Standardization News:

Entrevista con el Dr. Alessandro Lazari, de F24 AG

¿Cuáles son las mayores ciberamenazas que enfrenta el mundo hoy en día, y cómo pueden los estándares ayudar en la lucha contra estas?

Las mayores ciberamenazas, en mi opinión, son aquellas que tienen como objetivo nuestra infraestructura crítica y servicios básicos, además del bajísimo nivel de ciberhigiene que las personas aplican al utilizar la tecnología. Tenemos una tendencia a subestimar mucho los riesgos que conllevan las contraseñas débiles, las configuraciones de fábrica y la sobreexposición de datos en Internet. La existencia de cuentas fáciles de jaquear y la disponibilidad de todo tipo de datos e información fertilizan el terreno para el surgimiento de la ciberdelincuencia y conducen a que los ciberataques sean cada vez más frecuentes y exitosos.

En este rubro, los estándares pueden brindar un apoyo sumamente eficaz proporcionando orientación, procedimientos e instrucciones detallados para abordar las ciberamenazas, de las más generales a las más específicas, incluidas las fases de respuesta y recuperación. Estos últimos campos, más específicamente, necesitan ser objeto de más atención, ya que siempre es posible que algo salga mal y es necesario estar preparados.

¿Qué participación tuvo usted en apoyo al Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) promovido por la Comisión Europea?

Trabajé para la Comisión Europea de 2010 a 2019 como miembro de la ERNCIP, la Red Europea de Referencia para la Protección de las Infraestructuras Críticas (el proyecto insignia del EPCIP) En conjunto con mis colegas, he brindado apoyo a estados miembros de la Unión Europea (UE) y operadores de infraestructura crítica en la implementación del programa, incluida la Directiva 2008/114/CE sobre la protección de las llamadas infraestructuras críticas europeas (el título completo del documento es Directiva 2008/114/CE sobre la identificación y designación de infraestructuras críticas europeas y evaluación de la necesidad de mejorar su protección). He reunido algunas de las lecciones aprendidas en el libro European Critical Infrastructures (Infraestructuras críticas europeas), publicado por Springer en 2014.

Lo que sigue es uno de los hallazgos que vale la pena reevaluar ocho años más tarde: “El hecho de que los 28 estados miembros tengan una gran diversidad de idiomas nacionales ha afectado la comprensión e interpretación de los anexos técnicos de la Directiva 2008/114/CE, cuyos términos pueden adoptar distintos significados si se traducen a otros idiomas. Esta variable ha hecho evidente la falta de un ‘vocabulario común de la UE’ de términos técnicos pertinentes a la protección de infraestructuras críticas (CIP)”. Esto era cierto en 2013, cuando se escribió el libro.

El estado actual de las cosas muestra una situación que ha mejorado sustancialmente, en la que una de sus limitaciones, la falta de un vocabulario común de la UE para la CIP, se ha convertido en una de sus fortalezas. Al haber trabajado por más de 14 años bajo la coordinación del EPCIP, los estados miembros de la UE han desarrollado una terminología específica para la CIP, ahora ampliamente reconocida por funcionarios públicos, expertos en la materia, académicos, personal de respuesta inmediata, fuerzas policiales y agentes de seguridad.

Este logro se materializó gracias a acciones combinadas en el contexto de un marco global (el EPCIP) y el consiguiente desarrollo de estándares y orientaciones producidas específicamente para abordar diversos aspectos y desafíos de la protección de infraestructuras críticas. El “vocabulario armonizado de CIP de la UE” se reconoce y utiliza incluso más allá de las fronteras de la UE, ya que los países vecinos y aliados están examinando el EPCIP y la Directiva 114 para establecer sus respectivos marcos de trabajo nacionales.

¿Cuáles son sus proyectos en curso más destacables? ¿De qué manera resultarán útiles sus resultados para la UE?

Se ha formado una comunidad de certificación en ciberseguridad en torno a los programas de ciberseguridad y resiliencia de la UE, los cuales son promovidos por la Comisión Europea y la Agencia de Ciberseguridad de la Unión Europea (ENISA). En colaboración con esta comunidad, estamos desarrollando un conjunto de esquemas específicos para implementarse en la Unión a partir del próximo año (por ejemplo, sobre tecnologías de información y comunicaciones y sistemas de control industrial en la nube). Los esquemas se introducirán e implementarán bajo la coordinación del Reglamento sobre la Ciberseguridad, que establece el Marco europeo de certificación de la ciberseguridad.

Este rubro se apoya ampliamente en los estándares, ya que los esquemas de evaluación de la ciberseguridad que se desarrollan actualmente se basan en estándares de referencia. En el largo plazo, espero que el Reglamento sobre la Ciberseguridad haga surgir una especie de “ciberescudo de la UE” que tenga como consecuencia que las tecnologías desarrolladas, integradas o utilizadas por los ciudadanos o en contextos altamente sensibles (por ejemplo, en infraestructuras críticas) hayan superado pruebas y evaluaciones con un nivel de rigurosidad adecuado para su uso previsto.

Otro proyecto en el que participo es el Centro de Investigación Interdisciplinaria en Seguridad y Resiliencia de Infraestructuras Críticas (CRISR). El CRISR se fundó en 2017 en el Departamento de Ingeniería para la Innovación de la Universidad de Salento, en Italia. En conjunto con el comité científico del CRISR, estamos coordinando una serie de actividades y proyectos destinados a proporcionar cursos de mejor calidad y más enfocados sobre protección de infraestructuras críticas en respuesta a la creciente demanda de investigadores específicos para el sector y expertos en seguridad calificados.

Estamos colaborando con varias universidades, gobiernos y centros de excelencia extranjeros para garantizar que los estudiantes tengan experiencias multidisciplinarias y multifacéticas que robustezcan su madurez y comprensión de la complejidad de las infraestructuras críticas y recursos clave de hoy en día. También estamos desarrollando proyectos para escuelas de verano e invierno. La finalidad de estos proyectos es reunir a expertos de la comunidad internacional de seguridad para que puedan comenzar a pasar la estafeta a la siguiente generación.

¿Cómo fue que se involucró con ASTM International y el trabajo en estándares del Comité sobre Exoesqueletos y exotrajes (F48)? ¿Cuál es su interés particular en el trabajo del Subcomité sobre Seguridad y tecnología de la información (F48.05) y su borrador en curso?

He trabajado con William Billotte (director de los programas de exotecnología globales de ASTM) desde 2016 en proyectos conjuntos de los EE. UU. y la UE. Ambos compartimos una profunda pasión e interés en los estándares. Cuando me enteré de que ASTM había establecido un Subcomité sobre Seguridad y tecnología de la información, expresé mi interés en contribuir en esta iniciativa.

Estoy convencido de que la evaluación de la ciberseguridad de los exoesqueletos y exotrajes es importante para garantizar la seguridad del usuario y de las personas que se encuentren en las inmediaciones de las áreas de operación. Estas tecnologías son cada vez más importantes en el ciclo de vida de nuestra sociedad y mejorarán nuestra vida y nuestra seguridad.

En conjunto con el comité, estamos trabajando en el borrador preliminar de una guía para la gestión eficaz de la ciberseguridad de los exoesqueletos. Esto implica la comprensión de los escenarios de operación, los riesgos potenciales asociados con su uso y las medidas de mitigación por implementar. El alcance del borrador contemplará cuestiones relacionadas con la seguridad, y ya se prevé la extensión a la prevención de daños materiales.

El Dr. Alessandro Lazari es gerente sénior de cuentas clave en F24 AG, proveedor global de soluciones para gestión de crisis e incidentes y notificación de emergencias. También es director para la región sur del Mediterráneo de la International Association of Critical Infrastructure Protection Professionals (Asociación Internacional de Profesionales de la Protección de Infraestructura Crítica) y participa en otros trabajos y grupos relacionados con la ciberseguridad de la infraestructura.