Un estudio advierte que la seguridad informática en las empresas debe ir más allá de las oficinas
CGP/DICYT Los sistemas informáticos están indisolublemente ligados al día a día en las fábricas y oficinas. No solo se utilizan en las tareas administrativas de la empresa, sino también en el control de los procesos industriales (la fabricación de cualquier producto) y la gestión de las infraestructuras e instalaciones. El proceso de fabricación de medicamentos, la climatización de las oficinas, las labores de prensado en una almazara o la gestión de los ascensores del edificio, son sólo unos ejemplos. Todas estas tareas se suelen llevar a cabo mediante los llamados sistemas Scada (siglas en inglés de Control de Supervisión y Adquisición de Datos) que permiten automatizar y mejorar la eficiencia. Sin embargo, estos sistemas no están exentos de sufrir riesgos: como ataques externos, software malicioso, intrusiones, sabotajes o espionaje.
Los medios de comunicación se han hecho eco de varios casos de incidentes de seguridad en los sistemas Scada de infraestructuras y plantas de producción industrial. Quizás el más conocido por su gravedad fue el ataque basado en el troyano Stuxnet, que en 2010 afectó a instalaciones nucleares de Irán. Pero existen muchos otros casos como la intrusión el pasado mes de noviembre en dos plantas de potabilización y distribución de agua de Illinois (Estados Unidos), que llegó a cortar el suministro de toda una ciudad.
Aunque los casos más llamativos afectan a infraestructuras catalogadas como críticas, siempre es posible que un atacante centre su atención en objetivos de menor alcance. Que las consecuencias de estos ataques no tengan la gravedad ni alcance que aquellos otros, no quiere decir que sus no sean importantes, tanto para la seguridad física de las personas como por las pérdidas económicas que acarrean para las empresas afectadas. Por ello es fundamental una adecuada gestión de los sistemas Scada desde el punto de vista de la seguridad.
Con este objetivo, el Instituto Nacional de Tecnologías de la Comunicación (Inteco), ubicado en León, ha publicado los resultados de un estudio sobre la seguridad de los sistemas Scada, realizado por su Observatorio de la Seguridad de la Información. Se trata de un proyecto de investigación con una metodología cualitativa basada en entrevistas a profesionales de prestigio y expertos en estos sistemas y su seguridad.
Conclusiones del estudio
El estudio tiene como finalidad ofrecer información sobre los sistemas Scada, identificar los beneficios que aportan sus posibles usos y señalar los retos que se deben afrontar en su implantación y los posibles riesgos que se deben considerar. Finalmente, el informe recoge medidas y buenas prácticas, así como una serie de recomendaciones dirigidas tanto a las empresas usuarias como para los fabricantes y las administraciones públicas.
Entre las conclusiones de este Estudio cabe destacar la necesidad, por parte de muchas empresas, de “reformular” su concepción de la seguridad, ya que en muchos casos “se mantiene en una visión que limita la protección a los accesos físicos y a la información que se considera confidencial, olvidando que los ataques informáticos pueden llegar a suponer la pérdida de control de los procesos productivos e incluso su inutilización permanente”. Al mismo tiempo, el estudio destaca “la necesidad de concienciación sobre seguridad, tanto entre los trabajadores como entre los empresarios”.
Por ello, el Inteco presentará próximamente una Guía práctica dirigida a empresas (especialmente las pymes) en la que se expondrán, entre otros aspectos, los posibles riesgos y las medidas de seguridad y buenas prácticas que se aconseja poner en marcha.