Upload File

los centros de control de seguridad en la próxima guerra ... · impliquen ataques contra centros...

  • Home
  • Documents
  • Los centros de control de seguridad en la próxima guerra ... · impliquen ataques contra centros de gestión de redes de servicios esencia-les. Avisados de esta realidad, los pode-res
2
50 SEGURITECNIA Febrero 2019 Artículo Técnico No debería sorprendernos pues, que en el futuro, los conflictos híbridos, como paso previo a una guerra híbrida, impliquen ataques contra centros de gestión de redes de servicios esencia- les. Avisados de esta realidad, los pode- res públicos y los operadores privados de dichos servicios prestan atención a la resiliencia de dichos centros. Sin em- bargo, existe un talón de Aquiles, un punto débil del sistema, en el que po- cos han reparado hasta la fecha: la ci- berseguridad de los sistemas de seguri- dad física (CBSF). Previsiblemente, y de forma similar a lo que sucede en el mundo físico, los “Tomahawks cibernéticos” irán dirigidos no solo a los centros de gestión, sino también a los centros de control de los sistemas que defienden las infraestruc- turas. Y uno de los centros neurálgicos para la defensa de dichas infraestruc- turas críticas son los Centros de Control de Seguridad Física (CCS). Desactivación La desactivación de los sistemas de control de acceso físico o de detección de intrusión en instalaciones desaten- didas y la inhibición de los sistemas de detección de incendios o de condicio- nes ambientales –aunque sea tempo- ralmente– son ejemplos de ciberata- ques previos que pueden facilitar un ataque posterior o combinado a las in- fraestructuras con otros vectores físicos L as directivas de combate de la guerra aérea que precedió la invasión de Iraq en marzo de 2003 identificaron como primeros blan- cos de ataque de los misiles Tomahawk a los sistemas de defensa aérea y los centros de control iraquíes. En este sentido, en su ensayo Los siste- mas de mando y control: Una visión histó- rico-perspectiva 1 , el capitán de navío En- rique Cubeiro, jefe de Operaciones del Mando Conjunto de Ciberdefensa, nos enseña que “dificultar o impedir el ejer- cicio del mando y control del adversa- rio será siempre objetivo prioritario de ambos bandos, y para ello podrán op- tar entre una amplia gama de acciones, en un campo de batalla que ahora in- cluye también ese mundo misterioso conocido como ciberespacio” (Cubeiro, 2001, p.31). Por otro lado, el doctor Carlos Galán, en su reciente ensayo Amenazas híbri- das: nuevas herramientas para viejas as- piraciones 2 define así las denominadas “amenazas híbridas”: “…son acciones coordinadas y sincronizadas –con ori- gen habitualmente, pero no solo, en los servicios de inteligencia de los agen- tes de las amenazas– que atacan deli- beradamente vulnerabilidades sistémi- cas de los Estados y sus instituciones a través de una amplia gama de medios y en distintos sectores objetivo (políticos, económicos, militares, sociales, infor- mativos, infraestructuras y legales) uti- lizando el ciberespacio como la herra- mienta más versátil y adecuada para sus propósitos” (Galán, 2018, p.3). La reciente guerra de Ucrania ha sido un buen ejemplo de guerra híbrida en la que se han visto involucrados los centros de control de las infraestructu- ras críticas de los contendientes. Manuel Carpio Cámara / Asesor Senior de Ciberseguridad de Cuevavaliente Inerco Los centros de control de seguridad en la próxima guerra híbrida No debería sorprendernos que en el futuro los conflictos híbridos impliquen ataques contra centros de gestión de redes de servicios esenciales

Upload: others

Post on 17-May-2020

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Los centros de control de seguridad en la próxima guerra ... · impliquen ataques contra centros de gestión de redes de servicios esencia-les. Avisados de esta realidad, los pode-res

50 SEGURITECNIA Febrero 2019

Artículo Técnico

No debería sorprendernos pues, que en el futuro, los conflictos híbridos, como paso previo a una guerra híbrida, impliquen ataques contra centros de gestión de redes de servicios esencia-les. Avisados de esta realidad, los pode-res públicos y los operadores privados de dichos servicios prestan atención a la resiliencia de dichos centros. Sin em-bargo, existe un talón de Aquiles, un punto débil del sistema, en el que po-cos han reparado hasta la fecha: la ci-berseguridad de los sistemas de seguri-dad física (CBSF).

