Please Go to Settings and Configure Slideshow

07 Sep 2017

Artículo

 

Integrando la Ciberseguridad en el Sistema de Comando de Incidentes en un entorno de emergencia en evolución

 

 

MATTHEW RYAN ZISKA

CSP, CBCP

 


Matthew Ryan Ziska, es un gerente de programa senior que contribuye a los exitosos programas de preparación y seguridad en Xcel Energy. Es un profesional de seguridad galardonado con un historial comprobado de logros en las profesiones de seguridad, medio ambiente y manejo de emergencias. Ziska actualmente obtiene su doctorado en política pública y administración de Walden University y posee certificaciones profesionales en seguridad y continuidad de negocios.

Integrando la Ciberseguridad en el Sistema de Comando de Incidentes en un entorno de emergencia en evolución

 

El panorama de la amenaza está cambiando con la aparición de las amenazas cibernéticas en forma de software malicioso o malware. El gobierno de los Estados Unidos está esforzándose en buscar la manera de asegurar que la nación esté preparada para responder a un ataque cibernético que irrumpa infraestructura vital y sistemas relacionados. Nuevas oportunidades de subvenciones para gobiernos locales y estatales están evaluando cómo deben ser manejados los eventos cibernéticos y cómo la respuesta cibernética podría encajar en el marco de respuesta del Sistema Nacional de Gestión de Incidentes (NIMS). El NIMS fue adoptado en respuesta a los ataques del 11 de septiembre de 2001 y ha sido usado principalmente para emergencia que impacten en el mundo físico. La introducción de un software malicioso que puede causar disrupciones en la red de computadoras puede causar consecuencias físicas reales para la vida y propiedades. El Sistema de Comando de Incidentes (ICS) responde eficazmente al aspecto físico de la emergencia que puede tener que evolucionar para incluir las profesiones de tecnología de la información y ciberseguridad para gestionar, investigar y responder a la amenaza cibernética. Este artículo examina la integración de la función de ciberseguridad en el ICS proveyendo un modelo para su inclusión.

 

Introdución

 

Imagine que es el final del día de trabajo y los residentes de una ciudad concurrida están regresando a sus casas. La compañía de energía de la ciudad está en medio del cambio de turno, y un empleado del control de operaciones nota que el cursor de su computadora se está moviendo por sí sola en la pantalla. El cursor empieza a moverse hacia los controles del interruptor de la pantalla de las subestaciones, y los datos de frecuencia de carga empiezan a mostrar intervalos de tolerancia que se aproximan a niveles preocupantes. Los interruptores de subestación empiezan a abrirse, y el equipamiento empieza a estar fuera de línea, ocasionando una falla total del sistema y cortes de energía en masa a través de la red de distribución eléctrica.

Este escenario, desafortunadamente, no es un hipotético en el mundo dependiente de la tecnología en el que vivimos. Este escenario es tomado directamente de lo ocurrido el 23 de diciembre de 2016, en la región oeste de Ucrania, dejando 230 mil residentes sin energía y calefacción. ¿Qué hubiera pasado si malos actores hubieran atacado exitosamente el sistema de control industrial de la planta de energía de los Estados Unidos, de la refinería o controles locales como luces de tráfico, puentes o suministros de agua? Este artículo explora el plan de respuesta de los Estados Unidos usando el Sistema Nacional de Gestión de Incidentes y posibles soluciones para integrar ciberseguridad dentro del plan de respuesta.

 

Sistema Nacional de Gestión de Incidentes

 

Los ataques al World Trade Center el 11 de septiembre de 2001 llevaron al gobierno de los Estados Unidos a mejorar la coordinación de múltiples agencias durante los eventos críticos iniciando NIMS mientras adoptaba los ICS del marco nacional para gestión de emergencias. NIMS es un enfoque de “todos los peligros” que gobierna la gestión de crisis con la expectativa de que cada organización local, estatal, federal y no gubernamental use este marco para gestionar eventos de emergencia para asegurar que los objetivos comunes sean alcanzados.

NIMS está compuesto de 7 elementos incluyendo adoctrinamiento, entrenamiento, gestión de recursos, implementación y reportes, alertas, contactos regionales de la Agencia Federal para el Manejo de Emergencias (FEMA) y el ICS. Como se indicó anteriormente, este artículo se centrará en el ICS, que es un marco que promueve la interoperabilidad de organizaciones gubernamentales y no gubernamentales cuando se trabaja en incidentes de pequeña a gran escala.

 

Sistema de Comando de Incidentes

 

El Sistema de Comando de Incidentes (ICS) apareció en 1970 luego de la temporada de incendios forestales en California. La temporada de incendios fue devastadora para el paisaje de California y los recursos del gobierno hasta el punto en que la comunicación y la coordinación de apoyo fueron problemáticos.

En 1972, dos años después de los devastadores incendios, el Congreso patrocinó la Coalición de Combate a Incendios en el Sur de California organizada para Emergencias Potenciales (FIRESCOPE) para desarrollar un proceso de respuesta de múltiples organismos para hacer frente a emergencias complejas. La coalición de FIRESCOPE se suspendió proporcionando a la nación un moderno enfoque y marco de gestión de emergencias.

El ICS es una estructura de gestión que organiza la respuesta a emergencias. La estructura del ICS proporciona la capacidad de ser escalable de forma fluida en cualquier punto durante el ciclo de vida de una emergencia. El ICS se compone de un staff de comando y un staff general. El primer grupo consiste en el Comandante de Incidentes, Oficial de Información Pública y Oficial de Seguridad. El Comandante de Incidentes es el individuo responsable por cada aspecto de la respuesta de emergencia. Tiene una autoridad operacional general y es responsable por desarrollar estrategias de respuesta, tácticas operacionales, recursos y seguimiento financiero. El Oficial de Información Pública es responsable de las comunicaciones de incidentes hacia el público exterior, medios de comunicación y las partes interesadas de la comunidad. El Oficial de Seguridad apoya al comandante de incidentes para ayudar con la mitigación de situaciones de amenaza y es responsable del bienestar de los servicios de emergencia y del público.

El personal general del ICS está compuesto de 4 secciones primarias: operaciones, logística, administración y finanzas. Estas áreas están dirigidas por líderes sectoriales conocidos como “jefes” que reportan directamente al líder de incidentes. Las cuatro secciones pueden escalar hacia arriba o abajo, agregando o quitando recursos de acuerdo a la complejidad de la situación.

Los jefes sectoriales son responsables de ejecutar las operaciones tácticas designadas a cada sección por el comandante de incidentes. El jefe de operaciones se enfoca en acciones que apoyan la seguridad de la vida, la estabilización de incidentes y protección de propiedad. El jefe de logística organiza los recursos que apoyan la operación global de respuesta a incidentes. El jefe administrativo conduce los deberes gerenciales que apoyan el seguimiento y monitoreo del tiempo del personal, pagos y horarios mientras el jefe financiero gestiona los problemas y responsabilidades fiduciarias.

El ICS es una estructura de gestión versátil que organiza la respuesta a incidentes sin importar cuántos individuos responden o cuántas agencias de respuesta participan.

 

Maduración del Sistema de Comando de Incidentes

 

¿Puede madurar el ICS para adaptarse a un entorno cambiante de amenazas? La respuesta corta es sí. El ICS está estructurado para ser flexible en acomodar una adición al personal general para una función táctica específica. En 2013, el gobierno federal desarrolló una guía para incluir una función de inteligencia en el NIMS. La función de inteligencia e investigación fue identificada como un componente crítico para recolectar información que rodea un conjunto de circunstancias de emergencia y por lo tanto se agregó al personal general del ICS como se ve en la figura 2.

La maduración del ICS para incluir la sección de inteligencia e investigación fue un resultado de cada necesidad de emergencia para reunir información crítica que explicara la causa, factores contribuyentes, e identificar las lecciones aprendidas. El Sistema Nacional de Preparación debe continuar adaptándose a los entornos cambiantes de emergencia para asegurar la maduración y lograr objetivos consistentes de respuesta.

