BAQUIA

¿Están los servicios públicos de las ciudades en jaque?

El pasado 21 de enero se celebró el primer Jueves de ISACA de 2016, en el que se trató el tema “Infraestructuras de Información Críticas y Ciudades Inteligentes“. La reunión contó con la participación de César Pérez Chirinos, Presidente de honor de Continuam; Pedro Pablo López, Presidente de SIGECO, y de Ángel Rodríguez, Subdirector de Sistemas de Información de Canal Isabel II. La reunión estuvo moderada, como es habitual, por José Antonio Rubio, Responsable de Relaciones Académicas de ISACA Madrid

Imagen del primer encuentro 'Los jueves de ISACA'. Isaca.org

Imagen del primer encuentro ‘Los jueves profesionales de ISACA’. Isaca.org

La tarde empezó con una cuestión muy directa y concisa que quizás resume la mayor preocupación que podemos tener cada uno de nosotros como ciudadanos: ¿están los servicios públicos de las ciudades en jaque?

Amenazas

Al observar las noticias más destacadas de la actualidad en la última década, encontramos que los ciberataques son un hecho cada vez más común en la industria y, en particular, en los servicios públicos.

Desde el famoso caso Stuxnet contra una central nuclear iraní en 2010, hasta el apagón reciente de Ucrania, han sido muchos servicios los que han sufrido algún tipo de corte en el suministro causados por ataques informáticos.

Según los datos recogidos por los centros de respuesta a incidentes en Estados Unidos, los sectores que más ataques han reportado en los últimos cuatro años son los de la energía, el tratamiento de aguas y el transporte. Todos estos incidentes propician una alta incertidumbre respecto a la seguridad de los servicios esenciales que satisfacen las necesidades básicas de los ciudadanos.

Causas

La infraestructura tecnológica que da soporte a los servicios públicos se basa tradicionalmente en sistemas de control industrial, los cuales se caracterizan por ser entornos estancos y aislados del mundo exterior.

Con la evolución tecnológica, y la llegada de la era digital se empieza a conectar estos sistemas a las redes corporativas e incluso a Internet, con ello se incorporan protocolos generalistas como el TCP/IP, y sistemas operativos de propósito general como el de Microsoft. Todo esto supone un incremento del riesgo al elevarse la probabilidad de infección producida por el aumento de las vulnerabilidades del software en un entorno donde es muy compleja la aplicación de actualizaciones que las remedien.

Si a esto le sumamos otros factores de riesgo como la posible falta de coordinación entre el equipo de ingeniería y el equipo de TI, la falta de concienciación en ciberseguridad, y la incorporación de nueva tecnología basada en Big Data sin un análisis previo de riesgos, la probabilidad de sufrir un incidente de seguridad va aumentando.

Como decía Ángel Rodríguez en la reunión de ISACA, bajo el punto de vista de la ingeniería industrial, el problema de incluir la automatización en el ámbito operacional, es que se delega el control de la realidad física en manos de la tecnología; la cual ha demostrado que es vulnerable. Por este motivo surgen reticencias en la ingeniería frente a la automatización de ciertos procesos y procedimientos.

Medidas

En los servicios públicos no es una novedad la aplicación de medidas de seguridad. Conceptos como la redundancia de sistemas y de personal; así como la gestión de alertas, e incluso la seguridad física, se emplean prácticamente desde su creación.

La dificultad, al igual que en cualquier empresa, surge con la digitalización. Puesto que la tecnología, como hemos visto antes, no es segura por sí misma, habría que introducirla desde el inicio de cualquier proyecto.

Existen distintas guías de buenas prácticas tanto de fabricantes (CheckPoint, General Electric) como de entidades ligadas a los gobiernos (ICS-CERT , NIST, OSCE ,ENISA, INCIBE) sobre recomendaciones de seguridad. En esta línea, el ICS-CERT americano ha publicado un informe en el que se exponen siete estrategias clave para ayudar a asegurar los sistemas de control industrial en las que trata de condensar las medidas para afrontar las últimas tendencias en amenazas.

Estas recomendaciones incluyen la implementación de listas autorizadas (blancas) de aplicaciones, gestión de las actualizaciones del software, y de la configuración de los sistemas, reducción de la superficie de ataque mediante la limitación de las conexiones a Internet, separación (segmentación) de las redes de datos, aplicación de autenticación multifactor, aseguramiento de los accesos remotos, y el establecimiento de un plan de monitorización y de respuesta a incidentes.

