Siguiendo la línea de entradas sobre el I Encuentro Internacional CIIP para la Ciberseguridad y Protección de Infraestructuras Críticas, organizado por el CNPIC (Centro Nacional para la Protección de las Infraestructuras Críticas) y realizado en Madrid los días 18 y 19 de febrero, vamos a comentar los resultados del Taller II, “Gestión de Riesgos: identificación y clasificación de riesgos, amenazas y vulnerabilidades”, coordinado por José Antonio Mañas. Más allá de anécdotas, comentarios y discusiones, todos los asistentes al taller coincidimos en plantear, como resumen del trabajo, las siguientes conclusiones:
Muy importantes
- Hay que profundizar más en la seguridad de sistemas de control, electrónica industrial, SCADAs y similar… Con demasiada frecuencia desconocemos los riesgos que introducen en nuestras organizaciones, algo que en el caso de la infraestructura crítica nacional es más que preocupante.
- La comunidad de inteligencia debería “bajar” al mundo real de vez en cuando. Suele haber una importante diferencia entre lo que se plantea desde un centro de seguridad, incluso en ocasiones muy estratégico y poco operativo, y la realidad del día a día en una presa, un banco o un puerto, por poner ejemplos concretos.
- Existen incoherencias entre el deber de transparencia y el deber de secreto que existe en las infraestructuras críticas nacionales, y dichas incoherencias deben ser resueltas. A modo de ejemplo, una central nuclear debe facilitar su análisis de riesgos al ayuntamiento del municipio en el que se encuentra, pero esa obligación… ¿no puede suponer en sí misma un peligro para la seguridad de la central? ¿no debería considerarse secreto dicho análisis? ¡Aclarémonos!
- Se deben gestionar correctamente las expectativas con todos los ciudadanos. La protección de infraestructura crítica nacional está muy en boga, pero ¿hasta qué punto es crítica, importante, muy importante… o una tontería? Sin duda, el grueso de la ciudadanía lo desconoce, y puede llegar a ver esto como un gasto innecesario, y más en estos tiempos.
Importantes
- La seguridad en ICN debe ser tratada de forma integral, cubriendo cualquier posible interconexión y efecto recíproco entre diferentes infraestructuras. Si falla el suministro energético, pueden fallar las telecomunicaciones, y si fallan las telecomunicaciones, fallan los bancos, y si fallan los bancos… ¿quién cubre esos puntos de unión? Y sobre todo… ¿quién paga la seguridad de los mismos?
- Es necesario unificar el análisis de riesgos físicos y lógicos (y yo añado: y de los riesgos humanos, los riesgos reputacionales, los riesgos… seguid leyendo :)
- En ocasiones no queda clara la diferencia entre lo que se recomienda, lo que se impone y lo que se verifica. Lo que me dices… ¿es recomendable, o estoy obligado a cumplirlo? ¿Cómo te lo demuestro?
Finalmente, mi opinión personal es que nos hace falta un “algo” estandarizado para hacer el análisis de riesgos (¿se acuerdan de esta entrada?), y a la hora de enfrentarnos a un análisis global sobre una infraestructura crítica, cada maestrillo tiene su librillo. Vamos, que lo haremos unos mejor y otros peor, pero cada uno de una forma diferente. ¿Por qué digo esto? Muy sencillo: casi al final del taller, lancé una pregunta al foro. Una pregunta muy simple la más simple y que, en un proyecto de seguridad global en el que he trabajado, que afecta a infraestructuras críticas y que requería un análisis de riesgos también global me planteé. Viene a ser algo así: si mañana tienes que abordar el análisis de riesgos de una infraestructura crítica… ¿qué metodología utilizarías?
Respuesta (o resumen de respuestas y comentarios): ni idea. La que pueda. La que me sepa. No existe una metodología estándar. Lo haríamos, como se dice en el ámbito del peritaje, “según nuestro leal saber y entender”. Muy bien. Pues, bajo mi punto de vista, hasta que no seamos capaces de dar respuesta a esta pregunta tan simple, mal vamos. A todos nos gusta la convergencia, la seguridad holística, el modelado de amenazas, los perfiles de atacante y blablabla, pero vuelvo a reafirmarme en lo que dije en el post al que he hecho referencia: ¡GOTO, GOTO y más GOTO!.
En relación a las posibles respuestas, estoy de acuerdo en la necesidad de establecer un marco de trabajo unico que permita tener garantías respecto a la fiabilidad del trabajo realizado en la fase de análisis de riesgos.
Mas que afirmar que no existe una metodología estándar, yo creo que SI existen pero no hay unificación de criterios en cuanto a cómo realizar cada una de las fases definidas por las metodologías. El problema no son las tareas a realizar que mas o menos son comunes entre las diferentes metodologías. Las diferencias sustanciales entre ellas están más en el cómo se realizan esas actividadades y qué criterios se utilizan para la valoración final del riesgo.
Este artículo (http://www.revista-ays.com/DocsNum11/Academia/Carlos11.pdf) establece las principales referencias en cuanto a normalización en la gestión del riesgo siendo las principales fuentes ISO 27005 e ISO 31000.
Lo interesante, si todos hicieramos las cosas de forma similar, es que podrían compararse “valoraciones de riesgos” entre diferentes entidades, pudiendo así el cliente seleccionar a las empresas tanto por sus niveles de riesgo como por los niveles residuales que estos ofrecen como “servicio”. Imagino que en Banca si se da esta homogeneización para permitir comparar entidades o algún criterio debe haber dado que hay agencias de calificación de entidades. ¿No sería deseable algo así también para los riesgos tecnológicos?
Hola Javier
Disculpa en primer lugar por tardar tanto en contestar :(
Le pegaré un vistazo a la revista y al artículo; como dices, todas las metodologías hacen más o menos lo mismo, pero cada una a su manera, y tenemos que unificar criterios, desde los más tontos (terminología) a los más complejos, y hacerlo todos igual de mal -o de bien-, con un marco similar que nos permita lo que indicas: valorar de forma cruzada…
En banca y aseguradoras creo que tienen todo el tema de riesgos muy trillado; por ejemplo, si vas a sacarte un seguro de vida, en casi todas partes te preguntarán lo mismo más o menos (sexo, edad, si eres fumador, si haces deportes de riesgo…). Entiendo que todo estará tabulado y así todas las aseguradoras trabajan más o menos igual (lo que no quiere decir que no se equivoquen, por supuesto).
Respondo a tu pregunta final: no sólo para los tecnológicos, sino para TODOS los riesgos… volvemos a lo del análisis de riesgos GLOBAL de una organización, algo que cada día veo más difícil :(
Saludos
Toni