La protección de las infraestructuras críticas es una preocupación generalizada más allá de cualquier frontera. Resulta importante definir qué se considera como infraestructura crítica para que, independientemente del ámbito geográfico, todas las partes interesadas sepan que se refieren a lo mismo, facilitando su identificación y el planteamiento y desarrollo de su seguridad.
Existen múltiples alcances del concepto de infraestructura crítica y, sin desmerecer ninguno de ellos, la definición que se realiza en la legislación vigente en España (Ley 08/2011, de 28 de abril) puede resultar útil. Es importante indicar que esta definición establece que las infraestructuras críticas se diferencian de las estratégicas por la imposibilidad de ofrecer soluciones alternativas en caso de perturbación. Este hecho implica que todo aquello que contemplemos para una infraestructura crítica podrá ser de aplicación a una infraestructura estratégica.
Por este motivo, garantizar su seguridad mediante la identificación de amenazas –técnicas y naturales– y vulnerabilidades, así como neutralizar ataques y adoptar una actitud proactiva en términos de prevención, es una responsabilidad conjunta de las administraciones y de los operadores encargados de hacer realidad el funcionamiento de los servicios esenciales. Este planteamiento puede considerarse común para cualquier parte del planeta. Sin embargo, la aplicación práctica de las soluciones de seguridad para infraestructuras críticas tiene que ser particularizada en cada país.
Aunque la protección de las infraestructuras críticas debe partir de ese enfoque local, la experiencia adquirida en determinadas zonas geográficas puede ser un punto de partida excelente para trasladar ese conocimiento a otros mercados. Este hecho posibilita aplicar las mejores prácticas conocidas y, en definitiva, generar un ciclo de mejora continua; una filosofía común y extendida hoy en día, pero que es de mayor importancia cuando nos referimos a la seguridad debido a la rápida evolución de las amenazas y los riesgos a los que está sometida.
En el contexto actual, en el que hay que conjugar factores tan diversos como la necesidad real de hacer frente a las amenazas y vulnerabilidades, al tiempo que se maximiza la eficiencia de los recursos en materia de seguridad, las soluciones tecnológicas adquieren una nueva dimensión. Es esta la oportunidad que están trabajando las empresas de corte tecnológico. Desde el punto de vista del operador, son un aliado con capacidad de ofrecer soluciones que, junto a los imprescindibles servicios de vigilancia privada y otras medidas organizativas, le permiten diseñar e implementar un sistema de seguridad integral.
Sin embargo, el conocimiento y la capacidad tecnológica no son suficientes, ya que la evolución tecnológica a la que están sometidos los sistemas de seguridad está redefiniendo el escenario de su aplicación. Uno de los factores de éxito para el desarrollo de medidas globales y eficaces de seguridad es promover el entendimiento y comunicación de los principales agentes involucrados: los departamentos de Seguridad y de Tecnologías de la Información (TI), cuyos objetivos fundamentales en términos de contribución al negocio son equivalentes pero en el uso e implantación de los medios para ello, no. Desde el punto de vista de la seguridad, es deseable esa convergencia con el objetivo de garantizar la continuidad del servicio esencial que ofrecen estas infraestructuras.
Sólo así, lejos de convertirse en un freno para el negocio del operador crítico, la seguridad se convertirá en un motor, evitando la interrupción no deseada de los servicios y suministros de las infraestructuras críticas.
Desde el punto de vista teórico, y bajo una perspectiva tecnológica, la convergencia de los departamentos de Seguridad y de TI cobra total sentido. Sin embargo, no se debe caer en el error de no profundizar más allá de la teoría. Es necesario evaluar o identificar sus consecuencias, teniendo en cuenta que nos referimos a entornos que se encuentran, muchos de ellos, en producción.
Centrándonos únicamente en los sistemas de seguridad electrónica, este hecho generalmente desencadena la necesidad de realizar una evaluación previa que permita identificar los sistemas existentes y su integrabilidad con nuevas tecnologías. Esta evaluación no debe realizarse únicamente desde un punto de vista funcional o de mejora en la operación de la seguridad física/ electrónica, sino también de su integrabilidad dentro de la infraestructura TI disponible y su coexistencia con el resto de servicios. En este punto, desde la perspectiva de los sistemas de seguridad electrónica, debemos empezar a interiorizar el concepto de seguridad lógica aplicada, que no es más que contemplar desde el diseño las nuevas amenazas y vulnerabilidades que se añaden para que sea posible implementar y mantener los mecanismos de ciberseguridad necesarios y compatibles con la infraestructura TI existente.
Volviendo a centrar el argumento sobre los sistemas de seguridad y desde la perspectiva del servicio, la definición y desarrollo de una solución de seguridad específica que reúna seguridad física/electrónica y ciberseguridad no es suficiente. Una vez se hayan identificado los riesgos, así como su posible evolución, las medidas técnicas de seguridad no pueden delegarse únicamente en un producto o conjunto de tecnologías específicas. El deber de las empresas tecnológicas es la provisión de soluciones donde los servicios cobran una importancia todavía mayor por el aumento de la exposición ante potenciales ataques por mala praxis en el diseño, implementación y/o mantenimiento de las soluciones, en la mayoría de las ocasiones sin ser conscientes de ello.
La provisión de estos servicios en infraestructuras críticas debe fundamentarse en un concepto de seguridad por capas similar al concepto tradicional de seguridad en profundidad, de modo que se tenga en cuenta la infraestructura TI sobre la que residen tanto los sistemas que contribuyen al desarrollo productivo como los de la propia operación de seguridad, fundamentales en el proceso de toma de decisiones ante una situación de crisis.
Casos de éxito
- En Colombia, Ikusi ha ejecutado un proyecto de seguridad pública en el departamento de Huila, en el suroeste del país. El proyecto ha consistido en el diseño e implementación de un Centro de Gestión de Información (CGI), ubicado en la capital, desde el que se puede operar y supervisar el sistema de videovigilancia distribuido en varios municipios de su geografía, también incluido en el alcance del proyecto. La implementación de este centro de gestión de información permite a las diferentes autoridades públicas contar con información veraz en tiempo real y de manera centralizada, lo que redunda en la seguridad de los ciudadanos.
- En cuanto a México, Ikusi ha llevado a cabo un proyecto de implementación de una plataforma de gestión de seguridad integral que permite la administración de la seguridad, en tiempo real, de múltiples instalaciones de Pemex distribuidas en diferentes puntos geográficos del país, asegurando el funcionamiento óptimo del conjunto de sistemas y subsistemas de seguridad electrónica.