¿Solo la ciberseguridad es parte de la seguridad de la información?

Varios de los ciberataques nacen en el mundo físico como medio para alcanzar el mundo Ciber, y si hacemos la retrospectiva podemos citar el ataque de Stuxnet del 2010 a la central nuclear de Natanz, en Irán, a través de un malware que tuvo como target el afectar las centrífugas utilizadas para el enriquecimiento de uranio.

Recordemos que esta central estaba “aislada” desde el ámbito lógico y físico, ya que estaba desconectada de internet y físicamente alejada de zonas pobladas, como se puede ver en la imagen sacada de Google Earth.

Un vector de ataque fue el poder ingresar un dispositivo USB al complejo nuclear, que alguien habría tenido que insertar físicamente a una computadora conectada a la red industrial. El gusano penetró así en el sistema informático de la planta a través del cual se hizo posible el ataque lógico que impactó con un retraso de 24 meses al programa nuclear de Irán.

En este caso la cadena fue ingeniería social + seguridad física + ciber = ataque exitoso, la seguridad lógica no fue la única que falló.

Entonces, debemos ampliar el espectro ante estas situaciones y no hablar solo de ciberseguridad como parte de la seguridad de la información, si no también de la seguridad física.

Pero ¿hasta qué punto está el alcance de la seguridad física? La seguridad física no solo trata de vigilantes, guardias o alarmas que protegen la empresa, el alcance es mucho mayor:

• Regulación específica de seguridad privada (Ley)
• Control de acceso
• Videovigilancia
• Detección de intrusos
• Protección de explosivos
• Prevención contra incendios
• Riesgo laboral

El primer paso hacia una mejor respuesta es la unión. Cuando reunimos bajo una misma dirección la seguridad lógica y la seguridad física hablamos de seguridad integrada que nos permite llegar a lograr una seguridad INTEGRAL.

En este caso, el área completa sale del departamento de Sistemas y se ubica en áreas más transversales como Organización, Cumplimiento, Dirección General, etc.

El alcance de la protección de seguridad se amplía hacia lo físico, las personas, los recintos, las infraestructuras de ladrillo y acero, máquinas industriales, vehículos, almacenes, fábricas, oficinas.

Efectivamente las empresas comienzan hace muchos años a conocer el concepto de Seguridad por los temas de Seguridad Física y muchas de las técnicas de protección de la seguridad lógica son heredadas de “la vieja guardia”, nunca mejor dicho: bastionado, usuario y llaves de acceso (contraseñas).

Ambos tienen presente en las estrategias de Seguridad estos 4 conceptos: Disuadir, Detectar, Demorar y Responder.

En los últimos años, la seguridad física está transitando desde medidas tradicionales basadas principalmente en personas y barreras de contención a la seguridad electrónica, que dota herramientas tecnológicas basadas en sistemas de inteligencia artificial, vigilancia con cámaras, alarmas de intrusión, detección de movimiento, control de acceso biométrico (no solo huellas, sino reconocimiento facial y más), entre otros.

Con ello, se está consiguiendo una eficiencia en la cobertura de vigilancia y sobre todo, lograr información digital que no pasa porque una persona digite una planilla de control, sino que la información ya nace en el ambiente lógico, lo que permite análisis automatizados, hablamos de SIEM para datos de Seguridad Física, que puede todavía hoy como “futurista”, lo que claramente permite un análisis mucho más “rico” y que permite crear casos de uso que tienen como input variables de la seguridad lógica y de la física. Cuando llegamos a este punto, donde los mecanismos de protección lógica y física trabajan de manera integrada, hablamos de un concepto que se denomina “Seguridad Convergente” y es natural que la seguridad llegue a este punto, ya que las organizaciones siempre buscan la eficiencia en el consumo de recursos y esta integración es la clave.

Respondiendo a la pregunta de este artículo: No, la ciberseguridad no es la única parte de la seguridad de la información.

Pedro José Novoa Johnson, julio 2019