Medidas adoptadas en España

En nuestro país disponemos desde 2004 del Plan Nacional para la Protección de las Infraestructuras Críticas, y de un Centro Nacional para la Protección de las Infraestructuras Criticas (CNPIC) creado en 2007, que en su momento supusieron importantes avances para garantizar la seguridad de los ciudadanos.

Posteriormente, en 2011 se publicó la Ley 8/2011, más conocida como la Ley PIC, con el objetivo de catalogar el conjunto de infraestructuras que prestan servicio a nuestra sociedad, y al mismo tiempo establecer un conjunto de medidas concretas de prevención y protección que las organizaciones designadas como operadores críticos deben cumplir.

Ley PIC

En el año 2013 se inició la elaboración de los primeros Planes Estratégicos Sectoriales coordinados por el CNPIC para la protección del sector energético (electricidad, gas, petróleo), el nuclear, y el financiero –que fueron aprobados en 2014.

Recientemente, en septiembre de 2015, se han aprobado los planes para los sectores del agua y el transporte (aéreo, ferrocarril, marítimo, y carretera) y en desarrollo, está en estos momentos del sector de las TIC.

Según indica la Ley PIC, una vez que los planes son aprobados, los operadores que hayan sido designados como operadores críticos tienen la obligación de presentar su Plan de Seguridad del Operador (PSO), el cual debe ser revisado de forma bienal y actualizado si sufre alguna modificación, y adicionalmente tendrá que ser aprobado por el CNPIC.

El PSO contiene la descripción de los activos de su infraestructura, un análisis de amenazas y riesgos, y las medidas de seguridad, organizativas, y operacionales que aplica en sus instalaciones. Por tanto, aunque obliga a emplear un análisis de riesgos que garantice la continuidad de los servicios, no impone expresamente la obligatoriedad de tener un plan de continuidad del negocio; y con ello se entiende que queda a criterio del operador.

El problema es que las organizaciones que no son denominadas por el CNPIC como operadores críticos no están obligadas a adoptar medidas de seguridad, cayendo dentro de su propia estrategia de negocio la decisión de abordarla.

¿Y qué ocurre cuando a pesar de las medidas de protección adoptadas se sufre un incidente que puede llegar a paraliza el servicio?

En ese caso, en España disponemos desde 2013 del Centro de Respuesta a Incidentes para las Tecnologías de la Información de las Infraestructuras Críticas (CERTSI), y que pertenece a los Ministerios del Interior y al de Industria, Energía y Turismo.

El CERT de Seguridad e Industria incrementa la capacidad de prevención, detección, investigación y respuesta ante las ciberamenazas en materia de seguridad pública y protección de infraestructuras críticas. Las empresas u organizaciones pueden denunciar incidencias a través de un buzón de correo electrónico.

Como conclusión diría que estamos a tiempo de que nuestras futuras ciudades inteligentes sean capaces de prestarnos servicios de forma segura. Creo que desde el gobierno de las ciudades se deben dar los pasos correctos sin prisas, para que se pueda incorporar la seguridad lógica y física tanto en los sistemas, como en los procedimientos a medida que se adopten nuevas tecnologías. Y que esta directiva se aplique tanto en nuevos proyectos, como en la migración de los antiguos sistemas de los servicios públicos de las ciudades.

Para reforzar la seguridad y la continuidad del servicio, sería apropiado que cada nuevo proyecto de ciudad inteligente fuera auditado tanto desde el punto de vista de sistemas, como desde el punto de vista de la seguridad. Como también sería interesante obligar, mediante normativa, a que los servicios públicos tuvieran un plan de continuidad del negocio y un plan de respuesta ante desastres (DRP), con la idea de garantizar el servicio.

Pero no sólo la seguridad de la ciudad se sostiene sobre la seguridad de sus sistemas, sino en integrarlos dentro de la gestión de gobierno de la propia ciudad. En esta línea, estoy de acuerdo con lo que expuso en la mesa redonda Pedro Pablo López Bernal sobre la idoneidad de sintonizar y coordinar cada uno de los planes de la ciudad como son los de saneamiento, salud, comunicaciones, transportes y abastecimientos.


Compartir en :


Noticias relacionadas

Recomendamos



Comentarios