Protección de Infraestructuras Críticas

Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Infraestructura Crítica

La Protección de Infraestructuras Críticas (CIP) representa un tema relativamente fluido y cada vez más amplio. Como su nombre lo indica, “Infraestructura Crítica” incluye “los activos, sistemas y redes, ya sean físicos o virtuales, tan vitales para los Estados Unidos que su incapacitación o destrucción tendría un efecto debilitante en la seguridad, la seguridad económica nacional, la salud o la seguridad pública nacional, o cualquier combinación de ellas”.16 Estimaciones informales sugieren que el 75-80% de la infraestructura crítica de nuestra nación es de propiedad privada, lo que complica aún más la coordinación necesaria para asegurar que estos recursos críticos estén protegidos. El número total y la naturaleza de los sectores de infraestructura crítica individuales han cambiado con el tiempo a medida que el concepto y las operaciones relacionadas han evolucionado, pero la lista más reciente promulgada por el Departamento de Seguridad Nacional de los Estados Unidos incluye lo siguiente:

• Sector químico
• Sector de instalaciones comerciales
• Sector de comunicaciones
• Sector manufacturero crítico
• Sector de las presas
• Sector de la base industrial de la defensa
• Sector de servicios de emergencia
• Sector de la energía
• Sector de servicios financieros
• Sector agroalimentario
• Sector de instalaciones gubernamentales
• Sector sanitario y de salud pública
• Sector de la tecnología de la información
• Sector de reactores, materiales y residuos nucleares
• Sector de sistemas de transporte
• Sector del agua y de las aguas residuales

Si bien todos estos sectores son importantes por definición, algunos son más importantes que otros en la medida en que encarnan la criticidad diferencial y/o la resistencia.

Una Conclusión

Por lo tanto, una lista más corta de sectores, que tienden a ser definidos por el usuario, es a menudo referida como “CIP de línea de vida” en referencia al vínculo directo con el sostenimiento de la vida.

Puntualización

Sin embargo, tal y como se destaca en la literatura de 4WG, la interrupción de la infraestructura y los recursos considerados críticos pero no definidos o percibidos como “línea de vida” todavía tiene el poder de crear un desorden (trastorno) social significativo y un descontento civil relacionado. Esto fue claramente evidente durante las secuelas del huracán Katrina. Tal como lo ilustran los eventos en el Memorial Hospital y otras instalaciones de atención médica y hogares de ancianos en la región; la pérdida de energía, la interrupción de las comunicaciones e incluso las privaciones percibidas pero no reales durante un período de tiempo relativamente corto dieron como resultado decisiones cada vez más deficientes, incluida la eutanasia de los pacientes.Por lo tanto, además de los ataques reales y la interrupción intencional de la infraestructura crítica, otros escenarios posibles incluyen el “próximo gran”, en lo que respecta a la enfermedad pandémica global. De manera similar, es probable que las interrupciones de la infraestructura asociadas con un terremoto importante u otros desastres naturales también provoquen pánico, anarquía y desorden (trastorno) social general.

Revisor: Lawrence

Ciberseguridad y Protección de Infraestructuras Críticas

Esta sección, junto con el resto de la entrada, se centra principalmente en el significado de los términos ciberseguridad e infraestructura crítical, las funciones de los diversos organismos del gobierno federal en el mantenimiento de la ciberseguridad y la protección de la infraestructura crítical, las responsabilidades de ciberseguridad de los gobiernos locales y estatalesl, la ciberseguridad del sector privado e infraestructura crítica, las responsabilidades de protección y los programas que existen para ayudar a las entidades a responder a los problemas de ciberseguridad y de infraestructura crítica.

▷ En este Día de 12 Mayo (1949): Berlín queda Desbloqueada

En este día del año 1949, La Unión Soviética levanta el bloqueo de Berlín.

El ciberterrorismo es el más reciente de todos los métodos de ataque terrorista, y se define como el uso o la destrucción de recursos informáticos o de tecnología de la información con el fin de dañar, coaccionar o intimidar a otros con el fin de lograr un objetivo político o ideológico mayor (diferenciando así el ciberterrorismo del ciberdelito, que solo busca el beneficio personal o la notoriedad).

El ciberterrorismo se ha convertido más recientemente en una amenaza importante, que continúa aumentando en severidad con cada año que pasa, a medida que crece la dependencia de nuestra nación y del mundo en la tecnología de la información, las computadoras y el Internet. Esta dependencia ha llegado a existir en virtualmente todos los sectores de la sociedad, comenzando con nuestros motores económicos, abarcando casi todos los componentes de nuestros sistemas críticos y otros sistemas de infraestructura (incluyendo sistemas de comunicación, instalaciones de generación de energía, plantas de tratamiento de agua, represas, transporte y muchas otras áreas), e incluso incluyendo el comando militar de la nación y los mecanismos e instalaciones de control. Los sistemas actuales son intrínsecamente inseguros, como lo demuestra la piratería de los sistemas del Pentágono y del contratista de defensa Lockheed Martin. A esta amenaza se suman los individuos y naciones que son adversarios de los EE.UU. y que por lo tanto buscan explotar nuestra dependencia del ciberespacio. Aunque ya se han tomado muchas medidas para proteger estos sistemas, ya sean extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) o nacionales, nuestra creciente dependencia de la tecnología aumenta enormemente las posibles consecuencias si estos sistemas se ven comprometidos, interrumpidos o destruidos. Los criminales y terroristas están desarrollando constantemente nuevas e innovadoras formas de comprometer estos sistemas cada vez más complejos en los que confiamos.

Revisor: Lawrence

Autoridades legislativas y reguladoras

Las organizaciones del sector de HPH están sujetas a una amplia gama de autoridades legislativas y reguladoras a nivel federal, estatal y local. La HSPD-7 establece una base nacional para la protección de infraestructuras críticas que incluye el sector de la salud pública. La Ley de Preparación para Pandemias y Todo Tipo de Peligros promueve la capacidad de recuperación a través del HHS y de múltiples programas médicos. La HSPD-21 establece un plan para satisfacer las necesidades médicas de los ciudadanos en un evento de salud catastrófico. La Ley de Tratamiento Médico de Emergencia y Trabajo de Parto Activo exige que los hospitales traten a los pacientes que necesitan atención de emergencia, independientemente de su estado de seguro. Las situaciones de desastre que involucran víctimas masivas gravan los recursos de las instalaciones críticas en términos de mano de obra, suministros médicos y espacio.

Se puede encontrar orientación legal adicional para este sector a través de leyes como HIPAA, SOX y la NLRA. La Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (Health Insurance Portability and Accountability Act of 1996, HIPAA) es una ley diseñada para mejorar la prestación de servicios de atención médica, reducir los costos (o costes, como se emplea mayoritariamente en España) al disminuir los registros y reclamos en papel, mejorar la transmisión electrónica de documentos, asegurar los datos médicos y la información del paciente, prevenir errores en el sistema de atención médica y transferir fondos de manera más segura. Las regulaciones requieren que las entidades realicen un análisis de riesgo para identificar los riesgos a la confidencialidad, integridad, y disponibilidad de la información de salud que controlan. Las medidas de seguridad deben ser documentadas. Incluyen tecnologías específicas (por ejemplo, encriptación) o procedimientos específicos. Cada violación de la seguridad de los datos puede costar a las entidades de salud millones de dólares por gastos tales como la notificación a los clientes y el pago de honorarios legales y multas reglamentarias.Entre las Líneas En un caso, el HHS multó a una entidad de atención médica con 5,3 millones de dólares cuando un empleado dejó en un tren un ordenador portátil que contenía datos de un paciente. Estos incidentes se mitigan mediante el cifrado, la eliminación remota de datos y la eliminación de datos después de varios intentos fallidos de contraseña.

Observación

Además de la HIPAA, las leyes y regulaciones estatales sobre la protección de los datos de los pacientes se están volviendo más estrictas (Wagley, 2011: 52-58).

▷ Lo último (mayo 2024)

Lo último publicado esta semana de mayo de 2024 en esta plataforma digital:

Tipos de Incapacidades Jurídicas

Compraventa Mercantil

Cuenta Corriente Mercantil

▷ Noticias internacionales de hoy por nuestros amigos de la vanguardia (nota: en muchas noticias tienen muro de pago):

• Epidemia de violencia política
• Rusia supera a Ucrania en cantidad y calidad en todo tipo de armas y en hombres movilizados
• Los colonos multiplican los ataques en Cisjordania a la sombra de la invasión de Gaza
• Putin sustituye a Shoigú como ministro de Defensa
• Macron estudia retar a un duelo a Le Pen para frenar su ascenso en los sondeos

La HIPAA permite a las compañías liberar información de salud protegida a una agencia de aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) bajo ciertas condiciones específicas. Por ejemplo, un hospital debe reportar ciertos tipos de heridas, como heridas de bala. La información solicitada debe ser divulgada en cumplimiento de una orden judicial, una orden de arresto (o de detención; véase qué es, su concepto jurídico; y también su definición como “Arrest Warrant” en derecho anglosajón, en inglés) o una citación judicial o gran jurado emitida o una citación o citación administrativa.

La Comisión Conjunta, anteriormente conocida como la Comisión Conjunta de Acreditación de Organizaciónes de Salud (JCAHO), es una organización independiente, sin fines de lucro y una fuerza dominante en la promoción de estándares en el campo de la salud que afectan el financiamiento del gobierno. La Joint Commission se ocupa de cómo los hospitales deben proporcionar un entorno seguro para los pacientes, el personal y los visitantes. Se requieren planes específicos por escrito para la seguridad de los estándares del “ambiente de cuidado” (EC). Estos incluyen el mantenimiento de un programa de administración de seguridad y el tratamiento de las preocupaciones de seguridad relacionadas con la protección de las personas y los bienes. Otros estándares se centran, por ejemplo, en la capacitación y el manejo de emergencias.

Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2024 o antes, y el futuro de esta cuestión):

Ejemplos de otras organizaciones que supervisan los requisitos reglamentarios incluyen OSHA, departamentos gubernamentales de salud que realizan una variedad de deberes para proteger la salud y seguridad del paciente, Centros de Servicios de Medicare y Medicaid cuyos deberes se centran en la mitigación del fraude, y los departamentos de edificios y bomberos del gobierno local que garantizan el cumplimiento del código. Para aquellos grandes centros médicos/instalaciones de investigación que utilizan materiales radioactivos, la Comisión Reguladora Nuclear exige requisitos estrictos de seguridad y protección.

Aunque no es una autoridad reguladora, la Asociación Internacional para la Seguridad de la Atención Médica (IAHSS), fundada en 1968, desarrolla estándares para las prácticas de seguridad de la atención médica, la capacitación y las certificaciones. Este grupo mejora el profesionalismo de quienes protegen las instituciones de salud. Es una organización sin fines de lucro para los profesionales de seguridad hospitalaria, de aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) y de seguridad. La IAHSS administra la credencial de Administrador Certificado de Protección de Atención Médica (CHPA) y publica el Journal of Healthcare Protection Management. Para las diversas certificaciones, los estudiantes estudian las publicaciones de la IAHSS (Asociación Internacional para la Seguridad de los Cuidados de Salud, 2012).

Revisor: Lawrence

Corporación de Confiabilidad Eléctrica de América del Norte: Protección de Infraestructuras Críticas (NERC CIP)

La North America Electric Reliability Corporation acaba de empezar a implementar las directrices de protección de infraestructuras críticas. Lo que PCI DSS es para la industria minorista, NERC CIP es para la industria eléctrica y de servicios públicos. Se trata de un conjunto de directrices reveladoras que abordan nueve áreas que son específicas en cuanto a la provisión de políticas, educación, auditoría, informes y controles de compensación de seguridad, por nombrar algunas. Estas pautas son relativamente nuevas y actualmente se están aplicando en todas las empresas de electricidad dentro de los Estados Unidos. La capacidad de obtener el control de la infraestructura de una empresa de electricidad ha sido probada y reportada en la última década. Lo que está en juego es mucho mayor desde el punto de vista de la seguridad cibernética debido a la naturaleza de un ataque cibernético a una compañía eléctrica. Estos resultados específicos probablemente no son los objetivos de un ciberdelincuente medio, pero sin duda están al alcance de la actividad patrocinada por el estado y por otros organismos. A diferencia de PCI DSS, los requisitos de seguridad en NERC CIP son de un nivel muy alto. A continuación se muestra un ejemplo:

CIP-005-2 R1 Perímetro de Seguridad Electrónica-La Entidad Responsable debe asegurarse de que todos los Activos Cibernéticos Críticos residan dentro de un Perímetro de Seguridad Electrónica. La entidad responsable identificará y documentará el perímetro o perímetros electrónicos de seguridad y todos los puntos de acceso a los mismos.

