Seguritecnia 494

Ciberseguridad seguridad física con un coste de muchos miles de euros, que protegen activos va- lorados quizás en millones de euros, pue- dan quedar desactivados por no haber realizado en su momento un adecuado y completo análisis que contemple los ries- gos del mundo físico y del mundo cíber. Hace 20 años, la gran mayoría de los sistemas no estaban conectados fuera del área de la seguridad de las orga- nizaciones y, por lo tanto, no eran tan vulnerables a muchas de las amenazas actuales. La tecnología IP, que es la base de las comunicaciones y la interoperabi- lidad de los sistemas tecnológicos mo- dernos, fue diseñada en los años sesenta para interconectar unos pocos equipos, generalmente grandes ordenadores de centros de investigación militar o univer- sidades, pero en unas pocas décadas se ha extendido al corazón de la gestión de todos los sistemas complejos del mundo. Hoy en día, los protocolos de comu- nicaciones que interconexionan las mo- dernas cámaras de videovigilancia con potente analítica de vídeo, los lectores de acceso inteligentes, las centrales de incendio o los lectores de matrícula con, por ejemplo, los centros de control que los supervisan, utilizan el mismo len- guaje de comunicación que un sencillo móvil cuando consulta una página web. Dando soporte a estos servicios operan unas redes de comunicaciones basadas en electrónica de red ( switches , firewalls y routers ) con enlaces de cobre, fibra óp- tica o vía satélite, en los que se entremez- cla la información de las conversaciones telefónicas con los datos de la mensajería instantánea de los móviles, y estos con las imágenes de las cámaras de videovi- gilancia y la información de los sistemas de control de un edificio. La persona con responsabilidad de garantizar la seguridad física de unas instalaciones o que actualmente diseña o gestiona un sistema de este tipo debe conocer los principios básicos de dicha tecnología para saber cómo mitigar los riesgos. No es la intención de este artículo dar una formación minuciosa al respecto, sino más bien abrir los ojos ante unos riesgos existentes y que deben tenerse en cuenta con urgencia. Por mi expe- riencia, entiendo que es mucho más im- portante que se genere una conciencia de la necesidad de trabajar en equipos multidisciplinares con personal experto en cada área y aprovechando muchos de los recursos, conocimiento y sinergias existentes ya en el área de sistemas de la empresa, en vez de reinventar la rueda. Recomendaciones Para poder dotar de una adecuada políti- ca de ciberseguridad a las instalaciones de sistemas de seguridad física, aconse- jo llevar a cabo las siguientes tareas: Realizar un detallado catálogo de ac- tivos, que recoja aquellos elementos susceptibles de presentar ciberame- nazas que puedan vulnerarlos. Identificar y valorar las amenazas que puedan afectar a dichos activos. Validar el impacto que supondría la degradación de los activos, así como la probabilidad de su ocurrencia. Elaborar, en base a la información anterior, un pormenorizado análisis de riesgos con el enfoque de la ciberse- guridad. Definir e implementar los diferentes controles o medidas de mitigación de dichos riesgos. Podría parecer que la parte impor- tante de estas labores es únicamente la implementación de las medidas con- cretas para afrontar los ciberriesgos de- tectados, pero realmente es vital que se dedique el tiempo suficiente y de calidad para el análisis y la evaluación de los pasos anteriores, con objeto de que las medidas propuesta sean las adecuadas. No existe numerosa bibliografía a este respecto, pero deseo hacer mención especial a la Guía de Buenas Prácticas de Ciberseguridad en Proyectos de Se- guridad Físicas, publicada por la asocia- ción AEINSE en 2021 (en cuyo grupo de trabajo tuve el orgullo de participar jun- to a otros profesionales) y a la Guía de Buenas Prácticas para la Seguridad en el Control de Procesos y Scada (CCN-STIC- 480A), publicada por el CNN en 2010, que si bien está enfocada a los sistemas SCADA puede servir como referencia en muchas de las medidas propuestas. / Marzo-Abril 2022 87