Cmo aplicar la resiliencia

operativa en infraestructura
crtica
Por Miguel ngel Mendoza publicado 29 Dec 2015 - 03:07PM
Seguridad Corporativa

Whats app

in Share
50
in Share
Enviar e-mail
Imprimir pgina

En un ambiente dinmico, los cambios externos ponen a prueba la capacidad de los sistemas para
recuperar su estado inicial (que en ocasiones tambin es el estado ideal), luego de que finaliza alguna
perturbacin a la cual haban estado sometidos. Esta propiedad es conocida como resiliencia, misma que
puede ser aplicada en diferentes ambientes.
En la edicin 2015 del Congreso Seguridad en Cmputo, David Jimnez, CISO del rea de Procesos de
Negocio y Tecnologa de Informacin de Petrleos Mexicanos (PEMEX), habl sobre la resiliencia
operativa; el concepto puede ser utilizado como punto de partida para aprovechar la convergencia entre

seguridad de la informacin, continuidad del negocio y las operaciones en las reas de Tecnologas de
Informacin.

Qu es la resiliencia operativa?
En el mbito organizacional, la resiliencia operativa se puede definir como la habilidad de una
organizacin para perseguir su misin y aprovechar oportunidades, incluso en circunstancias no
idneas o adversas como un incidente de seguridad o una crisis financiera. Esta habilidad tiene como
propsito fundamental mantener los procesos de negocio y los servicios que soportan de manera directa
la misin de la organizacin.
La resiliencia operativa es la habilidad de una organizacin para perseguir su misin en circunstancias
adversas
Estos procesos de negocio son habilitados por personas, tecnologa, informacin e incluso las
instalaciones; por ello, cuando se presenta alguna eventualidad con el impacto suficiente para afectar
alguno de estos elementos, la capacidad de la organizacin para alcanzar su misin podra verse
mermada. Por ello, la resiliencia operativa busca atender esta capacidad de los procesos y servicios
crticos, en busca de mantenerlos disponibles antes los eventos inesperados e indeseados.
La resiliencia operativa tiene un menor alcance si se compara con la resiliencia empresarial, asociada a
riesgos de mercado, de crdito o financieros. La operativa, como su nombre lo indica, est relacionada
con los riesgos operativos, que generalmente son aquellos que buscan ser tratados (mitigados,
eliminados, transferidos o aceptados) por las reas de seguridad en las organizaciones.

Volver al estado normal, como un

resorte
Jimnez explic el concepto a travs de una analoga con la propiedad de elasticidad de los resortes, ya
que son capaces de almacenar energa y desprenderse de ella sin sufrir deformacin permanente cuando
cesan las fuerzas o la tensin a las que son sometidos, siempre y cuando stas no sobrepasen su
capacidad de elasticidad.
Lo mismo, entonces, ocurre con las organizaciones. Pueden ser sometidas a situaciones de estrs, que
no necesariamente estn relacionadas con incidentes de seguridad de la informacin, y que requieren
regresar a su estado normal de operaciones luego de que algn factor tiende a modificarlas o afectarlas.
El ambiente de las organizaciones cambia continuamente en cuanto a riesgos y oportunidades
Entre estos otros factores se puede incluir la tecnologa (debido a que en ocasiones es compleja,
requiere soporte y puede estar asociada con vulnerabilidades y riesgos), proveedores (que deben
soportar procesos importantes, tienen acceso a informacin y por lo cual tambin pueden representar
riesgos), o bien otros factores de alcance mundial, como es el caso de la globalizacin que tambin
podra afectar a las empresas.

Por qu es importante la resiliencia

operativa y cul es su alcance?
En la presentacin se mencion que la resiliencia operativa adquiere relevancia debido a que el ambiente
alrededor de las organizaciones continuamente est cambiando en trminos de riesgos y
oportunidades.
En estas condiciones, no es posible reaccionar ante todas las situaciones probables, y menos tener una
solucin para todas ellas. Por lo tanto, se pretende que la empresa se pueda mantener ante situaciones

de estrs, de incidentes o problemas, de manera que regrese a su estado inicial si se atienden, es decir,
que contine persiguiendo su misin.
Por otro lado, la resiliencia no puede ser determinada en trminos de lo que no ha sucedido o se
desconoce, y aunque resulta importante identificar el ambiente de riesgo actual en la organizacin, es
ms relevante determinar la capacidad de la empresa para predecir su comportamiento ante una
situacin de estrs. En otras palabras, estimar qu tan bien se va a desempear la organizacin ante un
cambio en el ambiente de riesgos.
Por ello, tres elementos pueden converger hacia la gestin de riesgos: gestin de la seguridad, gestin de
la continuidad del negocio y gestin de la operacin de TI. Aunque muchas organizaciones cuentan con
estos tres elementos de gestin, en ocasiones se llevan a cabo de forma aislada. El propsito es,
entonces, contar con datos convergentes y una mtrica asociada a la resiliencia, que permitan tener un
mejor entendimiento con los niveles directivos.

Qu mejores prcticas existen con

relacin al tema?
Existe documentacin relacionada a la resiliencia operativa y tiene como base mejores prcticas. El
Software Engineering Institute (SEI) de la Universidad Carnegie Mellon propone CERT Resilience
Management Model (CERT-RMM) para mejorar los procesos de resiliencia operativa.
La resiliencia operativa es el punto de partida para combinar seguridad, continuidad y actividades de TI
El modelo busca establecer la convergencia del riesgo operacional y las actividades de gestin de la
resiliencia. La convergencia es un concepto fundamental, que se define como la armonizacin de las
actividades de gestin de riesgos operacionales que tienen objetivos y resultados similares.
Adems de los tres elementos de gestin anteriores, puede incluir actividades como la gestin financiera,
comunicaciones, recursos humanos, capacitacin y educacin.
Este modelo se compone de 26 procesos divididos en 4 categoras (ingeniera, gestin empresarial,
operaciones y gestin de procesos). Cada proceso contiene prcticas y metas especficas. Adems, tiene
como propsito aplicar un enfoque de mejora de procesos mediante la definicin y aplicacin de una
escala de capacidades, que se expresa en niveles de madurez en los procesos.
Como habitualmente sucede con los frameworks de mejores prcticas, tambin puede incluir trazabilidad
con estndares y otros marcos de referencia como ISO 27001, COBIT o ITIL, por lo que puede ser
complementado por las prcticas descritas en otros documentos.

En resumen, cmo puede ser

aplicada la resiliencia operativa?
La aplicacin de un modelo para la resiliencia operativa es el punto de partida para aprovechar la
convergencia entre seguridad, continuidad del negocio y las actividades de operaciones de TI.
Adems, puede ser la base para evaluar las capacidades de la organizacin y mejorar las reas donde
no han alcanzado el estado deseado; mejorar las actividades de seguridad de la informacin,
cumplimiento, operaciones de TI, de continuidad y recuperacin ante desastres, as como evaluar las
actividades de proteccin de la infraestructura crtica.
Por ltimo llega a la conclusin de que la resiliencia operativa nunca se alcanza plenamente, y por lo
tanto debe ser gestionada continuamente. Una manera de hacerlo es travs de un modelo de referencia,
iniciando con las reas de inters para luego incrementar el alcance, en conjunto con otras mejores

prcticas. Las acciones de resiliencia pueden derivar en un mejor entendimiento del retorno de la
inversin.
Crditos imagen: Lucho Molina/Flickr

Nuevo atentado contra la

infraestructura petrolera en
Putumayo
Se registra un gran incendio en el puente Internacional Santana.

Foto: Externos COLPRENSA

Putumayo

Fuentes de la Polica Nacional le confirmaron a La W Radio que hace

minutos fue activada una carga explosiva contra el oleoducto el Oso,
ubicado en la vereda Luxon, jurisdiccin del municipio de Orito, en
Putumayo.
Como consecuencia de la accin terrorista se registra un incendio por el
derrame de crudo que ha afectado el puente Internacional de Santana, lo
que

tiene

en

este

momento

la

va

totalmente

cerrada.

