Inicio / Protege tu empresa / Blog / Balance sobre las Infraestructuras Críticas en ENISE

Balance sobre las Infraestructuras Críticas en ENISE

Publicado el 02/11/2010, por Observatorio de la Seguridad de la Información

Una vez finalizado ENISE (Encuentro Internacional de Seguridad de la Información),  desde el Observatorio de INTECO no queremos dejar pasar la oportunidad de hacer un balance de lo expuesto en los talleres sobre Infraestructuras Críticas. Ambos, muy interesantes, con buena asistencia y que han aportado información muy útil como era de esperar a la luz del magnífico plantel de expertos.  En breve se publicarán en www.inteco.es el enlace a los videos de las intervenciones para quien no pudiera haber asistido presencial o virtualmente a las sesiones.

Las llamadas Infraestructuras Críticas son una serie de instalaciones, productivas o de coordinación y control, de vital importancia para la sociedad, ya que su fallo o caída de servicio podrían provocar graves consecuencias directa o indirectamente. Es decir nos referimos a centrales y tendidos eléctricos, sistemas de control de transportes como por ejemplo los ferroviarios, o plantas depuradoras y de distribución de aguas en las ciudades por mencionar algunas de ellas.

Estos activos y sistemas, en muchos casos, llevan décadas en funcionamiento, y precisamente en ello radican los principales retos que se han mencionado durante el ENISE. Son instalaciones diseñadas y construidas en un mundo en el que se podían mantener aisladas del exterior y evitar así intrusiones en sus sistemas de control. Precisamente por ello su seguridad se centraba en que el sistema no fallase ni dejase de funcionar, y paralelamente en la seguridad “física”, que nadie sin autorización accediese a las instalaciones.

Sin embargo, ese mundo ya no existe; actualmente la interconexión es la dinámica triunfante, por lo que la seguridad de las infraestructuras críticas debe adaptarse a estas nuevas circunstancias, especialmente en lo referido al acceso y el control informático de los procesos productivos. Así, los sistemas operativos que no han dado problemas en décadas ahora son una vulnerabilidad muy fácil de explotar. Por poner un ejemplo: los controles de acceso a los equipos informáticos, que impedían que alguien no autorizado accediese físicamente a las salas en que se encontraban, ya no son válidos porque los accesos remotos están a la orden del día.

Al reto de la adaptación se añadieron principalmente otros dos. En la parte organizativa, se puso de manifiesto la falta de integración en muchos casos entre los responsables de producción y los responsables de seguridad informática. Hace años la seguridad en las infraestructuras críticas se lograba al mantener alejado al personal no autorizado, pero el punto esencial era, y sigue siendo, que estas instalaciones no dejen de funcionar ni fallen. De esta manera, la seguridad  informática se ha podido desarrollar siempre que no interfiriese en la faceta productiva, habitualmente teniendo que adaptarse y perdiendo por el camino parte de su eficacia. Añadamos que en algunos casos aún habría que impartir una formación básica sobre seguridad para evitar ciertas situaciones como el acceso a redes sociales desde equipos críticos o la exigencia por parte de responsables directivos de implantar supervisión remota para acceder a la información de producción vía dispositivos móviles.

La segunda barrera a superar se refiere a la supervisión de la seguridad de estos sistemas, ya que al tratarse de infraestructuras sumamente delicadas debido a sus características (especialmente porque no pueden pararse, no puede asumirse el riesgo de fallos limitando las modificaciones posibles y además es muy difícil contar con réplicas de los sistemas), no es posible llevar a cabo en ellas una auditoría “tradicional”.

Ahora bien, ¿se puede decir que las infraestructuras críticas españolas son seguras? Como finalizó Rubén Santamarta, cada uno debe sacar sus propias conclusiones. La respuesta no puede resumirse en un simple sí o no. Hay que ser consciente lo mucho que se ha hecho y que se está haciendo, pero no hay que olvidar lo mucho que queda por hacer. Destaquemos que la preocupación por la seguridad informática de las infraestructuras críticas cuenta con apenas una década e implica un proceso de readaptación de aquellas instalaciones ya existentes (especialmente las más antiguas), encontrándonos en este momento en un punto de inflexión.

Por lo pronto, remarcaremos que el primer paso, que es ser consciente de los problemas, está dado. No creemos que haya responsables de seguridad que consideren mejor enfrentarse a riesgos desconocidos que a riesgos conocidos y delimitados. Pero es más, todo lo que se expuso por parte de los ponentes se basa en su experiencia, es decir, pese a que sean casos reales los conocemos porque las empresas que cuentan con infraestructuras críticas están invirtiendo dinero y mejorando su seguridad. Es decir, ya no sólo conocemos los problemas sino que además sabemos que quienes deben solucionarlo ya están manos a la obra.

Además, se nos mostró el proceso por el que se está cerrando el Catálogo Nacional de Infraestructuras Críticas y se nos adelantaron unas pinceladas sobre el contenido del anteproyecto de ley sobre esta materia. Lo cual quiere decir que ya se han detectado las infraestructuras críticas españolas, se han valorado y se está preparando la legislación necesaria. Así que no solamente hay empresas que estén cambiando sus sistemas de seguridad, sino que las administraciones están comenzando a vigilar la seguridad de estas instalaciones especiales y “empujarán” a quienes no hayan comenzado ya su securización

Por otro lado también se habló de las posibilidades de mejora, desde modelos de auditoría específicos para estas instalaciones especiales hasta la resiliencia como paradigma, todo ello basado en las experiencias reales tanto en nuestro país como en otros países europeos. Y por supuesto, la información que seguramente muchos agradecieron, se nos comentaron las posibilidades de financiación de estos proyectos.

Finalmente a todo esto añadiremos otro aspecto positivo en este tema, la anticipación. En contra de uno de los razonamientos más habituales sobre la tecnología (que avanza más rápido que las normas que la delimitan), en este caso todos los agentes implicados se han puesto manos a la obra antes de que la realidad ponga en evidencia la necesidad de su desarrollo. No ha sido necesario que se dé ningún incidente para que ya se haya avanzado en la materia. Es más, se está desarrollando ya dando por supuesto que algún día alguien llegará a saltarse todas las barreras, por lo que se implanta la resiliencia, es decir, que los sistemas sobrevivan a un ataque intentando que no se llegue a provocar impacto alguno más allá de atarear a los responsables de seguridad.

Así pues, pese a que no podamos decir que las infraestructuras críticas sean seguras al 100% (aunque como los ponentes pusieron de manifiesto esto es imposible en todos los casos), podemos asegurar que en el transcurso de los próximos años su situación mejorará en gran medida hasta convertirse posiblemente en los puntos más seguros y con más vías alternativas en el panorama nacional.

Etiquetas: 
Amenazas
Ciberdelito
Empresa
Industria
Artículos relacionados
Red con Zero Trust
INCIBE | 13/12/2022
Beneficios de implantar un modelo Zero Trust en tu empresa
Cartel con el texto black friday
INCIBE | 22/11/2022
Black Friday y Cyber Monday. ¡Mantén tu negocio seguro!
Mano azul saliendo de pantalla de portátil
INCIBE | 02/11/2022
Historia real: una nueva técnica de phishing casi imperceptible, Browser in the Browser