Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTÍCULO DESTACADO
Imagen Ciberseguridad y protección de instalaciones estratégicas a través del Enterprise Security Risk Management (ESRM)

Ciberseguridad y protección de instalaciones estratégicas a través del Enterprise Security Risk Management (ESRM)

Jueves 11 de Julio del 2019
Carlos Ramírez Acosta

La tríada de conceptos de seguridad que expresa el título de este artículo pretende destacar lo imperativo de su integración en las instalaciones estratégicas y en sus distintas áreas críticas para la protección de sus activos, sean éstos tangibles como intangibles, que incluyen también a los activos tecnológicos.

Entendemos como activos tangibles los inmuebles y sus contenidos, los sistemas y equipos de producción y redes de control; los propios sistemas de seguridad física y los sistemas tradicionales de gestión y mantenimiento. En cuanto a los activos intangibles, reconocemos la marca y la reputación, los activos digitales como la información confidencial y la propiedad intelectual.

Aquí, conviene precisar que un activo tecnológico es un derecho que tiene valor económico vinculado con aspectos industriales o comerciales. Los más comunes son programas de cómputo, algoritmos, bases de datos, patentes (inventos), el 'know how' y hasta el 'know who'.

Los activos tecnológicos son vitales en las instalaciones estratégicas. Si, por ejemplo, usamos software en cosas tan cotidianas como enviar mensajes por WhatsApp, comprar libros por Amazon, pedir chofer privado por Uber, rentar un departamento por Airbnb para vacacionar o construir una red de amigos por Facebook y de contactos profesionales por LinkedIn, imaginemos entonces el nivel de información crítica que se genera, transmite y circula por las venas digitales de las instalaciones estratégicas.

Todas las industrias, y por ende las instalaciones estratégicas, podrán ser reescritas con software, tomando en cuenta, además, la existencia de secretos industriales que tratan toda aquella información de aplicación industrial o comercial que se preserva con carácter confidencial y que le otorga una ventaja competitiva a su poseedor frente a terceros.

Debido a la tecnología digital que implica la movilidad, la hiperconectividad, la comunicación electrónica machine-to-machine y la tendencia creciente en las organizaciones del BYOD (Bring Your Own Device, que se ha convertido en Bring Your Own Danger), el perímetro de seguridad física ha desaparecido en virtud de la ubicuidad tecnológica, donde varios procesos quedan expuestos en las redes informáticas de los confines del ciberespacio, pues los ataques cambian constantemente, ya no son individuales, sino colectivos, complejos y persistentes. Así que la ciberseguridad es hoy un componente transversal de la sociedad digital y por lo tanto esto aplica al entorno interno y externo de las instalaciones estratégicas.

DEFINICIÓN, ACTIVOS Y PROPIEDADES

La Recomendación UIT-T X.1205 sobre la definición del concepto de ciberseguridad, se aprobó en Guadalajara, Jalisco (México), en el 2010 (Resolución 130). 

Para efectos de estas líneas tomaremos esta definición respaldada por la Unión Internacional de Telecomunicaciones (UIT), organización dependiente de la Organización de las Naciones Unidas (ONU), que describe a la Ciberseguridad en la Resolución 181 (nueva), como “el conjunto de herramientas, políticas, conceptos, salvaguardas, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de una organización y a los usuarios en el ciberentorno“. 

Los activos de la organización son los dispositivos informáticos conectados; también los usuarios, los servicios y aplicaciones, los sistemas de comunicaciones, los multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno.

Las propiedades de la ciberseguridad contienen desde luego los tres elementos básicos y originales con los que nace la protección de la información: Confidencialidad ‘ Integridad ‘ Disponibilidad (Tríada CID), incluyendo también, dentro de la Integridad, los componentes de la autenticación y la no repudiación.

En años recientes, el aumento de las amenazas vinculadas con la gestión del ciberespacio se ha convertido en una fuente de preocupación para todos los países. El incremento de los ataques en contra de instalaciones estratégicas, los intereses económicos, las redes de información y las capacidades de defensa, demuestra que existen gobiernos, grupos criminales locales y organizaciones criminales transnacionales dispuestas a explotar el ciberespacio con propósitos hostiles.

La Resolución 181 expresa lo que se consideran “asuntos de jurisdicción nacional”, donde la UIT focaliza recursos de la ciberseguridad de su ámbito de competencia, excluyendo áreas relacionadas con la aplicación de principios legales y políticos por parte de los Estados Miembros en relación con la seguridad nacional y el ciberdelito, que son derechos soberanos de los países. Ello no excluye la elaboración de recomendaciones técnicas destinadas a reducir las vulnerabilidades de la infraestructura de Tecnologías de Información y la Comunicación (TIC) de las instalaciones estratégicas y sus áreas críticas. 