Tcnicos de Ecopetrol se dirigen al lugar para evaluar los daos y

sofocar el incendio con el apoyo con uniformados del Ejrcito y la Polica.
An no se le atribuye el atentado a ningn grupo al margen de la ley.

Centro Nacional de Proteccin de

Infraestructuras Crticas CNPIC

Imprim ir

Centro Nacional de Proteccin de las Infraestructuras Crticas (CNPIC)

www.cnpic.es
El Consejo de Ministros aprob mediante Acuerdo de 2 de Noviembre de 2007 el
marco estructural que permitir dirigir y coordinar las actuaciones precisas para
proteger las infraestructuras crticas en la lucha de Espaa contra el terrorismo.
Tiene su base en la Comunicacin de la Comisin Europea de 20 de octubre de
2004 sobre proteccin de las infraestructuras crticas, que contiene propuestas para
mejorar la prevencin, preparacin y respuesta de Europa frente a atentados
terroristas
que
la
amenacen.
El Centro Nacional de Proteccin de las Infraestructuras Crticas.
Se ha creado dentro de la Secretara de Estado de Seguridad para instrumentar las
tareas encomendadas a ese rgano Superior en la materia. Este Centro custodiar
y actualizar el Plan de Seguridad de Infraestructuras Crticas y el Catalogo
Nacional
de
Infraestructuras
Crticas.
Se designa a la Secretara de Estado de Seguridad como rgano responsable de la
direccin, coordinacin y supervisin de la proteccin de infraestructuras crticas
nacionales. Por ello, dirigir la aplicacin del Plan Nacional de Proteccin de
Infraestructuras Crticas y actuar como punto nacional de contacto con la Comisin
Europea y con otros Estados que sean propietarios o gestores de infraestructuras
crticas. Sus principales funciones son:

La recoleccin, anlisis, integracin, y la evaluacin de la informacin

suministrada por las instituciones pblicas, los servicios policiales, y sectores

estratgicos
La Evaluacin de amenazas y anlisis de riesgos sobre instalaciones

estratgicas;
El diseo

mecanismos de alerta
La coordinacin en las administraciones espaolas y con los respectivos

el

establecimiento

de

la

informacin,

comunicacin,

programas de la UE
Ante una situacin de crisis: El operador designado del CNPIC informara a este, el
CNPIC lo comunicara a su vez a las unidades de inteligencia competentes y en caso
de
crisis
ante
el
equipo
de
respuesta
ante
emergencias
(CERT).

El Plan Nacional de Proteccin de las Infraestructuras Crticas.

El da 7 de mayo de 2007 el Secretario de Estado de Seguridad aprob el Plan
Nacional
de
Proteccin
de
las
Infraestructuras
Crticas.

La normativa europea que ha permitido este plan reconoce que el riesgo de

"ataques terroristas catastrficos" contra infraestructuras crticas "va en aumento"
y por ello crea un catlogo de instalaciones sensibles a estos atentados.

Establece que las infraestructuras crticas son aquellas instalaciones, redes,

servicios y equipos fsicos y de tecnologa de la informacin cuya interrupcin o
destruccin pueden tener una repercusin importante en la salud, la seguridad o el
bienestar econmico de los ciudadanos o en el eficaz funcionamiento de los
gobiernos
de
los
Estados
miembros.

Entre estas instalaciones sensibles destacan las centrales y redes de energa, las
comunicaciones, las finanzas, el sector sanitario, la alimentacin, el agua
-embalses, almacenamiento, tratamiento y redes-, los transportes -aeropuertos,
puertos, etc-, monumentos nacionales, as como la produccin, almacenamiento y
transporte de mercancas peligrosas, como material qumico, biolgico o nuclear.

El criterio para incluir a dicha instalaciones en el catalogo es una mezcla de

factores: rango, escala y efectos en el tiempo y de parmetros: daos causados,
impacto
econmico
e
impacto
en
servicios
esenciales.

El
La

Catalogo
documentacin

Nacional
contenida en

de
Infraestructuras
Crticas
el Catlogo Nacional de Infraestructuras

Estratgicas (se trata de informacin completa, actualizada y contrastada sobre la

totalidad de las infraestructuras estratgicas en el territorio nacional, su ubicacin,
titularidad, servicio que presta, nivel de seguridad que precisan, etctera), ser
calificada como SECRETA, dada la alta sensibilidad para la seguridad nacional de la
informacin contenida en dicho Catlogo.

El Catalogo

Comprende ms de 3.500 instalaciones e infraestructuras sensibles dentro de las

siguientes reas estratgicas:
*
Energa
*
Industria
Nuclear
*
Tecnolgicas
de
la
Informacin
*
Transportes
*
Suministro
de
Agua
*
Suministro
de
Alimentos
*
Salud
*
Sistema
Financiero
*
Industria
Qumica
*
Espacio
*
Recursos
*
Administracin
El catalogo contiene la descripcin de las infraestructuras, los medios
con las mismas, el tipo de instalacin, datos geogrficos y de
informacin de seguridad, riesgos evaluados, informacin de las
seguridad,
e
informacin

Recursos:

de contacto
localizacin,
fuerzas de
audiovisual.

Pagina Oficial del Centro Nacional de Proteccion de Infraestructuras Criticas.

Comunicacin de la Comisin sobre un Programa Europeo para la Proteccin

de Infraestructuras Crticas
Comunicacion de la Comision sobre la Proteccin de las infraestructuras
crticas en la lucha contra el terrorismo
Tweet

Centro de Conduccin de la Defensa

(CECOD)

Imprim ir

El Centro de Conduccion de la Defensa fue creado en 1992 y se ubica en el

Ministerio de Defensa, junto con el Centro Nacional de Conduccion de Situaciones
de Crisis (CNCSC), tiene capacidad para la gestion militar de las mismas y se
interrelaciona con el Sistema Nacional de Conduccion de Situaciones de Crisis y la
OTAN, es relevante tambien el Centro de Evaluacin y Conduccin de Operaciones
Estratgicas (CECOE), en este caso situado en el Estado Mayor de la Defensa. El
Acuerdo del Consejo de Ministros de 28 de noviembre de 1986 se otorga la
clasificacion de SECRETO al Centro de Conduccin de Operaciones Estratgicas
(CECOE) y, en general, todos los sistemas de mando, control y comunicaciones,
incluidas las redes militares permanentes.

El Ministro de Defensa en el CECOD

El Centro de Conduccin de la Defensa se activa por el Jefe del Estado Mayor de la

Defensa (EMACON) constituyendo el Centro de Situacin Militar del mismo. Estara
al menos integrado por:
Una Clula de Inteligencia a cargo del Centro de Inteligencia de las

Fuerzas Armadas (CIFAS)

Una Clula de Situacin a cargo de la Divisin de Estrategia y Planes

(DIVESPLA).
Una Clula CIS a cargo de la Divisin de Sistemas de Informacin y

Telecomunicaciones (DIVCIS)
Una Clula de Logstica a cargo de la Divisin de Logstica (DIVLOG)

Pantalla del CECOD durante el ejercicio CMX 98

CMX son las siglas de Crisis Management Exercise y son ejercicios organizados
todos los aos por la OTAN en los que participan plenamente sus pases miembros.
En ellos interviene personal de la alianza en las capitales de cada pas, en los
cuarteles de la Organizacin y en los comandos de la OTAN para Europa y el
Atlntico. A los ejercicion de geestion de crisis de la OTAN se les suman los
realizados dentro de la Union Europea denominados CME.
Los CME segun defensa "permiten probar y evaluar una serie de estructuras,
procedimientos y mecanismos de consulta de la Unin Europea en el cuadro de una
operacin de gestin de crisis, con objeto de mejorar su capacidad para afrontar
este tipo de situaciones mediante sus instrumentos civiles y militares, la
coordinacin de los mismos y sus procesos de decisin".

http://www.intelpage.info/equipo-de-respuesta-ccn-cert.html