Previsiblemente, y de forma similar a lo que sucede en el mundo físico, los “Tomahawks cibernéticos” irán dirigidos no solo a los centros de gestión, sino

también a los centros de control de los sistemas que defienden las infraestruc-turas. Y uno de los centros neurálgicos para la defensa de dichas infraestruc-turas críticas son los Centros de Control de Seguridad Física (CCS).

DesactivaciónLa desactivación de los sistemas de control de acceso físico o de detección de intrusión en instalaciones desaten-didas y la inhibición de los sistemas de detección de incendios o de condicio-nes ambientales –aunque sea tempo-ralmente– son ejemplos de ciberata-ques previos que pueden facilitar un ataque posterior o combinado a las in-fraestructuras con otros vectores físicos

L as directivas de combate de la guerra aérea que precedió la invasión de Iraq en marzo de

2003 identificaron como primeros blan-cos de ataque de los misiles Tomahawk a los sistemas de defensa aérea y los centros de control iraquíes.

En este sentido, en su ensayo Los siste-mas de mando y control: Una visión histó-rico-perspectiva1, el capitán de navío En-rique Cubeiro, jefe de Operaciones del Mando Conjunto de Ciberdefensa, nos enseña que “dificultar o impedir el ejer-cicio del mando y control del adversa-rio será siempre objetivo prioritario de ambos bandos, y para ello podrán op-tar entre una amplia gama de acciones, en un campo de batalla que ahora in-cluye también ese mundo misterioso conocido como ciberespacio” (Cubeiro, 2001, p.31).

Por otro lado, el doctor Carlos Galán, en su reciente ensayo Amenazas híbri-das: nuevas herramientas para viejas as-piraciones2 define así las denominadas “amenazas híbridas”: “…son acciones coordinadas y sincronizadas –con ori-gen habitualmente, pero no solo, en los servicios de inteligencia de los agen-tes de las amenazas– que atacan deli-beradamente vulnerabilidades sistémi-cas de los Estados y sus instituciones a través de una amplia gama de medios y en distintos sectores objetivo (políticos, económicos, militares, sociales, infor-mativos, infraestructuras y legales) uti-lizando el ciberespacio como la herra-mienta más versátil y adecuada para sus propósitos” (Galán, 2018, p.3).

La reciente guerra de Ucrania ha sido un buen ejemplo de guerra híbrida en la que se han visto involucrados los centros de control de las infraestructu-ras críticas de los contendientes.

Manuel Carpio Cámara / Asesor Senior de Ciberseguridad de Cuevavaliente Inerco

Los centros de control de seguridad en la próxima guerra híbrida

No debería sorprendernos que en el futuro los

conflictos híbridos impliquen ataques contra centros

de gestión de redes de servicios esenciales

Page 2: Los centros de control de seguridad en la próxima guerra ... · impliquen ataques contra centros de gestión de redes de servicios esencia-les. Avisados de esta realidad, los pode-res

SEGURITECNIA Febrero 2019 51

Artículo Técnico

o cibernéticos, multiplicando sus efec-tos dañinos.

Por lo tanto, como ya señaló mi com-pañero Enrique Bilbao en un reciente artí-culo publicado en esta revista, “es urgente auditar los CCS, analizar sus riesgos de ci-berseguridad y estudiar el ‘gap’ entre las medidas existentes y las necesarias3”.

Dada la naturaleza y multiplicidad de los dispositivos conectados, aplicacio-nes, instalaciones y operaciones bajo responsabilidad del CCS, este tipo de revisiones no pueden ni deben limi-tarse a una tradicional auditoría de se-guridad de la información, como si se tratara del sistema de facturación o del sistema SAP (ERP, Enterprise Resources Planning) de la empresa.

De hecho, un CCS puede considerarse como un complejo sistema ciberfísico más próximo al mundo OT (Operational Technology) que al IT (Information Tech-nology), en el que resulta crucial un co-nocimiento profundo de los protoco-los propietarios de autenticación mutua y de comunicación entre los elementos de la red y sus servidores, su interrelación con los eventos del mundo físico para el que se diseñaron y con la operativa del personal de vigilancia que los atiende.

Así, una auditoría de seguridad de un CCS debería contemplar cuatro dimen-siones básicas: la eficacia de las funcio-nalidades y de los servicios de seguridad que brinda; la operación, dependiente del factor humano que los atiende; las características físicas de las instalaciones donde se ubica y que protegen tanto a servidores como sus conexiones con los elementos de campo; y la ciberseguri-dad de los sistemas, de la red y de los propios dispositivos terminales.

