Boletín electrónico / Número 44 - Febrero, 2008

English Version

Protección a la Infraestructura Crítica de Telecomunicaciones en Brasil: aplicación de la metodología MI2C

Resumen. En este artículo se describe el uso de la Metodología para la Identificación de Infraestructura Crítica (MI2C) para identificar la parte crítica de la infraestructura de telecomunicaciones dentro del ámbito de los XV Juegos Panamericanos y Parapanamericanos, celebrados en Río de Janeiro en julio y agosto de 2007.

1        Introducción

El presente artículo está organizado de la siguiente manera: en la sección 2 se presenta la Metodología para la Identificación de Infraestructura Crítica (MI2C), en la sección 3 se presentan los resultados fase por fase de la aplicación de esta metodología en el ámbito de los XV Juegos Panamericanos y Parapanamericanos y, por último, en la sección 4 se presentan las conclusiones.

2        Metodología para la identificación de infraestructura crítica (MI2C)[1]

La metodología MI2C es una de las que se ha presentado en ediciones anteriores de info@CITEL [1] y abarca ocho fases (figura 1):

·    Fase 1: Identificación de servicios de telecomunicaciones;

·    Fase 2: Definición de aspectos para la evaluación de servicios;

·    Fase 3: Definición de niveles de importancia de los aspectos;

·    Fase 4: Definición de la ponderación asignada a cada aspecto;

·    Fase 5: Análisis del nivel de importancia crítica de los servicios;

·    Fase 6: Mapeo de los servicios críticos de telecomunicaciones;

·    Fase 7: Identificación de la infraestructura de redes de telecomunicaciones;

·    Fase 8: Mapeo de la infraestructura crítica de telecomunicaciones.



3      Aplicación de la metodología MI2C en el ámbito de los Juegos Panamericanos y Parapanamericanos 2007[2]

Se ha utilizado la metodología MI2C para definir la porción crítica de la infraestructura de telecomunicaciones en el ámbito de los XV Juegos Panamericanos y Parapanamericanos 2007, celebrados en Río de Janeiro en julio y agosto de 2007.

3.1      Fase 1. Identificación de servicios de telecomunicaciones

Descripción: El objetivo principal es identificar todos y cada uno de los servicios de telecomunicaciones, tomando en cuenta el alcance de la aplicación.

Aplicación: Anatel y el Comité Organizador de los Juegos Panamericanos y Parapanamericanos 2007 (CO-RIO) fueron invitados a participar en un debate de grupos multidisciplinarios con el fin de identificar los servicios de telecomunicaciones pertinentes (y sus respectivos proveedores) que pudiesen ser utilizados durante el evento, ya sea por atletas, entrenadores, personal del evento y organizadores (servicios de seguridad, primeros auxilios médicos, limpieza, etc.), representantes de las autoridades locales (bomberos, ambulancias y policía), servicios de emergencia y rescate, espectadores y la población residente.

3.2      Fase 2. Definición de aspectos para la evaluación de servicios

Descripción: Los aspectos que se utilizarán para evaluar los servicios identificados en la Fase 1 se basan en tres áreas distintas de interés: usuarios de servicios, sociedad y el Estado. Algunos de ellos son cuantitativos en tanto que otros son cualitativos.

Aplicación: Se llevaron a cabo reuniones con Anatel, CO-RIO, investigadores, especialistas en telecomunicaciones, especialistas en seguridad informática y profesores, entre otros, con el fin de identificar los aspectos pertinentes. En el cuadro 1 se presentan los resultados de esta fase.

Cuadro 1. Aspectos relevantes que se han de analizar para los Juegos Panamericanos y Parapanamericanos 2007.

 

3.3          Fase 3. Definición de los niveles de importancia de los aspectos

Descripción: En esta fase, se define el nivel de importancia (cualitativo y cuantitativo) de cada aspecto a fin de permitir el análisis de todos los servicios definidos en la Fase 1. Estos niveles de importancia deben reflejar la influencia de los servicios de telecomunicaciones para cada aspecto. Existen varias formas de abordar esta definición, desde una clasificaicón sencilla y genérica (con tres niveles: alto, mediano y bajo), hasta clasificaciones más complejas (con n niveles, en donde n es aleatorio) si se requiere un nivel mayor de granularidad.

Aplicación: Este análisis se realizó durante los debates que se llevaron a cabo con grupos multidisciplinarios, en los que participaron Anatel, CO-RIO, investigadores, especialistas en telecomunicaciones y en seguridad informática entre otros. Se definieron tres niveles de importancia: “Alta”, “Mediana” y “Baja”. (Véase el cuadro 2).

Cuadro 2. Nivel de importancia crítica de los diferentes aspectos considerados.

 

3.4      Fase 4 – Definición de la ponderación asignada a cada aspecto

Descripción: En esta fase, se determinan los distintos escenarios que pueden darse en un país en particular. Utilizando la ponderación de aspectos es posible determinar no solamente la situación real del país, sino también escenarios hipotéticos; esto es, si es posible establecer distintos escenarios simplemente ajustando la ponderación de aspectos.

Aplicación: Un grupo de especialistas y analistas celebró reuniones para asignar la ponderación a cada uno de los aspectos. Dado que en Brasil no se está celebrando ningún evento extraordinario, las ponderaciones se establecieron a “1” para todos los aspectos, salvo la cobertura, que se estableció a “0”, ya que este factor no es importante en estos momentos y en este ámbito (véase Cuadro 3).

Cuadro 3. Definición de las ponderaciones utilizadas para crear escenarios.

 


3.5      Fase 5 – Análisis del nivel de importancia crítica de los servicios

Descripción: En esta fase, se analiza el nivel de importancia crítica de cada servicio de telecomunicaciones en relación a cada aspecto.

Aplicación: Este análisis se realizó durante los debates que llevaron a cabo los grupos multidisciplinarios en los talleres. A continuación se incluyen algunos ejemplos sencillos de las cuestiones que se trataron:

·    Aspectos de seguridad y de salud: ¿De qué manera influye el servicio de telecomunicaciones bajo análisis en los aspectos de salud y seguridad?

·    ¿Cuán crítico es el servicio analizado desde la perspectiva de este aspecto?

·    ¿Contribuye este servicio a asistir o facilitar este aspecto?

Estas simples preguntas se plantearon para cada servicio de telecomunicaciones identificado en la Fase 1. Todos los servicios fueron analizados desde la perspectiva de cada aspecto (véase Cuadro 4). Esta es una de las fases de la metodología que lleva más tiempo.

Cuadro 4. Análisis de criticalidad.

3.6      Fase 6 – Mapeo de los servicios críticos de telecomunicaciones

Descripción: El principal objetivo de esta fase es convertir los valores cualitativos en valores cuantitativos, con el fin de priorizar los servicios de telecomunicaciones. El método de cálculo utilizado puede ser un simple promedio aritmético o la metodología del Proceso de Jerarquía Analítico, u otro método que permita lograr el objetivo deseado.

Aplicación: Se establecieron los niveles de alto, mediano y bajo para los valores 1, 2 y 3. Por consiguiente, se realizó el cálculo y se definió la categoría de acuerdo con el promedio. El Cuadro 5 ilustra los resultados.

Cuadro 5. Clasificación del nivel de criticalidad.

3.7      Fase 7 – Identificación de la infraestructura de redes de telecomunicaciones

Descripción: Identificación de la infraestructura de redes de telecomunicaciones que utilizan los servicios críticos.

Aplicación: A través de talleres, reuniones y cuestionarios, y con el apoyo de los operadores de telecomunicaciones brasileños, se identificó la infraestructura de redes de telecomunicaciones. En esta fase, debe considerarse la integración entre los diferentes tipos de redes, tales como los servicios fijo y móvil.

Para analizar las respuestas al cuestionario, se utilizó un enfoque semi-cuantitativo, identificando información, como los puntos que concentran el tráfico y las funcionalidades, rutas estratégicas del tráfico de larga distancia y compartición de infraestructura. Los 25 tipos de criterios de evaluación se agruparon en seis categorías: sitios Pan/Parapan 2007, Infraestructura, Transmisión, Conmutador #1, Conmutador #2 y Conmutador #3. El Cuadro 6 ilustra los criterios para cada categoría.

Cuadro 6. Criterios por categoría.

La adopción de este enfoque (categorías vs. criterios) cumple con un doble objetivo: a) reducir al mínimo la presencia de errores debido a la interpretación de las respuestas, y b) reducir al mínimo el número de comparaciones de criterios.

3.8      Fase 8 – Mapeo de la infraestructura crítica de telecomunicaciones

Descripción: En esta fase, se traza un mapa de la infraestructura de redes utilizada por cada uno de los servicios críticos con el fin de definir la infraestructura de telecomunicaciones crítica. Para llevar a cabo esta fase, se requieren conocimientos a fondo del campo de las telecomunicaciones y del equipo pertinente que respalda los servicios. La información requerida se obtuvo a través de talleres, cuestionarios y grupos de estudio que incluyeron especialistas de telecomunicaciones y personas responsables del servicio crítico que se estaba analizando. En esta fase, el nivel de detalle puede ajustarse a las necesidades de cada uno. La infraestructura de redes crítica que se encontró puede detallarse a un nivel alto (por ejemplo, nivel de edificios) o a un nivel bajo (por ejemplo, nivel de tablero). En ambos casos, todos los servicios críticos siempre deberán estar incluidos en la infraestructura crítica.

Aplicación: El primer paso es atribuir las ponderaciones para cada categoría en el modelo formulado en la fase anterior. La Gráfica 4 muestra el enfoque natural, de arriba hacia abajo, para priorizar las categorías según su importancia: la base de la pirámide (infraestructura) tiene la ponderación más alta, ya que si falla, todas las categorías por encima de ella también fallan. Los factores de ponderación y normalización adoptados para cada categoría se presentan en el Cuadro 7. El factor de normalización se incorporó al modelo para eliminar la distorsión causada por el hecho de que distintas categorías tenían diferentes cantidades de criterios.

Gráfico 5. Jerarquización de las categorías.

Cuadro 7. Ponderaciones y factor de normalización por categoría

Se utilizó la siguiente fórmula para obtener la puntuación final, necesaria para la jerarquización de los sitios:

4        Resultados

En el cuadro 8 se muestran las diez estaciones con mayor puntuación entre todas las analizadas. Esta información permite realizar una asignación de recursos más eficiente para proteger la infraestructura. Se han omitido los nombres reales de las estaciones y de sus operadores por razones de seguridad.

Cuadro 8. Las diez estaciones con mayor puntuación

5        Conclusiones

No es posible desestimar la importancia de la identificación de la infraestructura crítica de telecomunicaciones dado que es el primer paso en un programa eficaz para la protección de la misma. Por esta razón, es importante utilizar una metodología sistemática (como lo es la metodología MI2C) para identificar debidamente las partes más críticas de la infraestructura de telecomunicaciones. En este artículo se ha presentado la aplicación de la Metodología para la Identificación de Infraestructura Crítica (MI2C), la cual ha sido utilizada precisamente para identificar las partes críticas de la infraestructura de telecomunicaciones utilizada en los XV Juegos Panamericanos y Parapanamericanos.

 

Referencias

1.   Proyecto de protección a la infraestructura crítica de telecomunicaciones, Boletín electrónico info@CITEL, marzo de 2007.

Bibliografía

1.    Antón, P.S.; Anderson, R.H.; Scheiern, M.; Mesic, R.M. Finding and Fixing Vulnerabilities in Information Systems: The Vulnerability Assessment and Mitigation Methodology. RAND’s National Defense Research Institute (2004).

2.    Luiijf, E.A.M., Burger, H.H., Klaver, M.H.A. Critical Infrastructure Protection in The Netherlands: A Quick-scan. In: U.E. Gattiker (ed.), EICAR Conference Best Paper Proceedings. Copenhagen, Denmark (2003).

3.    Reinermann, D.; Weber, J. Analysis of Critical Infrastructure: The ACIS Methodology (Analysis of Critical Infrastructure Sectors). In: Critical Infrastructure Protection (CIP) Workshop. Frankfurt, Germany (2003).

4.    Stonebumer, G.; Goguen, A.; Feringa, A. Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology (NIST). Special Publication 800-30 Rev A, Washington, USA (2004).

5.    Dunn, M.; Abele-Wigert, I. International CIIP Handbook 2006, Vol. I: An Inventory of 20 National and 6 International Critical Information Infrastructure Protection Policies. Center for Security Studies. ETH Zurich (2006)

6.    Dunn, M.; Mauer, V.; Abele-Wigert, I. (eds.). International CIIP Handbook 2006, Vol. II: Analyzing Issues, Challenges, and Prospects. Center for Security Studies. ETH Zurich (2006).

7.    Strogatz, S.H. Exploring Complex Networks. In: Nature, 410 (2001)

8.    Gorman, S.P. Networks, Security and Complexity – The role of public policy in critical infrastructure protection. Edward Elgar Publishing, Cheltenham, UK (2005).

9.    Lewis, T.G. Critical infrastructure protection in homeland security: defending a networked nation. John Wiley & Sons, New Jersey, USA (2006).

 

João Henrique de Augustinis Franco, Fundação CPqD
Regina Maria De Felice Souza, Agência Nacional de Telecomunicações
Sérgio Luís Ribeiro, Fundação CPqD

 

 

Notas:

[1] Es importante hacer notar que la metodología MI2C, con los cambios pertinentes, puede ser utilizada para identificar cualquier otra infraestructura crítica, como puede ser el agua, la energía, el transporte, la salud, etc.

 

[2] Se ha omitido o reemplazado información confidencial debido a la naturaleza estratégica de este proyecto.

 

 


© Derechos Reservados 2008. Comisión Interamericana de Telecomunicaciones
Organización de los Estados Americanos.
1889 F St., N.W., Washington, D.C. 20006 - Estados Unidos
Tel. (202)458-3004 | Fax. (202) 458-6854 | citel@oas.org | http://citel.oas.org

Para cancelar la subscripción ir al siguiente link citel@oas.org