Economía de la Seguridad

Escenario de Decisiones paraInversión en Seguridad de la Información para Sistemas SCADA

La Protección de Infraestructuras Críticas (PIC) y la Protección de la Infraestructura de Información Crítica (PIIC) son desde hace varias décadas aspectosprioritarios en la agenda de la mayoría de países y organismos del mundo, tanto a nivel gubernamental como empresarial, generando muchos avances y referentes importantes en tecnología, políticas, normas y estándares.Sin embargo, la preocupación por el punto donde confluyen PIC y PIIC es reciente, dado que hasta la década pasada los incidentes de Seguridad de la Información (SI) en Sistemas de Control Industrial (SCI) no evidenciaban riesgos reales.

Sin embargo, los avances tecnológicos para SCI que han derivado en sistemas complejos como los de Supervisión, Control y Adquisición de Datos (SCADA, por sus siglas en ingles Supervisory Control And Data Acquisition) que utilizan protocolos y estándares de comunicación propios de las Redes de Datos como TCP/IP o compatibles con estos como modbus, OPC, profibus oEthernet industrial, han creado un escenario más complejo en términos de vulnerabilidades de seguridad.Entre los incidente se seguridad de sistemas SCADA, destaca la aparición de stuxnet, troyano diseñado para afectar un proceso industrial específico, considerado por algunos autores como el malware más sofisticado del que se tenga conocimientoen la actualidad(Poroshyn, 2014), tanto así, que su desarrollo es atribuido a EE.UU. e Israel.

En consecuencia, en la agenda y el presupuesto de países, organizaciones y empresas se ha incluido lo concerniente a SI para sistemas SCADA, iniciativa liderada por los países más desarrollados de mundo. Sin embargo, desde algunos sectores dela industria no se han generado políticas fuertes en este aspecto, a pesar de la afectación directa que sobre ellos tienen las vulnerabilidades de seguridad adjudicadas a los sistemas SCADA, por tal, se encontró importante analizar desde la perspectiva del modelo de Seguridad Interdependiente (IDS, acrónimo de InterDependent Security) de Heal y Kunreuther(2004)el escenario de decisiones para inversión en administración de riesgosenSI para sistemas SCADA.

Para tal , se iniciapor mencionar que los sistemas SCADA tienes características propias que los diferencian de los demás sistemas de Tecnologías de la Información y Comunicación (TIC), según el Instituto Nacional de Tecnologías de la Comunicación (2012, pp. 23-25): la primera de ellas,es su forma de operación, dado que los SCI están diseñados para trabajar en Tiempo Real y de forma continua en la mayoría de los casos (hidroeléctricas, sistemas de distribución de gas, etc.); la segunda, su enfoque diferente respecto a la Confidencialidad, la Integridad y la  Disponibilidad de la Información, dado que en un sistema SCADA el objetivo primordial es garantizar la disponibilidad del servicio y del sistema; la tercera, es que las operaciones de un sistemas SCADA tienen efectos en el mundo físico; finalmente, los SCI fueron diseñados para trabajar en entornos aislados, aunque en la actualidad se encuentran conectados con redes corporativas o públicas como Internet.

Por otra parte, la normativa aplicada en Seguridad de la Información en Sistemas SCADA tiene como referente lo concerniente a PIC como el Programa Europeo para la Protección de Infraestructuras Críticas o en España la Ley de medidas para PIC (Ley 8/2011, de 28 de abril), “que tiene por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de Infraestructura Critica.” (Observatorio de la Seguridad de la Información, 2012, p. 41).

...