Continuando con la primera entrega de la publicación “Estrategia de Ciberseguridad Industrial” seguiremos desarrollando el caso de estudio de Ciberseguridad Industrial en Venezuela, esta vez bajo la visión del segundo de los estudios que son utilizados como base de esta publicación como lo es “Ciberseguridad: Riesgos, avances y el camino a seguir en América Latina y el Caribe – Organización de los Estados Americanos” (OEA).
En esta entrega facilitamos un cuadro de datos muy importante que nos ayudara a identificar el estado del arte de la Ciberseguridad Industrial en el país y que nos permitirá precisar de una forma mucho más clara en primer lugar las diversas estructuras que a nivel de Ciberseguridad cuenta Venezuela y a su vez, las diferentes carencias que presenta en el ámbito que nos ocupa, como lo es la Ciberseguridad Industrial.
Dentro del grupo de organizaciones industriales se encuentran inmersos numerosos servicios críticos los cuales satisfacen la necesidades básicas de las personas y garantizan un buen fluir de la vida cotidiana. Entre esos servicios se pueden listar (por ejemplo, electricidad, comunicaciones), suministros vitales (por ejemplo, agua, alimentos, medicamentos y atención médica) así como bienes industriales (por ejemplo, petróleo, gas) y servicios generales (por ejemplo, transporte, efectivo y servicios financieros, entre otros) por este motivo la importancia y relevancia por resguardar estas organizaciones industriales.
Convención de Budapest
La República Bolivariana de Venezuela no ha permanecido inmune a los diversos ciberataques que día a día se presentan en el ciberespacio, los cuales atentan contra los más variados aspectos de su seguridad nacional, llegando a verse comprometidos servicios críticos como el funcionamiento de Industria Petrolera Nacional en el año 2009, los servicios de pago electrónico en el año 2014, la falta de conectividad presentada por la empresa de Telecomunicaciones del Estado Venezolano Movilnet en el año 2016, la indisponibilidad de las redes sociales y páginas web de diversas instituciones públicas durante los años 2016 al 2018 y durante el año 2019 el supuesto intento de magnicidio frustrado contra el Presidente Constitucional de la República Bolivariana de Venezuela, mediante el empleo de tres vehículos aéreos no tripulados de pequeño tamaño (Drones) con cargas de C4, así como el sabotaje al Sistema Eléctrico Nacional; eventos de carácter socio-tecnológicos que sin duda han causado daños irreparables a la seguridad de la nación.
En Venezuela actualmente se presentan cambios en concordancia con los Lineamientos Estratégicos establecidos en el Plan de Desarrollo Nacional 2019-2025, y en este contexto, las interacciones entre los actores, se desarrollan con extremada rapidez e imprecisión, obligando a que las decisiones que se deben tomar en la organización de asuntos relacionados con la ciberseguridad, en los diferentes niveles de recursión del estado, se demoren más tiempo de los proyectado. La realidad de la dinámica que presenta los incidentes de ciberseguridad, los cuales en muchos casos deben ser monitoreados en tiempo real dificulta aún más una respuesta coherente y robusta del resguardo de las organizaciones industriales y la infraestructura critica.
El país no cuenta actualmente con una estrategia nacional de seguridad cibernética. Sin embargo, existe un sistema nacional de seguridad informática cuya aplicación es responsabilidad de la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE), según lo dispuesto por el artículo 54 de la Ley de Infogobierno. El objetivo de este sistema es crear condiciones que generen confianza en el uso de las TIC en manos de quienes están en el poder e implementar medidas que proporcionen niveles adecuados de seguridad para las TIC.
Actualmente la República Bolivariana de Venezuela no se registra como un país adherido de la “Convención de Budapest”
Foto: Centro de Refinación Paraguaná (CRP) es un complejo refinador de petróleo ubicado en Venezuela y actualmente es el segundo con mayor capacidad del mundo.
Miembros y Observadores – Convención de Budapest
Como se hace notar en la gráfica, actualmente la República Bolivariana de Venezuela no se registra como un país miembro u observador de la “Convención de Budapest”
El país presenta una carencia de planes de seguridad de la información, continuidad de negocio y contingencia. Sumado a lo antes expuesto, no presenta una estructura definida que dé respuesta a las diversas necesidades que en el ámbito de la Ciberseguridad presentan tanto las Tecnologías de la información (TI) como en las Tecnologías de la operación (OT) las cuales son cada vez más requeridas en los actuales momentos en que evolucionan aceleradamente los vectores de ataques.
La institucionalidad del estado venezolano no presenta una organización rectora capaz mantener una alineación estratégica de forma de sincronizar las capacidades instaladas en organismos tales como el Comando Estratégico Operacional de la Fuerza Armada Nacional Bolivariana, a través de la Dirección Conjunta de Ciberdefensa (DICOCIBER), el Ministerio de Ciencia y Tecnología a través de sus órganos adscritos como lo son el Centro Nacional de Tecnologías de Información (CNTI), la Super Intendencia de Certificación Electrónica (SUCERTE), con su Sistema Nacional de Gestión de Incidentes Telemáticos de Venezuela (VenCERT) y el Centro Nacional de Informática Forense (CENIF), que además incorpora al Ministerio del Poder Popular para las Relaciones Interiores, Justicia y Paz a través de la División Contra Delitos Informáticos del CICPC, para ejecutar con calidad estrategias de mitigación de riesgos de ciberseguridad.
Actualmente se evidencia vacíos estratégicos y organizacionales para que las capacidades y talentos se alineen en torno al logro de los propósitos que el Estado Venezolano tenga en materia de Ciberseguridad, de forma de combatir con calidad las amenazas reales que se ciernen sobre la nación en esta materia.
Foto: Central Hidroeléctrica Simón Bolívar, conocida como la Represa de Guri, la sexta hidroeléctrica más grande del mundo.
Cuadro de Relaciones, Propósitos y Capacidades de la República Bolivariana de Venezuela para hacer frente a los desafíos relacionados con la Ciberseguridad
Fuente: Observatorio Nacional de Ciencia, Tecnología e Innovación (ONCTI).
Cuadro de Relaciones, Propósitos y Capacidades de la República Bolivariana de Venezuela para hacer frente a los desafíos relacionados con la Ciberseguridad
Fuente: Observatorio Nacional de Ciencia, Tecnología e Innovación (ONCTI).
Conclusiones de la Ciberseguridad Industrial en Venezuela
Los hallazgos iniciales indican que la ciberseguridad afecta la seguridad nacional, y en consecuencia impacta los distintos ámbitos que la conforman: ámbito económico, social, político, cultural, geográfico, ambiental y militar. Los desafíos son complejos y satisfacerlos requiere de la voluntad política para impulsar un proceso disruptivo que conduzca al diseño e implementación de una Estrategia de Ciberseguridad para el resguardo tanto de las Tecnologías de Información, como de las Tecnologías de Operación.
Al respecto, se visualiza que desde el año 1998 a la fecha se identifica la inexistencia de una organización rectora que pueda impulsar la creación de una estrategia nacional en materia de ciberseguridad; con lo cual se evidencia la vulnerabilidad estratégica.
En la actualidad resulta difícil referirse al tema de innovación organizacional sin aludir a estructuras dinámicas y flexibles, centradas en procesos, que viabilicen la adaptación, regulación y control e las actividades de cualquier organización, no importando su tamaño y naturaleza.
La falta de directrices de Ciberseguridad se refleja en el alza de la ocurrencia de ataques contra los sistemas que regulan infraestructuras básicas del país – el sabotaje de la plataforma tecnológica que soportan la industria petrolera, la falta de disponibilidad de los servicios públicos tales como las telecomunicaciones y banca, la paralización de la red de transporte ferroviario y la interrupción de la energía eléctrica a nivel nacional – lo que suponen un serio deterioro para la normalidad y la seguridad de la sociedad venezolana.
Una Estrategia de Ciberseguridad Nacional busca establecer una posición de la nación ante una nueva concepción de la ciberseguridad en el marco de una política de seguridad nacional. El documento debe fijar las directrices y lineamientos generales de actuación para hacer frente al desafío que supone, para el país, la vulnerabilidad del ciberespacio. La Estrategia debe diseñar el modelo de gobernanza para la ciberseguridad nacional.
Dentro de esta Estrategia de Ciberseguridad Nacional deben existir pilares básicos como lo son:
- La creación de un organismo que asuma la tarea de coordinar los diversos entes con competencia en la materia a nivel nacional, los cuales desarrollen un Plan Nacional de Ciberseguridad y sus planes derivados.
- La creación e impulso, coordinación y supervisión de todas las políticas relacionadas con la protección de las infraestructuras criticas venezolanas, mostrando de esta manera la importancia que a nivel de ciberseguridad debe reflejar estos ambientes industriales, debiendo mantener un intercambio de información entre los operadores críticos.
Este último planteamiento es vital para un país que cuenta energéticamente con una Central Hidroeléctrica que se encuentra entre las 6 más grandes del planeta, con el segundo centro de refinación de hidrocarburos más grandes a nivel mundial, con grandes centros de petroquímica, siderúrgicas, minería, entre otros puntos de desarrollo industrial.
Hoy en día países como EEUU, Japón, India al igual que diversas naciones en la Unión Europea están desarrollando y fortaleciendo sus estructuras de ciberseguridad en sistemas industriales, los cuales, son impulsores del crecimiento e impulso de las naciones. La pandemia y la transformación digital han dado cabida a nuevos y diversos vectores de ataques que amenazan la ciberseguridad.
La Ciberseguridad industrial es una necesidad real y el Centro de Ciberseguridad Industrial con su presencia en la región busca aportar y experiencia altamente especializada y capacitación al desarrollo de la ciberseguridad en las redes industriales en nuestros países.