4ENISE. Día 1: PIC

(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)

Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.

Comenzó el día con una sesión plenaria sobre los esquemas nacionales de seguridad en Europa, sesión en la que lo más repetido fue el término COLABORACIÓN para poder proteger las infraestructuras críticas de los países miembros y de Europa en su conjunto de forma adecuada. ¿Recordáis el congreso del CNPIC al que acudimos en febrero y que ya contamos en este blog? Ponentes diferentes pero la misma idea una vez más; si tan necesaria es la colaboración… Por qué nos cuesta tanto potenciarla?

Tras la plenaria, un par de talleres (mañana y tarde) sobre protección de infraestructuras críticas, ahora con dos términos que destacaron por encima de los demás: SCADA y resiliencia (esta última aún no incluida en el DRAE, pero estamos en ello). Parece que el problema de la PIC se centra en la (in)seguridad en los entornos SCADA, algo que parece obvio pero que me hace plantearme algunas preguntas: ¿qué pasa con los ataques a las personas? ¿Qué pasa con los accidentes y los desastres naturales? Qué pasa con el terrorismo “clásico”? La protección frente a actos delictivos, ciberterrorismo y demás esta muy bien (por supuesto), pero no debemos descuidar ningún otro aspecto o acabaremos mal. Hablar de SCADA “mola”, pero garantizando la seguridad de estos sistemas no garantizamos la “invulnerabilidad” de una infraestructura crítica.

En cuanto a resiliencia, palabra que también está de moda, una pregunta que nos lanzó el ponente: ¿sirven los paradigmas clásicos de seguridad para proteger las infraestructuras críticas o debemos ampliar nuestra visión? ¿Seguimos hablando de confidencialidad, integridad y disponibilidad o ahora hay algo más? Casi nada :) Como decía Darwin, no sobreviven los más fuertes ni los más inteligentes, sino los que mejor se adaptan al cambio…

Para acabar, una reflexión adicional. Se habló mucho (sobre todo en la plenaria) de CERTs. El concepto clásico de CERT está a punto de cumplir 22 añitos (ahí queda eso) y, bajo mi punto de vista, la visión clásica de estos centros es necesaria pero no suficiente. Por supuesto que debemos estar preparados para responder adecuadamente a incidentes, pero en la actualidad creo que los centros de seguridad (SOC o como los queramos llamar, pero no CERT) deben ser más preventivos que reactivos y además potenciar no una respuesta focalizada en la parte técnica sino una respuesta integral, por supuesto junto a otro tipo de servicios que sobrepasan el ámbito de un CERT tradicional… ¿Por qué seguimos hablando de CERTs? Esto será un tema para otro post, del que ya tenemos el título: del gusano de Morris a Stuxnet (gracias Xavi :).

Seguiremos informando.

Comments

  1. Para tranquilidad de la comunidad técnica: El DRAE, en su próxima (vigésimotercera) edición, incluirá esta definición de resiliencia:

    1. f. Psicol. Capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas.
    2. f. Mec. Capacidad de un material elástico para absorber y almacenar energía de deformación.

    No hay ninguna acepción relacionada con los sistemas, pero, al menos, es un principio.

  2. Hablar de SCADA no “mola”, hablar de SCADA es necesario. Las infraestructuras críticas tradicionales tiene estatus y seguridad garantizada militarmente, como es el caso de nucleares. En un congreso de seguridad de la información creo que no corresponde hablar de seguridad física o cuestiones operativas. Otra cosa fue el CIIP donde sí era multidisciplinar y se abordaron estos problemas.

    Las I.C siempre han estado ahí, el problema ahora es que además de estar “ahí” están a n km de distancia, pudiendo ser manejadas remotamente. Eso es lo que ha cambiado.

  3. Rubén, Toni es uno de los gran defensor de la importancia de SCADA, pero creo que su intención es transmitir que aunque a SCADA se le está dando la importancia que siempre ha merecido, hay otros aspectos que se están dejando de lado. Dicho de otra forma, que en las IC las amenazas no vienen sólo por SCADA.

    Estaremos de acuerdo en que no todas las IC tienen la seguridad de una planta nuclear, aunque el impacto de una amenaza sobre éstas pueda ser muy elevado.

  4. http://Antonio%20Villalon says

    Hola Rubén

    Manolo lo podía decir más alto pero no más claro. No digo que SCADA no sea importante (al revés), sino que es tan importante como tantas otras cosas, y la percepción de que asegurando el sistema SCADA tenemos la vida resuelta puede ser peligrosa (y con esa percepción salí del taller, no sé si correcta o incorrectamente).
    Saludos
    T