Los sistemas de seguridad están cada vez más conectados a las redes informáticas con todos los beneficios que ello conlleva; sin embargo, esto también los ha expuesto a las amenazas de los ciberataques. La realidad nos indica que, a pesar de que la concienciación sobre este problema en el sector está creciendo, tradicionalmente no se ha tenido en cuenta a la hora de diseñar, instalar y mantener los sistemas de seguridad electrónica, especialmente en aquellas instalaciones que se llevaron a cabo hace algunos años.
A su vez, igual que sucedió cuando comenzó la incorporación de los sistemas de seguridad a las redes IT, las empresas del sector se encuentran con la necesidad de actuar en un ámbito que resulta muy nuevo y para el que no hay guías ni formación específicas.
Es por ello que desde AEINSE (Asociación Española de Ingenieros de Seguridad) se decidió dar un paso adelante conformando el grupo de trabajo de Ciberseguridad en los Sistemas de Seguridad Física, que tiene como objetivo acometer los retos que se derivan de las ciberamenazas en nuestro sector de una manera práctica, transversal e independiente.
Como primer resultado de dicho grupo de trabajo, AEINSE ha publicado la Guía de buenas prácticas de ciberseguridad en proyectos de seguridad física, un documento de 32 páginas que aborda, a través de sus cinco capítulos –de los cuales el primero es una introducción al reto antes descrito–, cómo afrontar la ciberseguridad en los proyectos, cómo analizar el riesgo IT en los sistemas de seguridad electrónica y cómo implementar una arquitectura segura. De ahí, finalmente recoge una reflexión sobre los nuevos servicios de seguridad que serán necesarios para llevar a cabo el estudio, la implementación y el mantenimiento de los sistemas de seguridad conectados a la red IT.
La planificación
La planificaciónHabitualmente, a la hora de llevar a cabo un plan de seguridad integral, se efectúa un análisis del entorno para evaluar las amenazas y vulnerabilidades, que darán como resultado el mapa de riesgos priorizados tanto para la seguridad física como de la información. Es entonces cuando se proponen las medidas de seguridad física activas y pasivas, así como de la información, que permitirán llevar estos riesgos a niveles aceptables por la dirección de la empresa. El problema está en que si se deciden las medidas para proteger los sistemas de la información antes de saber qué equipos de seguridad electrónica se van a utilizar, estaremos ignorando las amenazas IT que puedan surgir a raíz de su implementación, lo cual supone un riesgo no tanto para el elemento de seguridad electrónica en sí, sino para aquello que debe proteger. El objetivo del segundo capítulo de la guía no es más que proponer una actualización de la manera de proceder que incluya también el análisis de riesgos en los sistemas de seguridad física.
El tercer capítulo trata con mayor detalle cuáles son los procedimientos que se suelen utilizar a la hora de hacer un análisis de riesgos IT con un enfoque orientado a los sistemas de seguridad electrónica. Estos equipos tienen mayor similitud con el hardware y software del entorno de la gestión industrial (también denominados OT, siglas de Operational Technology) y por eso el documento ha utilizado como referencia las guías CCN-STIC-480 de Seguridad en el control de procesos y SCADA, publicadas por el CCN-CERT (Centro Criptográfico Nacional-Computer Emergency Response Team). A su vez, a la hora de plantear la catalogación de activos y amenazas, se ha propuesto una adaptación de MAGERIT v3.0, también publicado por el CCN-CERT. Esto es así porque, desde el grupo de trabajo, se consideró que lo más práctico y efectivo era poder alinear de la mejor manera posible la forma de trabajar en los proyectos de seguridad electrónica con los estándares utilizados en los departamentos de seguridad OT e IT.
Al igual que sucedió con la incorporación de los sistemas de seguridad de las redes IT, las empresas se encuentran hoy con la necesidad de actuar en un ámbito que les resulta nuevo
En el siguiente capítulo se proponen las medidas de control a aplicar, primero a nivel organizativo y después a nivel de producto, frente a algunos de los ciberriesgos comunes identificados en los sistemas de seguridad electrónica. De esta manera, se establecen una serie de buenas prácticas que podrían servir como punto de partida para la adopción de medidas más específicas en el sistema de seguridad electrónica concreto sobre el que vaya a actuar el usuario de la guía.
Llegados a este punto, cabe remarcar que, si bien los fabricantes de productos cada vez implementan más elementos de ciberseguridad en sus equipos, el documento contempla no solo la necesidad de comprobar que estos estén disponibles para hacer un uso adecuado de ellos, sino que también propone la aplicación de medidas a nivel de sistema, es decir, de los equipos interconectados entre sí y a la red.
Por último, la guía explora las oportunidades que se pueden generar para las empresas de seguridad a partir de esta nueva necesidad, proponiendo nuevos servicios en los ámbitos de la ingeniería y consultoría de seguridad, la instalación y el mantenimiento de los sistemas de seguridad electrónica.
La Guía AEINSE 10/21 de buenas prácticas de ciberseguridad en proyectos de seguridad física se ha concebido como un documento que ayude no solo a concienciar sobre la necesidad de aplicar medidas de ciberseguridad en los proyectos de seguridad física, sino también para dar los primeros pasos para poder acometerlas en proyectos nuevos o existentes. Desde la asociación se ha trabajado para que pueda ser aplicada por todos los actores del ámbito de la seguridad, de manera que resulte útil para usuarios finales, consultores, proyectistas, ingenieros, instaladores y mantenedores de sistemas de seguridad electrónica.
La guía está disponible para descargar de manera gratuita en la página web de AEINSE: www.aeinse.es.
