Resumen. En
este artículo se describe el uso de la Metodología para la
Identificación de Infraestructura Crítica (MI2C) para
identificar la parte crítica de la infraestructura de
telecomunicaciones dentro del ámbito de los XV Juegos Panamericanos y
Parapanamericanos, celebrados en Río de Janeiro en julio y agosto de
2007.
1
Introducción
El presente artículo
está organizado de la siguiente manera: en la sección 2 se presenta la
Metodología para la Identificación de Infraestructura Crítica (MI2C),
en la sección 3 se presentan los resultados fase por fase de la
aplicación de esta metodología en el ámbito de los XV Juegos
Panamericanos y Parapanamericanos y, por último, en la sección 4 se
presentan las conclusiones.
2
Metodología para la identificación de infraestructura
crítica (MI2C)
La
metodología MI2C es una de las que se ha presentado en
ediciones anteriores de info@CITEL [1] y abarca ocho fases (figura 1):
·
Fase 1: Identificación de servicios de telecomunicaciones;
·
Fase 2: Definición de aspectos para la evaluación de servicios;
·
Fase 3: Definición de niveles de importancia de los aspectos;
·
Fase 4: Definición de la ponderación asignada a cada aspecto;
·
Fase 5: Análisis del nivel de importancia crítica de los
servicios;
·
Fase 6: Mapeo de los servicios críticos de telecomunicaciones;
·
Fase 7: Identificación de la infraestructura de redes de
telecomunicaciones;
·
Fase 8: Mapeo de la infraestructura crítica de
telecomunicaciones.
3 Aplicación de la metodología MI2C en el
ámbito de los Juegos Panamericanos y Parapanamericanos 2007
Se ha utilizado la
metodología MI2C para definir la porción crítica de la
infraestructura de telecomunicaciones en el ámbito de los XV Juegos
Panamericanos y Parapanamericanos 2007, celebrados en Río de Janeiro
en julio y agosto de 2007.
3.1
Fase 1.
Identificación de servicios de telecomunicaciones
Descripción:
El objetivo principal es identificar todos y cada uno de los servicios
de telecomunicaciones, tomando en cuenta el alcance de la aplicación.
Aplicación: Anatel y el
Comité Organizador de los Juegos Panamericanos y Parapanamericanos
2007 (CO-RIO) fueron invitados a participar en un debate de grupos
multidisciplinarios con el fin de identificar los servicios de
telecomunicaciones pertinentes (y sus respectivos proveedores) que
pudiesen ser utilizados durante el evento, ya sea por atletas,
entrenadores, personal del evento y organizadores (servicios de
seguridad, primeros auxilios médicos, limpieza, etc.), representantes
de las autoridades locales (bomberos, ambulancias y policía),
servicios de emergencia y rescate, espectadores y la población
residente.
3.2 Fase 2.
Definición de aspectos para la evaluación de servicios
Descripción:
Los aspectos que se utilizarán para evaluar los
servicios identificados en la Fase 1 se basan en tres áreas distintas
de interés: usuarios de servicios, sociedad y el Estado. Algunos de
ellos son cuantitativos en tanto que otros son cualitativos.
Aplicación: Se llevaron a
cabo reuniones con Anatel, CO-RIO, investigadores, especialistas en
telecomunicaciones, especialistas en seguridad informática y
profesores, entre otros, con el fin de identificar los aspectos
pertinentes. En el cuadro 1 se presentan los resultados de esta fase.
Cuadro 1.
Aspectos relevantes que se han de analizar para los Juegos
Panamericanos y Parapanamericanos 2007.
3.3
Fase 3. Definición de los niveles de importancia de los aspectos
Descripción:
En esta fase, se define el nivel de importancia (cualitativo y
cuantitativo) de cada aspecto a fin de permitir el análisis de todos
los servicios definidos en la Fase 1. Estos niveles de importancia
deben reflejar la influencia de los servicios de telecomunicaciones
para cada aspecto. Existen varias formas de abordar esta definición,
desde una clasificaicón sencilla y genérica (con tres niveles: alto,
mediano y bajo), hasta clasificaciones más complejas (con n
niveles, en donde n es aleatorio) si se requiere un nivel mayor
de granularidad.
Aplicación: Este análisis
se realizó durante los debates que se llevaron a cabo con grupos
multidisciplinarios, en los que participaron Anatel, CO-RIO,
investigadores, especialistas en telecomunicaciones y en seguridad
informática entre otros. Se definieron tres niveles de importancia:
“Alta”, “Mediana” y “Baja”. (Véase el cuadro 2).
Cuadro 2.
Nivel de importancia crítica de los diferentes aspectos considerados.
