miércoles, 15 de noviembre de 2017

La certificación y la seguridad

¿Puede un ayuntamiento dejar sin servicios a sus ciudadanos por una subida de tensión en uno de sus servidores? ¿Puede un proveedor como OVH dejar de funcionar por sendas anomalías físicas y lógicas contra sus centros de procesos de datos?
En estos últimos tiempos, recibimos continuamente noticias sobre ciberataques, de tal manera que se han convertido en un tema habitual de conversación. Sin embargo, hay una infraestructura física detrás que es necesario proteger y planificar de tal manera que se identifiquen aquellos puntos únicos de fallo que pueden poner en riesgo la instalación.
Esta preocupación es común con otras infraestructuras críticas en las que es necesario tener en cuenta elementos como:


  • Entorno donde se construye la instalación valorando previamente el tipo de suelo y posibles riesgos debidos al entorno (i.e. posibilidad de desastres naturales, capa freática, resistencia del propio suelo, vías de acceso, etc.).
  • Material utilizado para su construcción, con exigencias específicas para ciertas infraestructuras como las centrales receptoras de alarmas.
  • Suministro eléctrico, para garantizar la continuidad del servicio, lo que parece que ha sido el caso del Ayuntamiento de Alcorcón y de OVH.
  • Políticas de prevención de incendios.
  • Control de accesos y video vigilancia, para evitar posibles casos de sabotaje.
  • Cableado estructurado y no accesible para evitar su ataque intencionado o su desenchufe accidental.
  • Medidas organizativas suficientes para asegurar la respuesta frente a estos incidentes cuando ocurran.
  • Procedimientos documentales para respaldar la operativa. 
Aunque es cierto que hoy día hay muchas organizaciones profesionales capaces de garantizar dichas instalaciones, la certificación adquiere un valor especial en estos momentos ya que un tercero verifica que los riesgos se han minimizado y a su vez ofrece recomendaciones prácticas para mejorar y aminorar estos riesgos en caso de que se produzcan.
La seguridad total no existe, pero sí la capacidad que siempre ha demostrado el ser humano (no solo en estos últimos años en temas digitales) de preveer situaciones críticas y sobre todo poder resolverlas.