Muy atrás quedaron aquellos años en los que los análisis de riesgos sobre los activos más importantes de cualquier organización giraban en torno a las amenazas que suponían ciertos grupos de naturaleza variada, como los terroristas, los relativos al crimen organizado y otros, cuyas acciones se dirigían directamente contra estos activos, fundamentalmente de forma física.
Hoy día, el ámbito de las tecnologías de la información y la comunicación ha descubierto una nueva «forma de vida» para muchos de los activos de las organizaciones. Una forma de vida que se basa en el intercambio de información digital, que posibilita o apoya el funcionamiento de éstas y que, en algunos casos, supone el propio servicio de la infraestructura.
Infraestructuras críticas: por qué tienen una protección especial.
Este cambio de paradigma supuso que, hace ya varios años, la seguridad tuviera que incorporar esta área de trabajo como una más a considerar, incluyendo sus elementos endógenos a los análisis de riesgos: amenazas, vulnerabilidades y los posibles distintos escenarios, todos ellos novedosos, que generan su explotación. Entre estos escenarios, que han ido aumentando año tras año debido al uso masivo de estas tecnologías en los distintos procesos productivos, nos encontramos con aquellos que tuvieron su origen debido al impacto directo que tienen en las herramientas y sistemas dedicados a una seguridad física.
La seguridad general (llamemos así a ésta, que excluye a la seguridad lógica del concepto general) puede ser comprometida por amenazas cibernéticas. El escenario ha cambiado totalmente, y por poner un ejemplo, podemos mencionar el hackeo de más de 150.000 cámaras de seguridad, basadas en la nube, que fueron comprometidas en 2021 en Verkada.
Incidencia sobre la ciberseguridad
Por otro lado, no menos importante es la incidencia que la seguridad general tiene sobre la ciberseguridad. A día de hoy, la tendencia es robustecer fuertemente los sistemas informáticos que almacenan información sensible, como datos de clientes, información financiera y propiedad intelectual de las organizaciones. Todo ello dejando de lado y sin considerar adecuadamente que el acceso físico a uno de estos centros de proceso de datos, donde se almacena y gestiona esta información, puede quebrantar todas las medidas de ciberseguridad en fases posteriores y dibujar un escenario mucho más peligroso. No existe solo un caso en el que el robo de portátiles a empleados de una organización con información clasificada no encriptada haya puesto en jaque a la propia organización y a muchos de sus clientes o proveedores.
También huelga hablar actualmente de la estrecha relación entre la seguridad física y la ciberseguridad en lo que a la protección de los empleados de una empresa o de las infraestructuras críticas se refiere. Las actividades delictivas clásicas (amenazas, extorsión, etcétera) contra empleados sirven como vectores de ataque a los sistemas informáticos de sus empresas. Los datos hablan por sí solos, y elevan los porcentajes a niveles por encima del 65-70 por ciento los ciberincidentes en los que, de una u otra forma, han tenido que ver la «amenaza interna» de las propias empresas.
En conclusión, hablar de la relevancia de la ciberseguridad en los sistemas de seguridad general es tan claro y obvio como hablar del impacto de la seguridad general en la seguridad lógica. Una sin la otra no tiene sentido, y cuanto antes se anexen como concepto único, antes elevaremos las cotas de seguridad a los mínimos deseados para poder estar un poco más «seguros».