3.4
Fase 4 – Definición de la ponderación asignada a cada
aspecto
Descripción:
En esta fase, se determinan los distintos
escenarios que pueden darse en un país en particular. Utilizando la
ponderación de aspectos es posible determinar no solamente la
situación real del país, sino también escenarios hipotéticos; esto es,
si es posible establecer distintos escenarios simplemente ajustando la
ponderación de aspectos.
Aplicación: Un grupo de
especialistas y analistas celebró reuniones para asignar la
ponderación a cada uno de los aspectos. Dado que en Brasil no se está
celebrando ningún evento extraordinario, las ponderaciones se
establecieron a “1” para todos los aspectos, salvo la cobertura, que
se estableció a “0”, ya que este factor no es importante en estos
momentos y en este ámbito (véase Cuadro 3).
Cuadro 3.
Definición de las ponderaciones utilizadas para crear escenarios.
3.5
Fase 5 – Análisis del nivel de importancia crítica de los
servicios
Descripción:
En esta fase, se analiza el nivel de importancia
crítica de cada servicio de telecomunicaciones en relación a cada
aspecto.
Aplicación: Este análisis
se realizó durante los debates que llevaron a cabo los grupos
multidisciplinarios en los talleres. A continuación se incluyen
algunos ejemplos sencillos de las cuestiones que se trataron:
·
Aspectos de seguridad y de salud: ¿De qué manera influye el
servicio de telecomunicaciones bajo análisis en los aspectos de salud
y seguridad?
·
¿Cuán crítico es el servicio analizado desde la perspectiva de
este aspecto?
·
¿Contribuye este servicio a asistir o facilitar este aspecto?
Estas simples
preguntas se plantearon para cada servicio de telecomunicaciones
identificado en la Fase 1. Todos los servicios fueron analizados desde
la perspectiva de cada aspecto (véase Cuadro 4). Esta es una de las
fases de la metodología que lleva más tiempo.
Cuadro 4. Análisis de
criticalidad.
3.6
Fase 6 – Mapeo de los servicios críticos de
telecomunicaciones
Descripción:
El principal objetivo de esta fase es convertir
los valores cualitativos en valores cuantitativos, con el fin de
priorizar los servicios de telecomunicaciones. El método de cálculo
utilizado puede ser un simple promedio aritmético o la metodología del
Proceso de Jerarquía Analítico, u otro método que permita lograr el
objetivo deseado.
Aplicación: Se
establecieron los niveles de alto, mediano y bajo para los valores 1,
2 y 3. Por consiguiente, se realizó el cálculo y se definió la
categoría de acuerdo con el promedio. El Cuadro 5 ilustra los
resultados.
Cuadro 5.
Clasificación del nivel de criticalidad.
3.7
Fase 7 – Identificación de la infraestructura de redes de
telecomunicaciones
Descripción: Identificación de la
infraestructura de redes de telecomunicaciones que utilizan los
servicios críticos.
Aplicación: A través de
talleres, reuniones y cuestionarios, y con el apoyo de los operadores
de telecomunicaciones brasileños, se identificó la infraestructura de
redes de telecomunicaciones. En esta fase, debe considerarse la
integración entre los diferentes tipos de redes, tales como los
servicios fijo y móvil.
Para analizar las respuestas al cuestionario, se
utilizó un enfoque semi-cuantitativo, identificando información, como
los puntos que concentran el tráfico y las funcionalidades, rutas
estratégicas del tráfico de larga distancia y compartición de
infraestructura. Los 25 tipos de criterios de evaluación se agruparon
en seis categorías: sitios Pan/Parapan 2007, Infraestructura,
Transmisión, Conmutador #1, Conmutador #2 y Conmutador #3. El Cuadro 6
ilustra los criterios para cada categoría.
Cuadro 6. Criterios por
categoría.
La adopción de este enfoque
(categorías vs. criterios) cumple con un doble objetivo: a) reducir al
mínimo la presencia de errores debido a la interpretación de las
respuestas, y b) reducir al mínimo el número de comparaciones de
criterios.
3.8
Fase 8
– Mapeo de la infraestructura crítica de telecomunicaciones
Descripción:
En esta fase, se traza un mapa
de la infraestructura de redes utilizada por cada uno de los servicios
críticos con el fin de definir la infraestructura de
telecomunicaciones crítica. Para llevar a cabo esta fase, se requieren
conocimientos a fondo del campo de las telecomunicaciones y del equipo
pertinente que respalda los servicios. La información requerida se
obtuvo a través de talleres, cuestionarios y grupos de estudio que
incluyeron especialistas de telecomunicaciones y personas responsables
del servicio crítico que se estaba analizando. En esta fase, el nivel
de detalle puede ajustarse a las necesidades de cada uno. La
infraestructura de redes crítica que se encontró puede detallarse a un
nivel alto (por ejemplo, nivel de edificios) o a un nivel bajo (por
ejemplo, nivel de tablero). En ambos casos, todos los servicios
críticos siempre deberán estar incluidos en la infraestructura
crítica.
