La seguridad en infraestructuras críticas, una realidad con carácter global

La protección de las infraestruc­turas críticas es una preocupa­ción generalizada más allá de cualquier frontera. Resulta importante definir qué se considera como infraes­tructura crítica para que, independien­temente del ámbito geográfico, todas las partes interesadas sepan que se re­fieren a lo mismo, facilitando su identi­ficación y el planteamiento y desarrollo de su seguridad.

Existen múltiples alcances del con­cepto de infraestructura crítica y, sin desmerecer ninguno de ellos, la defini­ción que se realiza en la legislación vi­gente en España (Ley 08/2011, de 28 de abril) puede resultar útil. Es impor­tante indicar que esta definición esta­blece que las infraestructuras críticas se diferencian de las estratégicas por la im­posibilidad de ofrecer soluciones alter­nativas en caso de perturbación. Este hecho implica que todo aquello que contemplemos para una infraestructura crítica podrá ser de aplicación a una in­fraestructura estratégica.

Por este motivo, garantizar su seguri­dad mediante la identificación de ame­nazas –técnicas y naturales– y vulnera­bilidades, así como neutralizar ataques y adoptar una actitud proactiva en tér­minos de prevención, es una responsa­bilidad conjunta de las administracio­nes y de los operadores encargados de hacer realidad el funcionamiento de los servicios esenciales. Este planteamiento puede considerarse común para cual­quier parte del planeta. Sin embargo, la aplicación práctica de las soluciones de seguridad para infraestructuras críticas tiene que ser particularizada en cada país.

Aunque la protección de las infraes­tructuras críticas debe partir de ese en­foque local, la experiencia adquirida en determinadas zonas geográficas puede ser un punto de partida excelente para trasladar ese conocimiento a otros mer­cados. Este hecho posibilita aplicar las mejores prácticas conocidas y, en defi­nitiva, generar un ciclo de mejora con­tinua; una filosofía común y extendida hoy en día, pero que es de mayor im­portancia cuando nos referimos a la se­guridad debido a la rápida evolución de las amenazas y los riesgos a los que está sometida.

En el contexto actual, en el que hay que conjugar factores tan diversos como la necesidad real de hacer frente a las ame­nazas y vulnerabilidades, al tiempo que se maximiza la eficiencia de los recur­sos en materia de seguridad, las solucio­nes tecnológicas adquieren una nueva dimensión. Es esta la oportunidad que están trabajando las empresas de corte tecnológico. Desde el punto de vista del operador, son un aliado con capacidad de ofrecer soluciones que, junto a los im­prescindibles servicios de vigilancia pri­vada y otras medidas organizativas, le permiten diseñar e implementar un sis­tema de seguridad integral.

Sin embargo, el conocimiento y la ca­pacidad tecnológica no son suficien­tes, ya que la evolución tecnológica a la que están sometidos los sistemas de se­guridad está redefiniendo el escenario de su aplicación. Uno de los factores de éxito para el desarrollo de medidas glo­bales y eficaces de seguridad es promo­ver el entendimiento y comunicación de los principales agentes involucra­dos: los departamentos de Seguridad y de Tecnologías de la Información (TI), cuyos objetivos fundamentales en tér­minos de contribución al negocio son equivalentes pero en el uso e implanta­ción de los medios para ello, no. Desde el punto de vista de la seguridad, es de­seable esa convergencia con el objetivo de garantizar la continuidad del servi­cio esencial que ofrecen estas infraes­tructuras.

Sólo así, lejos de convertirse en un freno para el negocio del operador crítico, la seguridad se convertirá en un motor, evitando la interrupción no de­seada de los servicios y suministros de las infraestructuras críticas.

Desde el punto de vista teórico, y bajo una perspectiva tecnológica, la conver­gencia de los departamentos de Seguri­dad y de TI cobra total sentido. Sin em­bargo, no se debe caer en el error de no profundizar más allá de la teoría. Es ne­cesario evaluar o identificar sus conse­cuencias, teniendo en cuenta que nos referimos a entornos que se encuen­tran, muchos de ellos, en producción.

Centrándonos únicamente en los sistemas de seguridad electrónica, este hecho generalmente desencadena la necesidad de realizar una evaluación previa que permita identificar los siste­mas existentes y su integrabilidad con nuevas tecnologías. Esta evaluación no debe realizarse únicamente desde un punto de vista funcional o de mejora en la operación de la seguridad física/ electrónica, sino también de su inte­grabilidad dentro de la infraestructura TI disponible y su coexistencia con el resto de servicios. En este punto, desde la perspectiva de los sistemas de se­guridad electrónica, debemos empe­zar a interiorizar el concepto de seguri­dad lógica aplicada, que no es más que contemplar desde el diseño las nue­vas amenazas y vulnerabilidades que se añaden para que sea posible imple­mentar y mantener los mecanismos de ciberseguridad necesarios y compati­bles con la infraestructura TI existente.

Volviendo a centrar el argumento so­bre los sistemas de seguridad y desde la perspectiva del servicio, la definición y desarrollo de una solución de seguri­dad específica que reúna seguridad fí­sica/electrónica y ciberseguridad no es suficiente. Una vez se hayan identificado los riesgos, así como su posible evolu­ción, las medidas técnicas de seguridad no pueden delegarse únicamente en un producto o conjunto de tecnologías es­pecíficas. El deber de las empresas tec­nológicas es la provisión de soluciones donde los servicios cobran una impor­tancia todavía mayor por el aumento de la exposición ante potenciales ataques por mala praxis en el diseño, implemen­tación y/o mantenimiento de las solucio­nes, en la mayoría de las ocasiones sin ser conscientes de ello.

La provisión de estos servicios en in­fraestructuras críticas debe fundamen­tarse en un concepto de seguridad por capas similar al concepto tradicional de seguridad en profundidad, de modo que se tenga en cuenta la infraestruc­tura TI sobre la que residen tanto los sistemas que contribuyen al desarrollo productivo como los de la propia oper­ación de seguridad, fundamentales en el proceso de toma de decisiones ante una situación de crisis.

Casos de éxito

• En Colombia, Ikusi ha ejecutado un proyecto de seguridad pública en el departamento de Huila, en el suroeste del país. El proyecto ha consistido en el diseño e implementación de un Centro de Gestión de Información (CGI), ubicado en la capital, desde el que se puede operar y supervisar el sistema de videovigilancia distribuido en varios municipios de su geogra­fía, también incluido en el alcance del proyecto. La implementación de este centro de gestión de información per­mite a las diferentes autoridades pú­blicas contar con información veraz en tiempo real y de manera centrali­zada, lo que redunda en la seguridad de los ciudadanos.
• En cuanto a México, Ikusi ha lle­vado a cabo un proyecto de imple­mentación de una plataforma de ges­tión de seguridad integral que per­mite la administración de la seguridad, en tiempo real, de múltiples instalacio­nes de Pemex distribuidas en diferen­tes puntos geográficos del país, asegu­rando el funcionamiento óptimo del conjunto de sistemas y subsistemas de seguridad electrónica.