Como concepción general, suelen describirse a las Infraestructuras Críticas y Áreas Estratégicas, como aquellos activos físicos (instalaciones, redes, suministros, servicios) y activos tecnológicos (tecnologías de Información y Comunicación) que en caso de interrupciones mayores o destrucción (física, tecnológica, cibernética) provocados por fenómenos naturales o por la acción humana, impactarían en la seguridad, la confianza y la tranquilidad de las personas y las comunidades, además de colocar en entredicho la eficacia y operación de las autoridades gubernamentales de un Estado.

En el caso de México, la Constitución Política establece en una parte de su artículo 25 constitucional que “corresponde al Estado la rectoría del desarrollo nacional para garantizar que éste sea integral y sustentable que fortalezca la Soberanía de la Nación”. Señala también que “el sector público tendrá a su cargo las áreas estratégicas”. Éstas conforman, de acuerdo con el artículo 28 de la misma Constitución, por ejemplo, a correos, telégrafos y radiotelegrafía, minerales radiactivos y generación de energía nuclear, energía eléctrica, explotación y extracción del petróleo; la comunicación vía satélite y los ferrocarriles.

Otro ordenamiento, como la Ley General del Sistema Nacional de Seguridad Pública, describe sucintamente en los artículos 146 al 148, cuáles son los activos considerados instalaciones estratégicas, qué autoridades coadyuvarán en su protección, vigilancia y seguridad para garantizar su integridad y operación, así como la creación de un grupo de coordinación interinstitucional que analice la protección de dichas instalaciones.

Creemos que la utilización del enfoque renovado de la Gestión del Riesgo de Seguridad Empresarial (ESRM, por sus siglas en inglés), publicado y promocionado en 2018 por la organización ASIS Internacional en su congreso anual, esta vez celebrado en Las Vegas, Nevada (Estados Unidos), constituye un importante recurso y herramienta metodológica para fortalecer la protección de las instalaciones estratégicas, ya que su temática integra 23 disciplinas, como investigaciones, seguridad física, ciberseguridad, seguridad de la información, gestión de violencia en el lugar de trabajo, gestión de crisis y el plan de continuidad del negocio, así como el ESRM para el Consejo de Directores y Ejecutivos, el proceso de presupuesto de seguridad, las métricas del reporte (KPIs y KPRs) y el camino hacia la convergencia de la seguridad. 

Apuntamos que la misión del ESRM es identificar, evaluar y mitigar el impacto de los riesgos de seguridad hacia los activos de la organización, con acciones priorizadas de protección que le permitan alcanzar metas organizacionales. Que el objetivo es establecer políticas, estándares, procedimientos y mejores prácticas que gestionen los riesgos de seguridad, entendiendo éstos, como aquellos que amenazan con causar un daño a los activos tangibles, intangibles y tecnológicos de una organización, más tratándose de infraestructuras críticas catalogadas como instalaciones estratégicas.  

Artículo exclusivo para la revista 

Seguridad en América (SEA).

El mapa mental adjunto da cuenta de las 23 disciplinas técnicas que incluye un programa completo de ESRM, de acuerdo con la metodología propuesta por Brian Allen y Rachelle Loyear en ASIS International (2018). 

NOTICIA
Imagen Arrestan a General por robo a Pemex

Arrestan a General por robo a Pemex

Viernes 19 de Julio del 2019
Reforma

La Fiscalía General de la República (FGR) aprehendió en Acapulco, Guerrero al General de Brigada en retiro Sócrates Alfredo Herrera Pegueros, quien fuera el número dos de la Subdirección de Salvaguarda Estratégica de Pemex, sólo por debajo del General Eduardo León Trauwitz

ARTÍCULO DESTACADO
Imagen CIBERSEGURIDAD PERSONAL, ¿quién es el enemigo más peligroso?

CIBERSEGURIDAD PERSONAL, ¿quién es el enemigo más peligroso?

Viernes 12 de Julio del 2019
David Chong Chong

La tecnología que antaño era de ciencia ficción, hoy se ha convertido en algo cotidiano. El reloj radioteléfono de Dick Tracy en las tiras cómicas de los años 30 del siglo pasado, hoy está en manos de casi todos, niños inclusive, con los teléfonos móviles. La tecnología no sólo ya está aquí, sino que se ha convertido en algo fundamental que nos da nuevas facilidades y comodidades de vida, pero también nuevas vulnerabilidades? y riesgos

Imagen hid USA
Imagen hid mexico


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar