En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad. Aunque es cierto que también podemos considerar otras propiedades como “no repudio”, “autenticación”, “trazabilidad”, etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como “CIA triad” (tríada CIA, por Confidentiality, Integrity, Availability).
La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.
En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de “negocio” (ERP, Base de datos de clientes, CRM, …)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).
Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente. Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término “industrial” en su sentido más amplio. En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con “Internet of Things” (IoT) o en todo lo relativo a Smart Cities, por ejemplo.
Al área que se encarga de los ICS la denominamos OT (Operational Technology) y comprende los dispositivos, las redes y el software relacionados con la monitorización y el control de los procesos industriales.
Tradicionalmente, el área de OT ha vivido aislada del área de IT (y viceversa), pero en la actualidad, en la era de lo “Smart”, del “IoT”, de los sistemas SCADA. etc. se está produciendo una aproximación entre ambas áreas en lo que se denomina “Convergencia IT/OT“. Esta convergencia no es tarea fácil y uno de los retos a superar es la diferente visión de los principios de seguridad según el punto de vista de cada área. Si para los equipos de IT (de soporte al negocio) prima la Confidencialidad sobre las otros principios de seguridad, para los ingenieros o técnicos de OT (de “planta”) el orden de importancia de la tríada CIA es absolutamente opuesto: Disponibilidad, Integridad, Confidencialidad, primando por encima de todo la Disponibilidad.
El gráfico representa la inversión de las prioridades en cuanto a seguridad según se trata del área de Sistemas de IT o de Sistemas de OT. Para los de Operaciones (OT) lo más importante es mantener el proceso industrial en funcionamiento, ya se trate de una cadena robotizada de producción; una red de suministro de energía, o de agua potable; o del sistema de control de una red de semáforos inteligentes. La carencia de Disponibilidad podría derivar en una pérdida de control sobre el proceso o que se detuvieran las operaciones, con los consiguientes riesgos que ello implicaría tanto para la seguridad del sistema como para la seguridad física de las personas o los efectos en el medioambiente.
Autor original: JoanFi
