las implicaciones que la ciberseguridad puede tener para el funcionamiento de su negocio.
Recomendaciones
Las organizaciones responsables de las inversiones o del funcionamiento diario de una infraestructura crítica no deberán afrontar las tareas requeridas para alcanzar el cumplimiento legal, como esfuerzos puntuales destinados a lograr el cumplimiento, sino que deberán aprovechar las iniciativas realizadas para extender sus efectos sobre otras infraestructuras no etiquetadas como críticas.
El intercambio de conocimiento es un elemento fundamental para lograr todos los objetivos planteados y acelerar la mejora general de la Ciberseguridad Industrial, por ello será necesario fomentar el uso de las plataformas existentes para el intercambio de conocimiento y crear nuevas plataformas especializadas en sectores determinados.
Se puede adquirir el documento completo a través de la web del Centro de Ciberseguridad Industrial