Estamos en una etapa de revolución industrial y social de la mano de una revolución de la tecnología y de las infraestructuras de comunicaciones, la cual propone una enorme capacidad de acceso a la información y a los servicios tanto para empresas como para ciudadanos. Revolución que está acompañada por tecnologías disruptivas como redes 5G, Internet de las Cosas, ciberseguridad o servicios en la nube, entre otros, que se enmarcan en el paradigma de la Industria 4.0.
El sector empresarial y las instituciones u organismos públicos que se consideran como infraestructuras críticas o servicios esenciales no son ajenos a este cambio tecnológico. No obstante, hay que tener en cuenta que en la mayoría de los casos actuarán como usuarios de dichas infraestructuras y servicios. Aunque se exceptúan las compañías que sean propietarias de las mismas, como por ejemplo carriers, para los cuales la infraestructura TIC es en sí misma uno de los principales activos críticos.
En Europa, desde el momento en el que los Estados Miembros han ido identificando riesgos y puntos vulnerables a escala europea y nacional, se han ido publicado diferentes evaluaciones sobre dichos riesgos que tendremos que extender a cada uno de los sectores estratégicos y compañías que configuran la malla de infraestructuras críticas y servicios esenciales, como pueden ser los que afectan a la seguridad nacional o al conjunto de la economía de un país (defensa, energía, aeroespacial, nuclear, administración, financiero, transporte, alimentación, salud, etc.).
El objetivo fundamental de la protección de infraestructuras críticas y servicios esenciales es el desarrollo, implantación o mejora de las medidas de seguridad oportunas, tanto en su vertiente física como lógica o cibernética, que tienen que acometer los operadores propietarios o responsables de su gestión para poder garantizar un nivel de protección adecuado. Por lo tanto, debemos dotarnos de medios que permitan desempeñar las actividades de prevención, monitorización y mejora de la resistencia de estas compañías y que, además, posibiliten su recuperación ante acciones internas o externas que sean hostiles o inesperadas y que puedan afectar al correcto funcionamiento de las actividades esenciales.
Todos estos medios se aplican desde diferentes perspectivas, tanto para la tecnología (tangible) como para los procesos diseñados para gestionar el riesgo. Y, por supuesto, desde el punto de vista de las personas, ya que con diferentes roles planifican, ejecutan y sobre todo supervisan las operaciones y la seguridad de estas infraestructuras. Por tanto, son activos intangibles que, sin duda, forman parte del patrimonio a proteger por las compañías.
Control
Los sistemas y la tecnología implantados y administrados de forma adecuada van a ayudar a controlar las actividades mencionadas anteriormente: seguridad física o electrónica y medias de ciberseguridad, entre otros sistemas. Pero hay que ser conscientes de que los incidentes o accidentes pueden y suelen tener consecuencias mayores sobre las personas. También desde el punto de vista legal, los afectados van a ser las personas e instituciones, tanto usuarios de los servicios como de nuestro propio staff.
Por todos estos argumentos y por el estado del arte, es muy importante que cualquier organización, bajo el ámbito de las infraestructuras críticas y los servicios esenciales, cuente para sus operaciones con un control exhaustivo de todas las partes implicadas en la infraestructura. Y que, además, disponga de la tecnología necesaria para respaldar las acciones humanas llevadas a cabo durante el proceso de toma de decisiones en el transcurso de un incidente de seguridad.
Cada vez va a ser más elevado el grado de dependencia de las infraestructuras críticas de las tecnologías telemáticas
¿A qué acciones humanas nos referimos? En general las podemos categorizar en dos grupos principales. El primero de ellos incluye las que se realizan mediante cualquier tipo de interfaz hombre-máquina interactuando con un sistema de forma activa (por ejemplo, la voz) o pasiva (como el vídeo). El segundo agrupa las acciones basadas en documentos, como por ejemplo planes de contingencia aprobados y procedimientos asociados, que diseñan tanto la operación a seguir y la información a intercambiar como los recursos técnicos y humanos a utilizar.
Para ambos grupos es recomendable disponer de sistemas que permitan registrar las actuaciones realizadas por el personal, entendiendo por registro la generación de un soporte digital que asegure, si se necesita, la reconstrucción de cualquier incidente con una misma base temporal y los principios básicos de seguridad (acceso a la información, trazabilidad, integridad, autenticidad). Para entenderlo con casos de tecnología base que puede tener cualquier organización, podría ser el registro de control de acceso a unas instalaciones o un sistema de grabación de CCTV.
Registro
No obstante, para dar soporte al desempeño completo de las personas durante un incidente en el sentido más extenso, las infraestructuras críticas y los servicios esenciales también pueden dotarse de tecnologías especializadas para registrar y generar el soporte digital durante la utilización por el personal de los diferentes interfaces hombre-máquina disponibles (vídeo, teléfono, radio, pantallas, teclados…), así como para registrar cada paso ejecutado de los procesos asociados y la información intercambiada durante la activación de los diferentes procedimientos. Como ejemplo, si desde una consola de operaciones se produce una modificación de un parámetro A a B, no solo se debe registrar el cambio del valor del parámetro y su almacenamiento correcto en el sistema, control que es posible una vez que ya esté implantado, sino que sería recomendable registrar todos los pasos dados o las acciones realizadas por el operador en los interfaces que haya utilizado para completar el cambio del parámetro. Seguramente haya utilizado algún software en una pantalla, accionado un teclado, ratón u otros dispositivos. Si activamos una orden de mando por un sistema de comunicaciones, igualmente sería recomendable disponer del registro de dicha acción.
En algunos sectores críticos, como ATC (Air Traffic Control), esto ya se viene realizando de forma generalizada. El motivo es que todas las interacciones de cualquier tipo en tiempo real que realizan los controladores desde una torre de control, como pueden ser las comunicaciones de voz aire-tierra o tierra-tierra y las visualizaciones y acciones en todos los sistemas (por ejemplo, radar, meteo, crisis), se registran con sistemas específicos.
Según lo expuesto, el soporte y el registro de las acciones realizadas por el personal durante los incidentes de seguridad o las operaciones puede ser extensible al conjunto de compañías definidas como infraestructuras críticas o servicios esenciales de cualquier otro sector de actividad, como ocurre en el caso expuesto de ATC.
Si se dispone de estos registros de acciones del personal durante los incidentes de seguridad o durante las operaciones habituales se va a mejorar en seguridad. Además, pueden ser de gran utilidad por diferentes motivos. Entre otros, frente a auditorías internas o externas, para capacitar al personal, evaluar el impacto, determinar los puntos críticos, cumplir las normativas y el compliance (como la ISO 27001 u otras), mejorar en los procesos definidos o cumplir los requerimientos legales de las autoridades o de organismos reguladores en su caso. Es cierto que algunas compañías ya cuentan con algunos de estos sistemas de registro, pero en ocasiones no se definen como parte fundamental del proceso integral de la seguridad.
Como se indicaba al inicio, cada vez va a ser más elevado el grado de dependencia de dichas infraestructuras críticas de las tecnologías telemáticas. Por tanto, se debe garantizar la operación desde la seguridad en un concepto amplio, lo que incluye el conocimiento del factor humano a través del registro digital de sus acciones.
