"Aquello que no te mata... debería hacerte más fuerte" ;)

¿Por qué Ciberseguridad Industrial?

22 July 2012

Aquellos que me conocéis, personal o profesionalmente, probablemente sabéis sobradamente que he dedicado los últimos años de mi carrera profesional a investigar, analizar, estudiar y desarrollar el estado del arte, aproximaciones y soluciones, en el ámbito de la Ciberseguridad en los entornos industriales.

Cuando empecé a acercarme a este campo, lo primero que descubrí es que no existía ningún tipo de contenido o documento publicado en Internet en nuestro idioma (español), por lo que comencé a estudiar el contenido existente en inglés (proveniente principalmente de Estados Unidos). Esto me llevó a familiarizarme con los términos de SCADA Security (Seguridad SCADA) o ICS Security (Industrial Control System Security, Seguridad de los Sistemas de Control Industrial) que aún hoy en día son los más utilizados.

De forma natural, inicialmente comencé a utilizar esos términos en español cuando me refería a los aspectos más técnicos o tecnológicos.  De hecho, incluso años después, el primer taller que trató estos temas en España, que impartimos en el marco del 1er Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), lo denominamos así: Taller sobre Seguridad en Productos y Sistemas de Supervisión y Control Industrial (SCADA).

Sin embargo, desde el principio he pensado (como ya lo hacía en el ámbito corporativo) que un enfoque meramente tecnológico es insuficiente y, sin duda, los términos “Seguridad SCADA” (recordemos que SCADA significa Supervisory Control And Data Acquisition) o “Seguridad de los Sistemas de Control Industrial”,  hacen referencia únicamente a un subconjunto, sistema o conjuntos de sistemas de una infraestructura industrial, con una aproximación principalmente tecnológica. ¿Dónde quedan las perspectivas de Procesos y Personas, en estos términos?

En mi opinión, estos términos no están siempre utilizándose de forma correcta, sino que son referenciados de forma general (y equivocada) ante cualquier noticia, artículo o contenido que tenga algo que ver son la Seguridad Lógica (o Ciberseguridad) en los entornos industriales.

¿Cómo denominar entonces este campo? La primera aproximación lógica podría ser utilizar el término Seguridad Industrial. Sin embargo a aquellos que conozcan bien el sector industrial y su terminología, no les sorprenderá el hecho de que la utilización de este término supondría una ambigüedad total y causa de mal entendidos en el mundo de la planta, producción o fabricación, ya que “Seguridad Industrial” lleva ya años utilizándose para hacer referencia a la gestión de los riesgos, principalmente físicos, laborales y medioambientales, en el sector industrial. Al tratarse de un término muy arraigado, en parte debido a la importante normativa de obligado cumplimiento en la prevención de riesgos laborales, el utilizarlo para los aspectos “ciber” no haría si no, confundir a los profesionales industriales ya familiarizados con el uso existente del mismo. Es interesante señalar que este problema no existe en el mundo anglosajón, ya que en inglés se puede utilizar el término safety para referirse a la seguridad de las personas físicas y la palabra security para denominar a la seguridad lógica y de la información. Sin embargo, en castellano necesitamos incorporar algún término que ayude a realizar esta distinción.

Tras analizar y conocer en detalle las distintas posibilidades, y la importancia que las perspectivas de los Procesos y las Personas (además de la Tecnología) tienen en el sector industrial (como así lo reconocen las nuevas revisiones, aún en borrador, por ejemplo de ISA 99), decidimos comenzar a utilizar públicamente (en nuestros trabajos internos ya lo utilizábamos y con algunos clientes, tímidamente ;)) el término de Ciberseguridad Industrial.

Creemos que este término es mucho más correcto para definir las prácticas, procesos y técnicas necesarios para proteger de forma adecuada las infraestructuras industriales de las ciber-amenazas. De igual forma que en el ámbito corporativo se fue evolucionando de la seguridad informática, a la seguridad de la información (information security primero y information assurance, después) y finalmente al concepto de Ciberseguridad, creemos que en al ámbito industrial cuando se quiere hacer referencia al alcance global de su protección, debería utilizarse el término Ciberseguridad Industrial.

Durante los últimos meses he tenido la oportunidad de compartir estas ideas y aproximaciones con profesionales dedicados a estos temas en nuestro país (algunos de ellos competidores, y sin embargo amigos, verdad Elyo ;)) y con otros muchos a nivel internacional (entre los que se encuentran Eric Byres, sobradamente conocido, o Auke Austria o Annemarie Zielstra del CPNI.NL), y todos coinciden en que, efectivamente, el término Ciberseguridad Industrial (Industrial Cyber Security, en inglés) es el más correcto para hacer referencia a esa globalidad.

Nosotros llevamos tiempo utilizándolo. En lo que llevamos de año hemos impartido y participado en diversos cursos y eventos que suman más de 500 asistentes del ámbito industrial (incluyendo las 3 ediciones de nuestro Curso de Ciberseguridad Industrial, la Conferencia Anual de ISA o los Wonderday de Wonderware, entre otros), en los que hemos utilizado y presentado nuestro concepto de la Ciberseguridad Industrial con muy buena aceptación. Os invitamos a que vosotros comencéis a utilizarlo correctamente a partir de ahora.

La Ciberseguridad Industrial tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, incluyendo las perspectivas de Procesos, Personas y Tecnologías para la protección de las organizaciones e infraestructuras industriales. Por ello, que mejor forma de finalizar este artículo que con mi propuesta de definición de la Ciberseguridad Industrial:

Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

Nota importante: todo lo comentado en este artículo es fruto del trabajo en equipo realizado durante todos estos años con mis amigos y además compañeros Nacho Paredes y José Valiente.

2 Comments » | Posted in Ciberseguridad Industrial, Eventos, Infraestructuras Críticas, Mercado, Normativas, Profesion, Sociedad, Tecnologias | del.icio.us |



Top Of Page

Últimos "tweets" en InfoSecManBlog

Últimas entradas

Archivos

Categorías

Rss Feed