El objetivo aquí es proporcionar el control de acceso y la segmentación a un activo cibernético crítico (CCA). Una vez más, como la mayoría de las mejores prácticas y el cumplimiento de la normativa que hemos mencionado en este texto y en otros de esta referencia, con la excepción del PCI DSS, no definen un perímetro de seguridad electrónica. Esto es importante porque esto lleva a muchas interpretaciones y tipos de tecnologías diferentes que podrían ser consideradas en el despliegue de un perímetro de seguridad electrónica.Entre las Líneas En nuestra investigación, hemos encontrado muchas organizaciones de terceros que definen el perímetro de seguridad electrónica como el despliegue de un cortafuegos, UTM y un sistema de detección de intrusos. Aunque estos son grandes controles compensatorios y mejores prácticas dentro de cualquier infraestructura de TI, carecen de la capacidad de prevenir un ataque. La protección de las estructuras críticas debe ir más allá de los controles de seguridad adecuados y razonables. La necesidad de soluciones de seguridad preventivas e inteligentes debe ser señalada dentro de las directrices para que no haya ambigüedad en cuanto a lo que se necesita implementar para proteger la infraestructura crítica. Esto no quiere decir que estas directrices específicas estén equivocadas o desorientadas. Lo que les falta, en opinión de los autores, es el nivel de detalle en la cuantificación del perímetro de seguridad electrónica. Como hemos mencionado a lo largo de todo el libro, las amenazas persistentes avanzadas, a las que denominamos amenazas subversivas multivectoriales, son reales y extremadamente sofisticadas y requieren soluciones preventivas e inteligentes que minimicen el riesgo asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) a este tipo de vectores de ataque que son comunes en este vertical específico de la industria.

Estándares y Regulaciones

Es difícil discutir la seguridad de las infraestructuras críticas sin referirse a los estándares de confiabilidad de la Protección de Infraestructuras Críticas de las Corporaciones de Confiabilidad Eléctrica de Norteamérica (NERC CIP). Aunque las normas CIP de NERC solo son aplicables a los sistemas eléctricos masivos de América del Norte, las normas representadas son técnicamente sólidas y están alineadas con otras normas, y se presentan con el espíritu de mejorar la seguridad y la confiabilidad de la industria eléctrica.1 Además, las infraestructuras críticas de las empresas de servicios eléctricos -específicamente los sistemas de control distribuido responsables de la generación de electricidad y las estaciones, subestaciones e instalaciones de control- utilizan activos y protocolos de red industrial comunes, lo que hace que las normas sean relevantes para una base más amplia de operadores de redes industriales.

El NERC consiste en nueve controles de gestión de configuración separados:

• CIP-001-4-Reporte de sabotaje. Requiere que todas las perturbaciones o sucesos inusuales, que se sospeche o se determine que han sido causados por sabotaje, sean reportados a los sistemas apropiados, agencias gubernamentales y entidades reguladoras.
• CIP-002-4-Identificación de activos cibernéticos críticos. Requiere la identificación y documentación de los Ciberactividades Críticas asociadas a los Activos Críticos que soportan el funcionamiento fiable del Sistema Eléctrico a Granel. Estos Activos Críticos deben ser identificados a través de la aplicación de una evaluación basada en el riesgo.
• CIP-003-4-Controles de gestión de la seguridad. Requiere que las entidades responsables dispongan de un mínimo de controles de gestión de la seguridad para proteger los ciberactivos críticos.
• CIP-004-4-Personal y capacitación. (Tal vez sea de interés más investigación sobre el concepto). Requiere que el personal que tiene acceso cibernético autorizado o acceso físico autorizado sin escolta a los Activos Cibernéticos Críticos, incluyendo contratistas y proveedores de servicios, tenga un nivel apropiado de evaluación de riesgos del personal, entrenamiento y conciencia de seguridad.
• CIP-005-4-Perímetro(s) de Seguridad Electrónica. Requiere la identificación y protección del Perímetro(s) de Seguridad Electrónica dentro del cual residen todos los Activos Cibernéticos Críticos, así como todos los puntos de acceso del perímetro.
• CIP-006-4-Seguridad Física de los Activos Cibernéticos Críticos. Garantiza la implementación de un programa de seguridad física para la protección de los Ciberactivos Críticos.
• CIP-007-4-Gestión de la seguridad de los sistemas. Requiere que las Entidades Responsables definan métodos, procesos y procedimientos para asegurar aquellos sistemas que se determinen como Ciberactivos Críticos, así como los demás Ciberactivos (no críticos) dentro del Perímetro(s) de Seguridad Electrónica.
• CIP-008-4- Reporte de incidentes y planificación (véase más en esta plataforma general) de respuestas. Asegura la identificación, clasificación, respuesta y reporte de los incidentes de seguridad cibernética relacionados con los activos cibernéticos críticos.
• CIP-009-4-Planes de recuperación para activos cibernéticos críticos. Garantiza que se establezcan planes de recuperación para los ciberactivos críticos y que estos planes sigan las técnicas y prácticas establecidas de continuidad de negocio y de recuperación de desastres.

Nota: Las normas CIP de NERC han sido mapeadas a controles de seguridad comunes bajo la sección “Mapeo de la seguridad de la red industrial para el cumplimiento”.

Revisor: Lawrence y otros

▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.