Cabecera Home
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

El show de la seguridad de la información y los sistemas de seguridad

Enrique Polanco, Socio director de Global Technology 4E

Raquel García Cabañero, Responsable de Cumplimiento de Global Technology 4E

16/06/2017
La innovación está al servicio de las nuevas tecnologías, jugando la seguridad física un importante papel en la protección de los sistemas cíber.

El Show de Truman (dirigida por Peter Weir en 1998 y con Jim Carrey y Ed Harris como actores principales) es, como se dice de toda ficción, una pequeña parte de lo que puede ser la dura realidad. Truman se sentía libre y seguro, estando tranquilo en la ignorancia de que otros ejercían sobre él el enorme poder que otorga el control de la información sobre todo su entorno vital y que es capaz de modificar su percepción.

La idea de una vida de ficción paralela a la realidad no resulta nada descabellada ni innovadora. Tampoco es singular la dualidad de poder elegir entre vivir como simples actores o adoptar un papel de liderazgo dentro de la sociedad. En esta línea, nuestro propósito es enfocar la creciente preocupación por la seguridad integral y la aparición de escenarios, en los que la amenaza es multidisciplinar y con una enorme capacidad de mimetizarse en el ciberespacio, consiguiendo que nos olvidemos de que existe, mientras bebe de nuestra información hasta el momento de pegar el zarpazo definitivo o simplemente utilizando esa información en beneficio de sus tomas de decisiones. Como la leona de la imagen, es difícil percibir la amenaza encubierta y expectante capaz de abrir brecha en cualquier momento en nuestras defensas.

Hasta hace no mucho tiempo, al igual que Truman, no sabíamos que estábamos siendo vigilados tan de cerca y todas nuestras actividades estaban siendo monitorizadas para poder interactuar sobre nosotros y nuestras decisiones cuando “ellos” lo estimaran conveniente. Sí que teníamos la clara percepción de que nuestra ciberinformación era altamente vulnerable y por ello nos hemos estado preocupando bastante de protegerla. Nos hemos estado centrando en mantener la confidencialidad, integridad y disponibilidad de nuestros activos informáticos, pero hemos dejado un poco de lado la enorme dependencia que los sistemas de seguridad física tienen de los sistemas informáticos. No se ha dado suficiente importancia a la gran vulnerabilidad que supone la comunicación de nuestros sensores de todo tipo –vallado sensorizado, cámaras, cortinas IR, microondas, detectores de incendio, controles de acceso, etc.– basados en comunicaciones cíber y cuya seguridad puede quedarse coja en el momento de solaparse las responsabilidades entre dos mundos que no conozcan bien las capacidades y necesidades tecnológicas del otro.

¿Cómo es que alguien aún se puede extrañar de que todas las conexiones de sistemas tecnológicos a un CCV deban estar regidas por los más estrictos parámetros de ciberseguridad? ¿Cómo podemos dudar de que a las empresas de seguridad homologadas para estas conexiones se les pueda exigir un mínimo conocimiento en esta disciplina? Hoy día van apareciendo con cuentagotas estas exigencias en algunas ofertas y licitaciones (lo que no siempre ha sido bien recibido por quienes tienen sus procedimientos algo desactualizaos), pero esperamos, y estamos casi seguros, que la evolución y desarrollo de la normativa de seguridad tomará cartas en el asunto y regule como preceptivas las buenas prácticas que el mundo cíber puede aportar a la seguridad global. Una de estas buenas prácticas podría ser, sin duda, obtener la certificación de la ISO 27001 por “físicos” y que los “lógicos” acrediten conocer la tecnología cíber integrada en los dispositivos antes comentados y que puedan implementar un sistema realmente seguro al instalar sistemas susceptibles de ser atacados por ambas amenazas. Como ya hemos comentado, la lista de estos sistemas es larga y cada vez hay menos dispositivos de seguridad que no dependan de la cibernética, y sistemas TIC (Tecnologías de la Información y la Comunicación) que no tengan algún tipo de vulnerabilidad física.

Normativa

Para reforzar la idea sobre la importancia de todo lo expuesto, es conveniente fijarse en la normativa sobre la Protección de Infraestructuras Críticas, a las que define como “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las administraciones públicas” y para las que indica que “la seguridad física y la ciberseguridad son áreas que deben ser abordadas de forma interrelacionada y con una perspectiva holística de la seguridad. Esto redundará en una visión global de la seguridad, posibilitando el diseño de una estrategia corporativa única y optimizando el conocimiento, los recursos y los equipos”. 

