Blog del CCI

domingo, 19 de mayo de 2013

¿Por qué Ciberseguridad Industrial? (Versión 2.0)


Durante los últimos años el equipo del CCI hemos ido publicando algunos artículos sobre Ciberseguridad Industrial en distintos medios y blogs, que pretendían contribuir a la difusión y concienciación en este ámbito. En ellos tratamos aspectos como por qué utilizar el término Ciberseguridad Industrial en lugar de otros, cuál es el panorama actual de la Ciberseguridad Industrial o algunos aspectos de la mitigación del riesgo en estos entornos.

Dada la importancia de los temas tratados, hemos decidido revisar y actualizar algunos de esos artículos y volver a publicarlos como "Versión 2.0" en este Blog. Aquí va el primero, como no podía ser de otra forma, analizando la conveniencia de utilización del término "Ciberseguridad Industrial".

Como todos sabéis, durante los últimos años el equipo del CCI se ha dedicado a investigar, analizar, estudiar y desarrollar el estado del arte, aproximaciones y soluciones, en el ámbito de la Ciberseguridad en los entornos industriales.

Cuando comenzamos a acercarnos a estos entornos, una de las primeras sorpresas fue descubrir que no existían contenidos o documentos publicado en Internet en nuestro idioma (español), por lo que no nos quedó otra opción que avanzar en el estudio del contenido existente en inglés (proveniente principalmente de Estados Unidos). Esto nos llevó a familiarizarnos con términos como SCADA Security (Seguridad SCADA) o ICS Security (Industrial Control Systems Security, Seguridad de los Sistemas de Control Industrial) que aún hoy en día son los más utilizados.

En nuestras presentaciones, discusiones e intercambio de información comenzamos a utilizar de forma natural esos términos en español cuando nos referíamos a los aspectos más técnicos o tecnológicos.  De hecho, incluso años después, el primer taller que trató estos temas en España, que impartimos en el marco del 1er Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), lo denominamos así: Taller sobre Seguridad en Productos y Sistemas de Supervisión y Control Industrial (SCADA).

Sin embargo, de forma análoga a nuestras aproximaciones en el mundo de la seguridad corporativa, siempre pensamos que un enfoque meramente tecnológico era insuficiente y, por tanto la utilización de los términos "Seguridad SCADA" (recordemos que SCADA significa Supervisory Control And Data Acquisition) o "Seguridad de los Sistemas de Control Industrial", haciendo referencia únicamente a un subconjunto, sistema o conjuntos de sistemas de una infraestructura industrial, con una aproximación principalmente tecnológica, no nos parecían los más correctos: ¿Dónde quedaban las perspectivas de Procesos y Personas?

Nuestra percepción es que estos términos no están siempre utilizándose de forma correcta, sino que son referidos de forma general (y equivocada) ante cualquier noticia, artículo o contenido que tenga algo que ver son la Seguridad Lógica (o Ciberseguridad) en los entornos industriales.

¿Cómo denominar entonces este campo? La primera aproximación lógica podría ser utilizar el término Seguridad Industrial. Sin embargo a aquellos que conozcan bien el sector industrial y su terminología, no les sorprenderá el hecho de que la utilización de este término supondría una ambigüedad total y causa de mal entendidos en el mundo de la planta, producción o fabricación, ya que "Seguridad Industrial" lleva ya años utilizándose para hacer referencia a la gestión de los riesgos, principalmente físicos, laborales y medioambientales, en el sector industrial. 

Al tratarse de un término muy arraigado, en parte debido a la importante normativa de obligado cumplimiento en la prevención de riesgos laborales, el utilizarlo para los aspectos "ciber" no haría si no, confundir a los profesionales industriales ya familiarizados con el uso existente del mismo. 

Es interesante señalar que este problema no existe en el mundo anglosajón, ya que en inglés se puede utilizar el término safety para referirse a la seguridad de las personas físicas y la palabra security para denominar a la seguridad lógica y de la información. Sin embargo, en español, necesitamos incorporar algún término que ayude a realizar esta distinción.

Tras analizar y evaluar en profundidad las distintas posibilidades, y la importancia que las perspectivas de los Procesos y las Personas (además de la Tecnología) tienen en el sector industrial, decidimos comenzar a utilizar públicamente (en nuestros trabajos internos ya lo utilizábamos y con algunos clientes, tímidamente) el término de Ciberseguridad Industrial.

Creemos que este término es mucho más correcto para definir las prácticas, procesos y técnicas necesarios para proteger de forma adecuada las infraestructuras industriales de las ciber-amenazas. De igual forma que en el ámbito corporativo se fue evolucionando de la seguridad informática, a la seguridad de la información (information security primero y information assurance, después) y finalmente al concepto de Ciberseguridad, creemos que en al ámbito industrial cuando se quiere hacer referencia al alcance global de su protección en el ámbito del ciberespacio, debería utilizarse el término Ciberseguridad Industrial.

Durante el último año, son numerosos los profesionales y organizaciones nacionales e internacionales que han comenzado a utilizar el término de forma pública, no sólo en presentaciones, artículos o folletos, sino en la denominación de servicios e incluso centros de trabajo, lo que no hace si no sentirnos muy satisfechos de la argumentación de su uso que en su momento esgrimimos y que ha sido aceptada generalmente por el mercado.

La Ciberseguridad Industrial tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, incluyendo las perspectivas de Procesos, Personas y Tecnologías para la protección de las organizaciones e infraestructuras industriales. 

Por ello, sirva este artículo nuevamente para defender y presentar de nuevo la definición de Ciberseguridad Industrial:

Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

(Artículo original publicado inicialmente el 22 de Julio de 2012 en Ciberseguridad.es)

No hay comentarios :

Publicar un comentario en la entrada