Identificación de sistemas de control industrial

La información es un elemento fundamental a la hora de plantear las medidas de protección en una corporación. Este conocimiento adquiere además una especial importancia cuando hablamos de empresas de sectores estratégicos, ya que el impacto de cualquier incidente en estas no supone únicamente pérdidas materiales sino que puede traducirse en vidas humanas.

Por ello, la identificación de todos los activos catalogados como críticos o de aquellos operadores estratégicos de un país es de vital importancia para la seguridad nacional. En ese sentido, se están desarrollando una serie de metodologías por parte de la ENISA a fin de ayudar a los estados miembros a la identificación de sus activos estratégicos.

La ENISA analizó los sectores que sus estados miembros consideraban como críticos para proponer una lista completa de sectores, subsectores y servicios críticos de forma que los estados miembros pudieran identificar a sus empresas estratégicas de forma sencilla y estructurada. La lista publicada por ENISA se reproduce en la siguiente imagen:

Una vez identificados los sectores críticos, la identificación de los activos y servicios puede tener dos orientaciones en función de quién dirige la identificación de los servicios:

• Identificación dirigida por el Estado: en cuyo caso las agencias gubernamentales (generalmente los ministerios) tendrán el mandato de identificar y proteger las infraestructuras críticas (IICC). En primer lugar, el Estado lista sus sectores críticos y después busca metódicamente los servicios críticos del mismo. Posteriormente se identifican los operadores de dichos servicios que pueden colaborar en el control e identificación de los activos sobre los que se sustentan.
• Identificación dirigida por los operadores: donde la identificación la dirigen los operadores de IICC. En este caso, el Estado identifica una serie de operadores “vitales” que son los responsables de identificar los servicios críticos individuales y los activos que deben cumplir una serie de análisis de riesgo y directivas de gestión del riesgo. La agencia estatal responsable revisa los servicios seleccionados y los activos junto con los planes de protección.

Esta metodología propuesta por la ENISA se recoge en el documento “Methodologies for the identification of Critical Information Infrastructure assets and services” que se puede descargar en esta página web.

Sea cual sea la orientación elegida por los estados miembros en la identificación de los servicios críticos, se hace necesaria la colaboración por parte del operador que, no tiene por qué tener el personal adecuado para la realización de la auditoría necesaria en la identificación de los activos sobre los que se apoyan los servicios.

Para proporcionar proveedores adecuados a los operadores estratégicos, se ha publicado por parte del CCI el Catálogo de Proveedores de servicios y soluciones de Ciberseguridad Industrial 2015, que contiene un catálogo exhaustivo de proveedores especialistas en ciberseguridad Industrial, de forma que los operadores estratégicos sean capaces de apoyarse en estos para la realización de la tarea de identificación de activos y análisis de riesgo, o cualquier otra tarea para la que necesiten apoyo especializado.

El catálogo se divide en dos partes, una dedicada a los Servicios y otra a las Soluciones. Dentro de los servicios se pueden encontrar proveedores de servicios de CERT, SOC, Auditoría, Formación… Las soluciones se centran más en Control de Acceso, Monitorización, Protección…