 

Función de Ciberseguridad del Sistema de Comando de Incidentes

 

La escalabilidad y flexibilidad del NIMS permite que la función de ciberseguridad sea integrada al ICS. La función de ciberseguridad permite la investigación, recolección de información, análisis y compartir información que pueda identificar el origen de un incidente cibernético o ataque. Si la emergencia o incidente fuera determinada como el resultado de un ataque cibernético, la función de ciberseguridad podría guiar la investigación y respuesta operativa. Si el ciberataque fuera determinado como un acto criminal, la función de ciberseguridad podría compartir la información con las autoridades operacionales apropiadas.

En el entorno actual de amenazas cibernéticas, el personal de respuesta a emergencias debe considerar un posible incidente cibernético como una posible causa de un incidente y tomar medidas necesarias para determinar la causalidad mientras se cumplen los objetivos de respuesta para proteger la vida, estabilizar el incidente y proteger la propiedad. La función de ciberseguridad debería ser integrada en el ICS para detectar y responder eficazmente a las amenazas de ciberseguridad que potencialmente ocasionan emergencias que tienen consecuencias físicas reales como la disrupción de sistemas de control industrial, sistemas de red, sistemas de energía, sistemas de transporte o cualquier interrupción de infraestructura crítica.

La función de ciberseguridad debería ser instalada en la sección de personal general del ICS cuando un sistema de infraestructura crítica sea asociado con un incidente como se muestra en la figura 3. La función se puede combinar con otras secciones del personal general para formar una fuerza de trabajo operativa para entender aún más la naturaleza del incidente, compartir información y asegurar que los objetivos primarios de se completen.


¿Cómo participaría la ciberseguridad en actividades de preparación?

 

La función de ciberseguridad, antes del comienzo de un incidente, podría utilizarse para obtener datos del sistema, realizar pruebas de penetración y trabajar con las vulnerabilidades del sistema identificadas. La función de ciberseguridad puede establecer un centro de monitoreo de información centralizado para identificar amenazas que potencialmente puedan afectar a sistemas dependientes del internet como el sistema de control de supervisión y la adquisición de datos (SCADA) y sistemas de control industrial. Las actividades de preparación pueden incluir la planificación para respuestas cibernéticas, el intercambio de información, la coordinación con las agencias de inteligencia y la transferencia de pruebas de información para la investigación criminal por parte de las autoridades encargadas de hacer cumplir la ley.

 

Organización de funciones de ciberseguridad

 

El NIMS es organizado en ramas, grupos y divisiones para asegurar una apropiada escalabilidad del incidente. La función de ciberseguridad puede ser organizada en grupos que representen varias áreas de misión. El jefe de sección de funciones de ciberseguridad sería responsable de aumentar el intervalo de activación de los grupos de control cuando sea necesario. La activación de los grupos se basaría en las necesidades y el alcance del incidente y podría incluir lo siguiente:

  • Grupo de analistas: proporciona análisis de nivel táctico y estratégico de amenazas cibernéticas, vectores y actores que apoyan la defensa de operaciones de redes informáticas.
  • Grupo forense: proporciona análisis forense de operaciones de la red informática para investigar datos, preservar datos maliciosos como evidencia y determinar rutas de entrada del sistema o red.
  • Grupo de Inteligencia: monitorear los sistemas de redes de computadoras y otras fuentes de datos para predecir comportamientos nefastos de actores cibernéticos, determinar si las amenazas son creíbles, compartir la información con otras organizaciones y desarrollar reportes de situación.
  • Grupo de evidencia de datos: administrar las pruebas de datos conservados y compartirla con agencias u organizaciones para futuros procesos penales.


Resumen

La función de ciberseguridad como un adicional de ICS se alinea con la misión del NIMS para proveer un marco de respuesta a incidentes flexible y escalable. La integración de una función de ciberseguridad podría proporcionar mejor conocimiento de la situación, intercambio de información y operaciones tácticas de defensa cibernética durante un incidente donde se sospeche de un ataque cibernético. La función es necesaria cuando una infraestructura crítica falla y deberá ser activada por el comandante de incidentes para contribuir a la toma de conciencia de la situación y la investigación del evento.