Algunas normativas disponen cuáles son los sectores que contienen
infraestructuras que deben ser protegidas, pero no especifican
diferencias sobre cómo abordar la
protección en distintos sectores,
delegando esto en estándares reconocidos o guías de buenas prácticas.
Los acontecimientos ocurridos durante los últimos años, desde los
ataques del 11 de septiembre de 2001 a los actos de ciberespionaje
realizados por distintos estados, pasando por las amenazas de Anonymous,
Wikileaks y los efectos de malware como Stuxnet, han llevado a la
mayoría de los gobiernos a incluir en sus agendas el desarrollo de
estrategias y medidas de protección para garantizar la seguridad de sus
infraestructuras
críticas.
Este hecho ha causado que ciertos conceptos, hasta hace poco
restringidos a ámbitos profesionales muy especializados, tengan lugares
destacados en los medios de comunicación y se hayan convertido en
expresiones de uso común. Dos de estos ejemplos son 'Protección de
Infraestructuras Críticas (PIC)' y 'Ciberseguridad
Industrial (CI)', que
aunque en muchas ocasiones son utilizados como sinónimos, poseen
diferencias significativas.
El término 'infraestructura crítica' es empleado por los gobiernos para
describir activos esenciales para el funcionamiento de la sociedad y la
economía. Por tanto, la Protección de las Infraestructuras Críticas nace
debido a la consciencia que adquieren los gobiernos, de la necesidad de
proteger una serie de infraestructuras necesarias para garantizar el
funcionamiento de los servicios esenciales para los países. Con el fin
de cubrir esta necesidad, los gobiernos han desarrollado legislaciones
que establecen las medidas de seguridad que los propietarios y
operadores de las infraestructuras deben implantar para afirmar su
seguridad. Por otra parte, estas leyes disponen cuáles son los sectores
que contienen infraestructuras que deben ser protegidas, pero no
especifica diferencias sobre cómo abordar la
protección en distintos
sectores, delegando esto en estándares reconocidos o guías de buenas
prácticas específicas de cada sector.
La Ciberseguridad Industrial es el conjunto de prácticas, procesos y
tecnologías, diseñadas para gestionar el riesgo del ciberespacio
derivado del uso, procesamiento, almacenamiento y transmisión de
información utilizada en las organizaciones e infraestructuras
industriales, utilizando las perspectivas de personas, procesos y
tecnologías. Existen muchos tipos de industrias, y la mayor parte de
ellas utilizan sistemas de control similares para desarrollar sus
procesos. Estos dispositivos son el principal objeto de la
Ciberseguridad
Industrial.
Diferencias fundamentales
Por tanto, la diferencia fundamental entre PIC y CI es que, aunque una
buena parte de los sectores definidos por la Protección de
Infraestructuras Críticas estarán abarcados por la Ciberseguridad
Industrial, existen otros sectores en los que no existen los sistemas de
control mencionados anteriormente y, por tanto, no estarían dentro del
ámbito de actuación de la CI. Como contrapartida, la Ciberseguridad
Industrial abarca un ámbito mayor que la Protección de Infraestructuras
Críticas, ya que la mayor parte de las instalaciones industriales
existentes en el mundo, no están catalogadas como infraestructuras
críticas y, por tanto, no están sujetas a la legislación PIC.
Sin embargo, existen múltiples puntos de encuentro entre ambos
conceptos. Uno de ellos es el impulso que para las medidas de
Ciberseguridad Industrial en las organizaciones ha supuesto la necesidad
de implantar medidas para alcanzar el cumplimiento legal PIC. Esta es
una de las principales causas de aparición de un negocio relativamente
nuevo en el que aún existe un gran recorrido por hacer y que requerirá
la formación y esfuerzo de muchos profesionales especializados.