La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial
Ignacio Paredes, Responsable de Estudios e Investigación del Centro de Ciberseguridad Industrial (CCI)
Algunas normativas disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas.
Los acontecimientos ocurridos durante los últimos años, desde los ataques del 11 de septiembre de 2001 a los actos de ciberespionaje realizados por distintos estados, pasando por las amenazas de Anonymous, Wikileaks y los efectos de malware como Stuxnet, han llevado a la mayoría de los gobiernos a incluir en sus agendas el desarrollo de estrategias y medidas de protección para garantizar la seguridad de sus infraestructuras críticas.
Este hecho ha causado que ciertos conceptos, hasta hace poco restringidos a ámbitos profesionales muy especializados, tengan lugares destacados en los medios de comunicación y se hayan convertido en expresiones de uso común. Dos de estos ejemplos son 'Protección de Infraestructuras Críticas (PIC)' y 'Ciberseguridad Industrial (CI)', que aunque en muchas ocasiones son utilizados como sinónimos, poseen diferencias significativas.
El término 'infraestructura crítica' es empleado por los gobiernos para describir activos esenciales para el funcionamiento de la sociedad y la economía. Por tanto, la Protección de las Infraestructuras Críticas nace debido a la consciencia que adquieren los gobiernos, de la necesidad de proteger una serie de infraestructuras necesarias para garantizar el funcionamiento de los servicios esenciales para los países. Con el fin de cubrir esta necesidad, los gobiernos han desarrollado legislaciones que establecen las medidas de seguridad que los propietarios y operadores de las infraestructuras deben implantar para afirmar su seguridad. Por otra parte, estas leyes disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifica diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas específicas de cada sector.
La Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías. Existen muchos tipos de industrias, y la mayor parte de ellas utilizan sistemas de control similares para desarrollar sus procesos. Estos dispositivos son el principal objeto de la Ciberseguridad Industrial.
Diferencias fundamentales
Por tanto, la diferencia fundamental entre PIC y CI es que, aunque una buena parte de los sectores definidos por la Protección de Infraestructuras Críticas estarán abarcados por la Ciberseguridad Industrial, existen otros sectores en los que no existen los sistemas de control mencionados anteriormente y, por tanto, no estarían dentro del ámbito de actuación de la CI. Como contrapartida, la Ciberseguridad Industrial abarca un ámbito mayor que la Protección de Infraestructuras Críticas, ya que la mayor parte de las instalaciones industriales existentes en el mundo, no están catalogadas como infraestructuras críticas y, por tanto, no están sujetas a la legislación PIC.
Sin embargo, existen múltiples puntos de encuentro entre ambos conceptos. Uno de ellos es el impulso que para las medidas de Ciberseguridad Industrial en las organizaciones ha supuesto la necesidad de implantar medidas para alcanzar el cumplimiento legal PIC. Esta es una de las principales causas de aparición de un negocio relativamente nuevo en el que aún existe un gran recorrido por hacer y que requerirá la formación y esfuerzo de muchos profesionales especializados.
Fuente: Red Seguridad
Algunas normativas disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas.
Los acontecimientos ocurridos durante los últimos años, desde los ataques del 11 de septiembre de 2001 a los actos de ciberespionaje realizados por distintos estados, pasando por las amenazas de Anonymous, Wikileaks y los efectos de malware como Stuxnet, han llevado a la mayoría de los gobiernos a incluir en sus agendas el desarrollo de estrategias y medidas de protección para garantizar la seguridad de sus infraestructuras críticas.
Este hecho ha causado que ciertos conceptos, hasta hace poco restringidos a ámbitos profesionales muy especializados, tengan lugares destacados en los medios de comunicación y se hayan convertido en expresiones de uso común. Dos de estos ejemplos son 'Protección de Infraestructuras Críticas (PIC)' y 'Ciberseguridad Industrial (CI)', que aunque en muchas ocasiones son utilizados como sinónimos, poseen diferencias significativas.
El término 'infraestructura crítica' es empleado por los gobiernos para describir activos esenciales para el funcionamiento de la sociedad y la economía. Por tanto, la Protección de las Infraestructuras Críticas nace debido a la consciencia que adquieren los gobiernos, de la necesidad de proteger una serie de infraestructuras necesarias para garantizar el funcionamiento de los servicios esenciales para los países. Con el fin de cubrir esta necesidad, los gobiernos han desarrollado legislaciones que establecen las medidas de seguridad que los propietarios y operadores de las infraestructuras deben implantar para afirmar su seguridad. Por otra parte, estas leyes disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifica diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas específicas de cada sector.
La Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías. Existen muchos tipos de industrias, y la mayor parte de ellas utilizan sistemas de control similares para desarrollar sus procesos. Estos dispositivos son el principal objeto de la Ciberseguridad Industrial.
Diferencias fundamentales
Por tanto, la diferencia fundamental entre PIC y CI es que, aunque una buena parte de los sectores definidos por la Protección de Infraestructuras Críticas estarán abarcados por la Ciberseguridad Industrial, existen otros sectores en los que no existen los sistemas de control mencionados anteriormente y, por tanto, no estarían dentro del ámbito de actuación de la CI. Como contrapartida, la Ciberseguridad Industrial abarca un ámbito mayor que la Protección de Infraestructuras Críticas, ya que la mayor parte de las instalaciones industriales existentes en el mundo, no están catalogadas como infraestructuras críticas y, por tanto, no están sujetas a la legislación PIC.
Sin embargo, existen múltiples puntos de encuentro entre ambos conceptos. Uno de ellos es el impulso que para las medidas de Ciberseguridad Industrial en las organizaciones ha supuesto la necesidad de implantar medidas para alcanzar el cumplimiento legal PIC. Esta es una de las principales causas de aparición de un negocio relativamente nuevo en el que aún existe un gran recorrido por hacer y que requerirá la formación y esfuerzo de muchos profesionales especializados.
Fuente: Red Seguridad
Muy buen aporte, tendras documentacion acerca de como realizar un pentesting a una plataforma scada?, se que se sigue la misma metodologia, pero mi pregunta va en que sistemas cotidianos yo busco " extraer informacion" en cambio en estos busco manipular, ahora bien como se que tengo que manipular? hay poca informacion sobre este tipo de evaluaciones
ResponderBorrar