No hace falta insistir en que, cuando hablamos de la seguridad en nuestro entorno o en una organización, se deben analizar las dimensiones física y cíber de manera integral y convergente, ¿verdad? Llevamos años insistiendo en este aspecto y confío en que ya haya calado el mensaje lo suficiente.
Sí, es cierto que en los blogs y las revistas de este mundillo el término ciberseguridad sigue apareciendo de forma continua y repetitiva, pero esto es porque, en este campo, al igual que en el resto de las áreas de nuestra sociedad, la transformación digital que estamos sufriendo/disfrutando avanza a pasos mucho más rápidos de los que generalmente las personas podemos asimilar de forma natural.
Por eso hay que seguir haciendo mucha evangelización en relación con la ciberseguridad.
Pocas organizaciones o instituciones serias e importantes han empezado ya a hacer los deberes en esta línea y han dedicado un importante esfuerzo a coordinar a sus responsables de seguridad física y ciberseguridad (o seguridad de la información) para aunar esfuerzos y alinearse en un objetivo común: no importa si la amenaza llega saltando un muro o tratando de vulnerar el router, lo importante es estar preparados y con capacidad suficiente de respuesta.
Cuando necesito explicarle a un cliente la importancia del trabajo común en el área de los riegos ciberfísicos, suelo utilizar dos ejemplos muy claros de la necesidad de que ambos perfiles estén coordinados:
Por una parte, cuando hablamos de seguridad de la información, generalmente nos referimos a datos compuestos de unos y ceros, pero al final se almacenan de forma magnética en servidores y discos duros físicos.
Estos equipos electrónicos, junto con otros muchos elementos de electrónica de red, se han de alojar en recintos físicamente seguros que son vulnerables a una serie de riesgos de seguridad física.
Por otro lado, los sistemas que nos garantizan la seguridad física en nuestro entorno, como las cámaras de videovigilancia, los controles de acceso o los elementos de detección de intrusión, están interconectados a través de redes de comunicaciones basadas en tecnología IP, que responden a los mismos principios que los sistemas de información antes descritos y que, por lo tanto, son igualmente vulnerables ante una serie de ciberriesgos.
Con toda seguridad, el hecho de proteger el acceso y supervisar lo que ocurre, a nivel físico, en un recinto que alberga servidores y sistemas de almacenamiento de información no supone un reto, ya que incluso la propia norma ISO 27001 lo recoge dentro de sus controles. Sin embargo, a día de hoy no existe ninguna normativa ni recomendación estandarizada que trate la ciberseguridad de los sistemas de seguridad física.
En este artículo quiero centrarme de forma breve, pero muy concreta, en cómo acometer un análisis adecuado de los riesgos de ciberseguridad existentes a la hora de implementar o mantener una instalación de seguridad física.
Aproximación cíber y física
Este es un reto importante porque muchos de los profesionales del área de la seguridad física no cuentan con una formación suficiente en aspectos de comunicaciones ni de seguridad de la información. Aunque posiblemente en sus organizaciones haya gente muy válida y formada para proporcionar un apoyo de calidad en este sentido, muchas veces la segmentación de las empresas o la complejidad a la hora de hablar un lenguaje común dificultan esta aproximación.
Desde luego nadie debería asumir el riesgo que supone que unos sistemas de seguridad física con un coste de muchos miles de euros, que protegen activos valorados quizás en millones de euros, puedan quedar desactivados por no haber realizado en su momento un adecuado y completo análisis que contemple los riesgos del mundo físico y del mundo cíber.
Hace 20 años, la gran mayoría de los sistemas no estaban conectados fuera del área de la seguridad de las organizaciones y, por lo tanto, no eran tan vulnerables a muchas de las amenazas actuales. La tecnología IP, que es la base de las comunicaciones y la interoperabilidad de los sistemas tecnológicos modernos, fue diseñada en los años sesenta para interconectar unos pocos equipos, generalmente grandes ordenadores de centros de investigación militar o universidades, pero en unas pocas décadas se ha extendido al corazón de la gestión de todos los sistemas complejos del mundo.
Hoy en día, los protocolos de comunicaciones que interconexionan las modernas cámaras de videovigilancia con potente analítica de vídeo, los lectores de acceso inteligentes, las centrales de incendio o los lectores de matrícula con, por ejemplo, los centros de control que los supervisan, utilizan el mismo lenguaje de comunicación que un sencillo móvil cuando consulta una página web.
Dando soporte a estos servicios operan unas redes de comunicaciones basadas en electrónica de red (switches, firewalls y routers) con enlaces de cobre, fibra óptica o vía satélite, en los que se entremezcla la información de las conversaciones telefónicas con los datos de la mensajería instantánea de los móviles, y estos con las imágenes de las cámaras de videovigilancia y la información de los sistemas de control de un edificio.
La persona con responsabilidad de garantizar la seguridad física de unas instalaciones o que actualmente diseña o gestiona un sistema de este tipo debe conocer los principios básicos de dicha tecnología para saber cómo mitigar los riesgos.
No es la intención de este artículo dar una formación minuciosa al respecto, sino más bien abrir los ojos ante unos riesgos existentes y que deben tenerse en cuenta con urgencia. Por mi experiencia, entiendo que es mucho más importante que se genere una conciencia de la necesidad de trabajar en equipos multidisciplinares con personal experto en cada área y aprovechando muchos de los recursos, conocimiento y sinergia existentes ya en el área de sistemas de la empresa, en vez de reinventar la rueda.
Recomendaciones
Para poder dotar de una adecuada política de ciberseguridad a las instalaciones de sistemas de seguridad física, aconsejo llevar a cabo las siguientes tareas:
- Realizar un detallado catálogo de activos, que recoja aquellos elementos susceptibles de presentar ciberamenazas que puedan vulnerarlos.
- Identificar y valorar las amenazas que puedan afectar a dichos activos.
- Validar el impacto que supondría la degradación de los activos, así como la probabilidad de su ocurrencia.
- Elaborar, en base a la información anterior, un pormenorizado análisis de riesgos con el enfoque de la ciberseguridad.
- Definir e implementar los diferentes controles o medidas de mitigación de dichos riesgos.
Podría parecer que la parte importante de estas labores es únicamente la implementación de las medidas concretas para afrontar los ciberriesgos detectados, pero realmente es vital que se dedique el tiempo suficiente y de calidad para el análisis y la evaluación de los pasos anteriores, con objeto de que las medidas propuesta sean las adecuadas.
No existe numerosa bibliografía a este respecto, pero deseo hacer mención especial a la Guía de Buenas Prácticas de Ciberseguridad en Proyectos de Seguridad Físicas, publicada por la asociación AEINSE en 2021 (en cuyo grupo de trabajo tuve el orgullo de participar junto a otros profesionales) y a la Guía de Buenas Prácticas para la Seguridad en el Control de Procesos y Scada (CCN-STIC480A), publicada por el CNN en 2010, que si bien está enfocada a los sistemas SCADA puede servir como referencia en muchas de las medidas propuestas.