Aplicación:
El primer paso es atribuir las
ponderaciones para cada categoría en el modelo formulado en la fase
anterior. La Gráfica 4 muestra el enfoque natural, de arriba hacia
abajo, para priorizar las categorías según su importancia: la base de
la pirámide (infraestructura) tiene la ponderación más alta, ya que si
falla, todas las categorías por encima de ella también fallan. Los
factores de ponderación y normalización adoptados para cada categoría
se presentan en el Cuadro 7. El factor de normalización se incorporó
al modelo para eliminar la distorsión causada por el hecho de que
distintas categorías tenían diferentes cantidades de criterios.
Gráfico 5.
Jerarquización de las categorías.
Cuadro 7.
Ponderaciones y factor de normalización por categoría
Se utilizó la siguiente fórmula para obtener la
puntuación final, necesaria para la jerarquización de los sitios:
4
Resultados
En el cuadro 8 se muestran las diez estaciones con
mayor puntuación entre todas las analizadas. Esta información
permite realizar una asignación de recursos más
eficiente para proteger la infraestructura. Se han omitido los nombres
reales de las estaciones y de sus operadores por razones de seguridad.
Cuadro 8.
Las diez estaciones con mayor puntuación
5
Conclusiones
No es posible desestimar la importancia de la
identificación de la infraestructura crítica de telecomunicaciones
dado que es el primer paso en un programa
eficaz para la protección de la misma. Por esta razón, es importante
utilizar una metodología sistemática (como lo es la metodología MI2C)
para identificar debidamente las partes más críticas de la
infraestructura de telecomunicaciones. En este artículo se ha
presentado la aplicación de la Metodología para la Identificación de
Infraestructura Crítica (MI2C), la cual ha sido utilizada
precisamente para identificar las partes críticas de la
infraestructura de telecomunicaciones utilizada en los XV Juegos
Panamericanos y Parapanamericanos.
Referencias
1. Proyecto
de protección a la infraestructura crítica de telecomunicaciones,
Boletín electrónico info@CITEL, marzo de 2007.
Bibliografía
1. Antón,
P.S.; Anderson, R.H.; Scheiern, M.; Mesic, R.M. Finding and Fixing
Vulnerabilities in Information Systems: The Vulnerability Assessment
and Mitigation Methodology. RAND’s National Defense Research
Institute (2004).
2. Luiijf,
E.A.M., Burger, H.H., Klaver, M.H.A. Critical Infrastructure
Protection in The Netherlands: A Quick-scan. In: U.E. Gattiker
(ed.), EICAR Conference Best Paper Proceedings.
Copenhagen, Denmark (2003).
3. Reinermann,
D.; Weber, J. Analysis of Critical Infrastructure: The ACIS
Methodology (Analysis of Critical Infrastructure Sectors). In:
Critical Infrastructure Protection (CIP) Workshop. Frankfurt, Germany
(2003).
4. Stonebumer,
G.; Goguen, A.; Feringa, A. Risk Management Guide for Information
Technology Systems. National Institute of Standards and Technology (NIST).
Special Publication 800-30 Rev A, Washington, USA (2004).
5. Dunn,
M.; Abele-Wigert, I. International CIIP Handbook 2006, Vol.
I: An Inventory of 20 National and 6 International Critical
Information Infrastructure Protection Policies. Center for
Security Studies. ETH Zurich (2006)
6. Dunn,
M.; Mauer, V.; Abele-Wigert, I. (eds.). International CIIP
Handbook 2006, Vol. II: Analyzing Issues, Challenges, and Prospects.
Center for Security Studies. ETH Zurich (2006).
7. Strogatz,
S.H. Exploring Complex Networks. In: Nature, 410 (2001)
8. Gorman,
S.P. Networks, Security and Complexity – The role of public
policy in critical infrastructure protection. Edward Elgar
Publishing, Cheltenham, UK (2005).
9. Lewis,
T.G. Critical infrastructure protection in homeland security:
defending a networked nation. John Wiley & Sons, New Jersey, USA
(2006).
João Henrique de Augustinis Franco, Fundação
CPqD
Regina Maria De Felice Souza, Agência Nacional de Telecomunicações
Sérgio Luís Ribeiro, Fundação CPqD
Notas:
[2]
Se ha omitido o reemplazado información confidencial debido a la
naturaleza estratégica de este proyecto.
|
|