Sin embargo, a veces es difícil discernir dónde acaba lo físico y dónde empieza lo cíber y viceversa, y lo que es muy importante, cuál es el nexo de unión entre ambas y quién es el responsable de su enlace. No olvidemos que los buenos estrategas tratan de introducirse en las defensas enemigas por el punto de menor cohesión.  Es por ello que podemos establecer una relación entre los diferentes conceptos y tipos de seguridad (física y cíber en este caso) y el conjunto de elementos de apoyo que las pueden entrelazar, como pudiera ser la aplicación a rajatabla por todos los actores implicados de los controles contemplados en la norma ISO 27001. Así les pasaba a los personajes de nuestro show que, aunque en un principio se consideran entes independientes, convergen e interactúan dentro de un mismo escenario, donde cualquier vulnerabilidad o fallo de comunicación era inmediatamente explotada por el amigo Christof.

Actor protagonista

Llegados a este punto, tendremos que pensar que el “actor protagonista”, el bueno de la película, debiera ser la convergencia de la seguridad, pero a la que tuviéramos que proporcionarle las armas adecuadas para que tenga alguna posibilidad de ganar. Una buena arma sería esta norma ISO 27001 que tan interesante nos está pareciendo. Incluso podría considerarse algo más que una simple arma; podría ser ese personaje secundario, como el que nos muestra Truman, y que se considera fundamental para dar sentido a la trama. Esta norma es uno de los referentes a nivel nacional e internacional y especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de seguridad de la información, en el contexto en el que se aplique. El alcance de la misma será el seleccionado por la organización, por lo que se puede aplicar tanto a procesos o servicios como incluso a toda una infraestructura de alto nivel. Por ello, sería de gran ayuda si por ejemplo es aplicada en el entorno de la configuración, instalación y conexión de cualquier dispositivo de seguridad tecnológico en un sistema avanzado de mando y control, como los que hoy en día se están implementando en las grandes corporaciones que conciben la seguridad como un activo indispensable para garantizar la continuidad del negocio.

Al referirnos a una norma de carácter internacional, no podemos dejar de fijarnos en el uso que se hace de ella en otros países con cierto nivel tecnológico. En este contexto, podríamos aceptar el nivel propuesto por el World Economic Forum que en su último Global Information Technology Report de 2016 incluye a España en el puesto 34 en el ranking de países con respecto a su capacidad tecnológica en general. Sin embargo, y aunque los rankings basados en conceptos meramente cuantitativos, sin relacionarlos con parámetros tales como la población o número de empresas activas, no reflejen con exactitud la importancia del dato, parece relevante destacar que según los datos de la ISO (International Organization for Standardization) en su informe “Survey of management system standard certificactions 2006-2015”, en el año 2015 España se encontraba en el décimo puesto con respecto al número de certificación ISO 27001 otorgadas. No obstante, el número ha caído levemente en los tres últimos años reseñados.

Para finalizar, y como conclusión, quisiéramos indicar que, aunque esta certificación tiene una enorme aceptación entre las empresas TIC, es en las empresas de seguridad eminentemente física en las que se debe preconizar su implementación en gran escala para mejorar el nivel de integración de todos los elementos y garantizar el mínimo espacio permeable de desconexión, como se comentó más arriba. No obstante, también debiera hacerse un esfuerzo por parte de estas compañías para conocer mejor y facilitar la segura interconexión de estos sistemas. A modo de ejemplos, cualquier servicio de cloud computing necesita de sistemas físicos que los sustente y que deben ser convenientemente seguros; y un sistema antiintrusión, como una cámara de videovigilancia o una valla de seguridad sensorizada, necesita de unas comunicaciones seguras para poder determinar el momento de producirse y la posición exacta de una brecha de seguridad. La innovación está al servicio de las nuevas tecnologías, jugando la seguridad física un importante papel en la protección de los sistemas cíber, siendo la seguridad lógica la llave absoluta para garantizar la confidencialidad, integridad y disponibilidad de la seguridad física. 

Implementar un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 contribuye positivamente a elevar el nivel de seguridad global. Además, cabe destacar que el Centro Nacional de Protección de las Infraestructuras Críticas incluye ésta como uno de los estándares de seguridad recomendables para su implementación en tan importantes infraestructuras.   

Volver