seguritecnia 457

64 SEGURITECNIA Octubre 2018 Protección de Infraestructuras Críticas L os sistemas de seguridad están compuestos por el conjunto de dispositivos, infraestructuras y aplicaciones que permiten gestionar in- formación relativa a la seguridad, de- tectar incidentes, analizarlos, tomar de- cisiones y actuar en consecuencia. Esto incluye desde el visionado de una cá- mara y la identificación de una tarjeta hasta la consecuente apertura de una puerta, pasando por la detección de in- trusos y por muchas otras funciones fundamentales para la seguridad de cualquier instalación. Los sistemas de seguridad de una cierta dimensión están gobernados por lo que se pueden denominar Centros de Control de Seguridad (CCS). Anti- guamente (hace algunas decenas de años), estos CCS recibían y enviaban in- formación a elementos distribuidos: cá- maras de CCTV, controladores de lecto- ras de control de accesos y centrales de detección de intrusión y alarma a través de medios diversos (primeros dos nive- les OSI [ Open System Interconnection ]: las capas físicas y de enlace), con cableados RG11 o RG59 de las cámaras, buses di- versos (a veces propietarios) de control de accesos e intrusión, etc. Reubicar un CCS era un drama téc- nico, fundamentalmente por la comple- jidad que implicaba desplazar/empal- mar físicamente los cableados que lle- gaban hasta la antigua ubicación. Además, las aplicaciones de control de estos subsistemas apenas empe- zaban a permitir la interacción entre ellos, como por ejemplo las alarmas que conmutan cámaras. Actualmente, la capacidad y el al- cance de los CCS son muy superiores, siendo muy parecidos a los sistemas de control industriales: Se basan en redes IP de datos, por lo que la arquitectura de los sistemas ha cambiado drásticamente. Las aplicaciones de control suelen estar superpuestas a sistemas opera- tivos estándares: Windows Server, Li- nux, Unix, etc. Utilizan bases de datos estándares: Oracle, SQL… Tienen comunicaciones con el exte- rior para llevar a cabo un telemante- nimiento, compartir operadores re- motos, importar datos de altas y ba- jas de personal, etc. Siguen una estructura de servidor- cliente. Son multidispositivo y pueden ope- rarse desde navegadores. Amenazas En definitiva, los CCS son unos siste- mas de control convencionales desde un punto de vista técnico, pero su fun- ción principal es la protección física de los activos y las personas mediante los subsistemas que gobierna. Las amenazas que afectan a la dis- ponibilidad del sistema presentan consecuencias muy graves, como por ejemplo seguridad totalmente inope- rativa, la no detección de incendios o intrusiones, la no disponibilidad de Enrique Bilbao / Director técnico de Cuevavaliente Inerco Ciberseguridad de los sistemas de seguridad físicos: un flanco abierto Es urgente auditar los CCS, analizar sus riesgos de ciberseguridad y estudiar el ‘gap’ entre las medidas existentes y las necesarias