Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Alberto Bellé, Research Manager de IDC Research

El enfoque estratégico de la protección de las IC

El objetivo de una estrategia de protección de infraestructuras críticas es la continuidad del funcionamiento de los servicios esenciales de un país, asegurando su prestación a los ciudadanos así como a empresas, y gobiernos.

Esta estrategia debe de ser impulsada por los gobiernos, pero para que funcione es necesaria una colaboración estable entre empresas y gobiernos. En primer lugar, que los propietarios y operadores de las infraestructuras críticas gestionen de forma eficaz y proactiva los riesgos previsibles para la continuidad de sus operaciones. En segundo lugar, facilitar que éstos tengan la capacidad de respuesta adecuada ante los riesgos imprevistos, minimizar el impacto de un evento adverso y habilitarles para gestionar la continuidad de sus operaciones, o bien recuperar los servicios con la máxima rapidez.

Los gobiernos nacionales son los principales responsables de la protección de sus instalaciones críticas. No obstante, en un mundo interconectado, las incidencias en uno de estos entornos pueden tener implicaciones en otros países. En el caso de las tecnologías de la información, las implicaciones pueden ser globales. Por ello, la gestión de infraestructuras críticas tiene una dimensión internacional. Por ejemplo, la Comisión Europea ha desarrollado una estrategia de protección de infraestructuras críticas que contempla un conjunto de acciones multinacionales coordinadas.

A continuación, se describen los pasos del ciclo de protección, desde la identificación de infraestructuras críticas, el análisis de riesgos, la gestión de la información, la creación de soluciones y niveles de protección, la respuesta y la recuperación.

Identificación de IC

Una infraestructura crítica puede definirse como el conjunto de instalaciones físicas, cadenas de suministro, tecnologías de la información, provisión de energía y redes de comunicación que, de ser destruido o no estar disponible durante un período de tiempo, podrían afectar significativamente al bienestar social y económico de un país, su capacidad de defensa o su seguridad nacional.

El primer paso de la estrategia es identificar los activos críticos. Una vez, identificados, se debe determinar su grado de criticidad. Cada gobierno o autoridad competente debe tener una clasificación o escala de criticidad, que va a determinar las políticas de protección de dicho activo.

La Comisión Europea ha desarrollado el Programa de la Unión Europea para la Protección Europea de Infraestructuras Críticas para la energía, el transporte y las finanzas, que se centra en varias áreas:

Ω La creación de un procedimiento para identificar y evaluar las infraestructuras críticas europeas y aprender cómo protegerlas.

Ω Medidas para fomentar la protección de estas infraestructuras, incluyendo la creación de grupos de expertos en la UE así como la creación de la Red de alertas en infraestructuras críticas (CIWIN), un sistema de comunicación basado en Internet para el intercambio de información, estudios y mejores prácticas.

Ω La financiación de proyectos de protección de infraestructuras críticas, abarcando una variedad de temas, como los sistemas de alerta en el intercambio nacional y europeo de información, el desarrollo de métodos para evaluar la interdependencia entre las TIC y las redes de transporte de electricidad, y la creación de una manual de "buenas prácticas" para los responsables políticos.

Ω La cooperación internacional con el Espacio Económico Europeo (EEE) y países de la Asociación Europea de Libre Comercio (AELC), así como reuniones de expertos entre la UE, EEUU y Canadá.

Análisis de riesgos

En primer lugar, es necesario identificar en detalle qué partes especiales de la infraestructura representan el activo crítico. Después, es necesario realizar un análisis exhaustivo de riesgos, que incluya no solamente el activo y sus vulnerabilidades, sino su cadena de valor, su entorno, sus interdependencias con otros elementos y las posibles consecuencias de un evento adverso. Este análisis debe realizarse de forma continua.

Tras este análisis, es necesario determinar el nivel de riesgo, de forma que, al combinarlo con el nivel de criticidad de la infraestructura, genere una serie de acciones y políticas para proteger su seguridad.

Un caso particularmente importante a tener en cuenta son las infraestructuras tradicionales. Estos activos plantean una serie de problemas de seguridad, tanto para los gobiernos como para las organizaciones que los explotan u operan comercialmente. En la mayoría de los casos, fueron construidos de acuerdo con los estándares de seguridad de hace décadas, sin tener en cuenta los riesgos actuales, y tienen una gran cantidad de vulnerabilidades. Además, la destrucción o los daños en una pequeña proporción de estas infraestructuras pueden causar consecuencias económicas y sociales graves.

Finalmente, ante la economía interconectada de la que formamos parte, es particularmente importante entender las relaciones causa-efecto, así como las consecuencias en cascada de un evento adverso a nivel internacional.

Inteligencia y gestión de información

Es necesario compartir inteligencia e información sobre amenazas y vulnerabilidades de forma continua entre los diferentes actores. Para que este intercambio funcione, son necesarios acuerdos y protocolos estables entre industria y gobierno.

La concienciación del ciudadano y del empleado tiene gran importancia a la hora de detectar situaciones anómalas que puedan conllevar riesgos y facilitar una acción rápida.

Soluciones y niveles de protección

La seguridad total requiere un coste infinito. Por ello, la gestión de recursos, que van a ser siempre limitados, y ubicarlos donde son más necesarios es de gran importancia. Dado que las amenazas actuales tienen un elevado nivel de complejidad y variedad, es recomendable establecer una seguridad por niveles, en función de los criterios anteriores.

Una solución de protección requiere una cobertura de todas las posibles amenazas, y generalmente el uso de una combinación de productos y servicios. Los diferentes niveles de protección pueden entregarse mediante una combinación de productos y capacidades, idealmente orquestadas bajo un único sistema. Esta orquestación permite asegurar una acción coordinada, y facilita la automatización de las acciones.

Las soluciones de protección necesitan ser evaluadas y auditadas de forma periódica. Asimismo, es necesario evaluar su coste tanto de implementación como de mantenimiento.

Para ver el artículo pinche aquí.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual