Fundamentos para la Protección de Servicios Esenciales

Hace tiempo se viene comentando la importancia y necesidad de proteger aquellas infraestructuras que dan soporte o están involucradas en la prestación de servicios esenciales para la población y las naciones, como pueden ser la electricidad, el agua, el transporte, entre otros. Cuando se comentan las cuestiones que deben tenerse en cuenta para implementar seguridad, se cuenta la necesidad de conocer qué tenemos, donde está y qué valor tiene, a partir de esto y del análisis correspondiente se identifican aquellas infraestructuras críticas para esos servicios esenciales y se avanza en uno o más planes de seguridad.

En dichos planes se determinan lineamientos básicos de seguridad, como por ejemplo qué servicios deben estar activos, la definición de roles para el control de accesos, los lineamientos de auditoria, la responsabilidad sobre el activo, entre otros.

¿No resultan conocidas todas estas iniciativas?, es más, ¿no son las mismas que se llevan a cabo a nivel corporativo proteger la información?

A continuación se detallan algunos puntos claves al momento de implementar seguridad en servicios esenciales:

• Saber qué tenemos: activos involucrados en el servicio a proteger, su identificación, ubicación, clasificación, configuración, persona responsable, y toda aquella información que aporte valor para el análisis de riesgos posterior.
  
  
• De qué lo debemos proteger (y que debemos cumplir): A través del análisis de riesgo se debe identificar el grado de exposición de cada uno de los activos, conformando de esta manera el grado de exposición ante amenazas del servicio en sí. Se deben identificar adicionalmente, el grado de alineamiento con aquellas regulaciones que deba cumplir, o en su defecto, qué aspectos se deberían remediar.
  
  
  
• Cómo lo debemos proteger: Una vez que hemos definido el grado de exposición de cada activo, se deben definir los planes de acción asociados con la gestión del riesgo que se haya llevado a cabo. Para aquellos riesgos que se deban minimizar se deberán tomar medidas en tal sentido, y así con las distintas decisiones que el "Responsable del Activo o del Servicio" haya determinado. Esto podría significar, establecer medidas técnicas, implantar determinados procesos de seguridad, contratar un seguro, etc.
  
  
  
• Medir para poder mejorar: Para gestionar y tomar decisiones se debe obtener información que así lo permita, una fuente de información por excelencia son las métricas, que debería/n tener el/los procesos que se haya/n implementado. En este sentido, a través de la implantación de estas mediciones se podrá evaluar la efectividad de los controles y realizar las acciones que sean necesarias con el fin de mantener el riesgo en el nivel aceptado, garantizando la gestión de seguridad a través de la mejora contínua.
  
  
  
• Educación: Si en el ámbito corporativo es claro que se debe educar y entrenar a los usuarios en materia de seguridad, buen uso de activos y respuesta ante incidentes, es indiscutible que dichas acciones deban realizar sistemáticamente para toda la población al hablar de servicios esenciales. La definición de programas integrales de educación en los cuáles intervenga el ámbito público y privado son la herramienta principal para el logro de los objetivos. La seguridad de los servicios esenciales garantiza el bienestar de toda la población y el funcionamiento de las Naciones. El compromiso de los ciudadanos es un aspecto clave a lograr.
  
  
  

Ahora bien, los puntos antes mencionados son necesarios al momento de implantar un sistema de gestión de seguridad, pero al hablar de servicios esenciales surgen otros aspectos que a continuación podríamos enumerar:

• Propiedad de los Servicios Esenciales: En este sentido, en muchos países los servicios esenciales son prestados por entidades privadas, que son las que operan las infraestructuras y servicios. Sobre estos recae la responsabilidad de la implantación de las medidas de seguridad que sean oportunas. En tal sentido, el desafío se presenta al momento de tener que garantizar desde el que opera hacia el que controla, la implantación de dichas medidas. Por otro lado, el dilema de la propiedad de los activos debería definirse a nivel contractual dado que podrían presentarse situaciones en las que los intereses de ambas partes no sean coincidentes y la propiedad sobre los activos sea un punto de inflexión en este aspecto.
• Control sobre la prestación de los servicios: En contrapartida, el Gobierno generalmente es quien controla la prestación de estos servicios esenciales para la población. Una forma de garantizarse la protección de los servicios esenciales e infraestructura asociada es a través de la sanción de leyes o regulaciones que establezcan los lineamientos de seguridad clave. De esta forma no estaría únicamente del lado de quién opera la decisión de los lineamientos básicos de seguridad. Quién deba controlar debería contar con los elementos que permitan verificar objetivamente el cumplimiento de dichos lineamientos.
• Intercambio de Información: El intercambio de información entre quien opera y quién controla dicha operación es un tema sumamente importante. Para ello se deben establecer reglas claras que permitan a quien controla poder obtener información de primera línea y llevar adelante su rol. Es responsabilidad de quién opera garantizar el acceso y transparencia de la información y es responsabilidad de quién controla garantizar a quién opera la confidencialidad de dicha información y el tratamiento objetivo de la misma.
• Trabajo en Equipo: Así como en el ámbito privado debe ejercitarse la respuesta a incidentes de seguridad, a través de la maduración en la gestión de seguridad y la educación de los usuarios. En el ámbito de los servicios esenciales se presenta el desafío de la interrelación de distintos sectores ante situaciones similares, que podrían poner en riesgo no sólo al servicio, sino a la población. El entrenamiento toma mayor relevancia cuando el activo a proteger puede afectar la vida de las personas, por ello es excluyente contar con planes de respuesta a incidentes dentro de un programa de gestión de incidentes, que brinde los lineamientos a llevar a cabo ante aquellas situaciones que pudieran presentarse.

Algunos Desafíos

En aquellos países donde la protección de los servicios esenciales ya lleva unos años, se han presentado algunos puntos que deberían tenerse en cuenta al momento de iniciar un Plan de Protección de Servicios Esenciales:

• Se debe legislar convocando a los sectores que serán impactados por la legislación.
• Quién controle debe garantizar el manejo ético e independiente de la información provista por quién opera los servicios.
• Para que el ciudadano participe, los distintos participantes (quien opera y quien controla) deben generar confianza y brindar transparencia.
• Es fundamental contar con un repositorio único de información en el cual se registren los activos, los incidentes, los cambios y todo dato que sea relevante al control.
• La protección de los servicios esenciales debe ser una política de estado.

Algunas Referencias

• 21 Steps to Improve Cyber Security of SCADA Networks
• SP800-50 Building an Information Security Awareness and Training Program
• SP800-53 Security Controls for Federal Information Systems and Organizations
• SP800-55 Performance Measurement Guide for Information Security
• SP800-61 Computer Security Incident Handling Guide
• SP800-100 An Introduction to Information Security: The NIST Handbook
• Canada´s Cyber Security Strategy [1] y [2]
• Open Scada Security Project
• Defining Incident Management Processes for CSIRTs: A Work in Progress
• Centro Nacional para la Protección de las Infraestructuras Críticas

Contribución por Mariano del Río (@mmdelrio)

Etiquetas: contribuciones , gestión