Este es el caso de la metodología para la calificación de seguridad de los CCS desarrollada y puesta en práctica por Cuevavaliente Inerco. Se trata de una metodología ligera, basada en un mix procedente, por un lado, de controles generales extraídos de códigos interna-cionales de buenas prácticas del mundo de la seguridad física, seguridad de la in-formación y normativas españolas como el Esquema Nacional de Seguridad, el Reglamento de la Ley PIC (Protección de

Infraestructuras Críticas), etc.; y por otro lado, de controles específicos aplicables a los CCS, como el Reglamento de Se-guridad Privada, las normativas EN/UNE (European Norm/Una Norma Española) de seguridad física y de centros de con-trol, según el grado exigible, etc.

MetodologíaSobre la base del cumplimiento y la efi-ciencia de un conjunto de más de tres-cientos controles, divididos en treinta áreas clave, se define una métrica por cada una de dichas áreas y por cada una de las cuatro dimensiones que las agru-pan, así como unas metas que deberían alcanzarse para poder considerar el CCS en su conjunto como “ciberseguro”.

La metodología se ha diseñado para obtener un diagnóstico de situación objetivo y rápido que evite los costosos procedimientos y retrasos asociados a recabar las evidencias documentales o la preparación de pruebas sustantivas que se suelen exigir en los procesos for-males de auditoría llevados a cabo por las firmas de consultoría generalistas. En tal sentido, puede decirse que el servi-cio CBSF de Cuevavaliente Inerco no es estrictamente una auditoría, sino una calificación multidimensional de la ci-berseguridad del CCS, que además per-mitirá al responsable del mismo com-parar sus prestaciones con la califica-ción media obtenida por otros centros similares en cada una de las áreas clave.

Pero no sería justo calificar la ciberse-guridad del CCS dejando en la estacada a su responsable. Además de la califica-

ción multidimensional, el servicio CBSF proporciona como resultado una bate-ría de recomendaciones de mejoras en todos los ámbitos, con una estimación de plazos y costes para cubrir las caren-cias detectadas.

Evidentemente, todo lo anterior lo es sin perjuicio de que, tras la toma de conciencia de situación por parte del responsable del CCS y de la dirección del negocio, pueda dar el paso de cer-tificar su sistema a través de las diversas alternativas existentes en el mercado o de realizar las auditorías formales a las que nos hemos referido.

Si por llevar desprotegido su talón pe-reció Aquiles y con él se perdió Troya, esperamos que con el servicio CBSF de Cuevavaliente Inerco contribuyamos a que no se pierda el control de la segu-ridad de las personas y las instalaciones de las infraestructuras críticas, y con ellas los servicios esenciales que prestan.

Referencias1. Cubeiro, E. (2001). Los sistemas de

mando y control: Una visión histórico-perspectiva. Madrid. Recuperado de https://dialnet.unirioja.es/descarga/ar-ticulo/4602258.pdf.

2. Galán, C. (2018). Amenazas híbridas: nuevas herramientas para viejas aspi-raciones. Ciber elcano No.39. Real Ins-tituto Elcano. Documento de trabajo 20/2018. 13 de diciembre de 2018.

3. Bilbao, E. (octubre, 2018). Ciberseguri-dad de los sistemas de seguridad físicos: un flanco abierto. Seguritecnia, nº 457 (p 64-66). S

https://dialnet.unirioja.es/descarga/articulo/4602258.pdf
https://dialnet.unirioja.es/descarga/articulo/4602258.pdf

BOLETÍN OFICIAL DEL ESTADO - Servicio Público de ... centros o equipamientos, tales como: centros cívicos, centros infantiles, centros culturales, clubes, centros de tiempo libre

RESOLUCIÓN de 10 de agosto de 2018, de la Secretaría ...doe.gobex.es/pdfs/doe/2018/1710o/18062048.pdf · en los propios centros educativos que impliquen actuaciones en el centro

Tema: Resolución de problemas que S impliquen el uso de

locals.esquerra.catlocals.esquerra.cat/documents/arxius/12_16...repercussions econòmiques: més residus a l'abocador impliquen més costos a l'Ajuntament i menys ingressos per la

Planteamiento y resolución de problemas que impliquen la utilización de números enteros, fraccionarios o decimales

BARRIO DE CONTROL BARRIO DE 91 430 03 96 LA … · condenar los 51 años de dictadura en Cuba. Unos diez ciudadanos cubanos avisados para la ocasión, ocupaban sus asientos entre

CONSEJO DIRECTIVO · reglamentaciones y normatividad que impliquen modificaciones o adiciones al P.E.I. Claretiano “Pedagogía Humana Participativa Autogestionaria”. 5. El presente

