(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)
Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.
Comenzó el día con una sesión plenaria sobre los esquemas nacionales de seguridad en Europa, sesión en la que lo más repetido fue el término COLABORACIÓN para poder proteger las infraestructuras críticas de los países miembros y de Europa en su conjunto de forma adecuada. ¿Recordáis el congreso del CNPIC al que acudimos en febrero y que ya contamos en este blog? Ponentes diferentes pero la misma idea una vez más; si tan necesaria es la colaboración… Por qué nos cuesta tanto potenciarla?
Tras la plenaria, un par de talleres (mañana y tarde) sobre protección de infraestructuras críticas, ahora con dos términos que destacaron por encima de los demás: SCADA y resiliencia (esta última aún no incluida en el DRAE, pero estamos en ello). Parece que el problema de la PIC se centra en la (in)seguridad en los entornos SCADA, algo que parece obvio pero que me hace plantearme algunas preguntas: ¿qué pasa con los ataques a las personas? ¿Qué pasa con los accidentes y los desastres naturales? Qué pasa con el terrorismo “clásico”? La protección frente a actos delictivos, ciberterrorismo y demás esta muy bien (por supuesto), pero no debemos descuidar ningún otro aspecto o acabaremos mal. Hablar de SCADA “mola”, pero garantizando la seguridad de estos sistemas no garantizamos la “invulnerabilidad” de una infraestructura crítica.
En cuanto a resiliencia, palabra que también está de moda, una pregunta que nos lanzó el ponente: ¿sirven los paradigmas clásicos de seguridad para proteger las infraestructuras críticas o debemos ampliar nuestra visión? ¿Seguimos hablando de confidencialidad, integridad y disponibilidad o ahora hay algo más? Casi nada :) Como decía Darwin, no sobreviven los más fuertes ni los más inteligentes, sino los que mejor se adaptan al cambio…
Para acabar, una reflexión adicional. Se habló mucho (sobre todo en la plenaria) de CERTs. El concepto clásico de CERT está a punto de cumplir 22 añitos (ahí queda eso) y, bajo mi punto de vista, la visión clásica de estos centros es necesaria pero no suficiente. Por supuesto que debemos estar preparados para responder adecuadamente a incidentes, pero en la actualidad creo que los centros de seguridad (SOC o como los queramos llamar, pero no CERT) deben ser más preventivos que reactivos y además potenciar no una respuesta focalizada en la parte técnica sino una respuesta integral, por supuesto junto a otro tipo de servicios que sobrepasan el ámbito de un CERT tradicional… ¿Por qué seguimos hablando de CERTs? Esto será un tema para otro post, del que ya tenemos el título: del gusano de Morris a Stuxnet (gracias Xavi :).
Seguiremos informando.