Este calendario puede ser modificado. Los alumnos serán …ºA... · 2019-11-06 · Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a través

CENTROS CUULTURALES. CENTROS CULTURALES ......CENTROS CULTURALES. Proyección, infraestructura y gestión CENTROS CUULTURALES. Proyección, infraestructura y gestión La infraestructura

ARTURO PÉREZ- REVERTE - Categoríasbibliotecadigital.tamaulipas.gob.mx/.../818e08c1f_sombradelaguila.pdf · Otros, los más avisados, se llevaban la mano a la oreja como si el cañoneo

DISEÑO Y GESTION DE CENTROS TERMALESgalatermal.es/cmsms/uploads/DocsTecnicos/TERMATALIA... · DISEÑO Y GESTION DE CENTROS TERMALES. Centros Termales Clasificación ... Son centros

COMUNITATS DCOMUNITATS D ......COMISSIÓDE VOLUNTARIAT-S’encarrega d’organitzar totes les activitats que impliquen la participacióde voluntaris dins l’horari lectiu: els grups

Este calendario puede ser modificado. Los alumnos …...Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a través de un mensaje en el Aula

Centros Instantaneos y Centros de Rotacion de Vehiculos

Resolución de problemas que impliquen el cálculo de interés compuesto, crecimiento poblacional u otros que requieran procedimientos recursivos

Este calendario puede ser modificado. Los alumnos serán ...ºB-Medicina.pdf · Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a través

Este calendario puede ser modificado. Los alumnos serán avisados de … · 2019-11-28 · * La división (A‐L) y (M‐Z) corresponde a la primera letra del apellido del alumno

2 de Secundaria Matemáticas Semana 1montenegroeditores.mx/img/dosificacion_secundaria/Matematicas_2.pdf · • Resuelve problemas que impliquen calcular el área y el perímetro

Centros Primaria Adscritos a Centros Eso(1)

INICIO DE LA TRANSMISIÓN EN - Autoridad del Centro Histórico€¦ · reporte: 4 junio Eventos en espacios públicos Número de eventos autorizados y avisados con tiempo en espacios

COnCURSO DE REPUESTOS DEL GRAn SUR MARROQUÍ 2009 · te a través de Bobcat Net-ESA y mediante co-rreos electrónicos. Los ganadores serán avisados por teléfono y por correo electrónico

Por una interacción social y convivencia que impliquen el respeto, cooperación y compañerismo

Este calendario puede ser modificado. Los alumnos serán ...ºC-Medicina-22-9-u… · Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a

CAMPO DISCIPLINAR: MATEMÁTICAS - - Alumnos CBBCalumnos.cobachbc.edu.mx/static/cms/docs/guia2013-EXEIMS.pdf · que impliquen adicción y sustracción de expresiones algebraicas.

PROPUESTASespeciales.elperiodicomediterraneo.com/especiales_comun2008/upload/... · verbos que impliquen o tengan que ver con esa idea. ... contenidos conceptuales y procedimentales

actividades - gsdeducacion.com · En ese caso los usuarios serán avisados previamente. • Los días y horarios son orientativos, pudiendo variar en función del número de alumnos

cdigital.dgb.uanl.mxcdigital.dgb.uanl.mx/la/1080021900/1080021900_003.pdf · avisados por el estruendo y las voces del que intentaba matar y del que persistia en oponer su natu- ral

LISTADO DEFINITIVO DE CENTROS DESIGNADOS CENTROS …gestiondgmejora.educa.madrid.org/practicum/docs/...listado definitivo de centros designados centros del prÁcticum del mÁster en

El Régimen de Reservas Técnicas en Colombia - … · Las normas emitidas por la mayoría de los reguladores en ... siniestros avisados en proceso de ... equivale a la reserva vigente

Este calendario puede ser modificado. Los alumnos serán ......Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a través de un mensaje en

indicadores.bajacalifornia.gob.mxindicadores.bajacalifornia.gob.mx/consultaciudadana/arbc/1-10/LE…  · Web viewLos actos que impliquen la contratación de nuevos créditos para

Este calendario puede ser modificado. Los alumnos serán ...ºA-Medicina-1.pdf · Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a través

Este calendario puede ser modificado. Los alumnos serán …ºA... · 2019. 10. 1. · Este calendario puede ser modificado. Los alumnos serán avisados de ello convenientemente a

Dossier Informacion Centros Piloto y Centros Modelo 2009

INICIO DE LA TRANSMISIÓN EN · Semanal 8 8 (Acumulado 72) Avance del 90% Eventos en espacios públicos Número de eventos autorizados y avisados con tiempo en espacios públicos