Inicio Artículos de fondo Los riesgos de la información pública

Los riesgos de la información pública

3180
0

Los riesgos de la información públicaS2 Grupo, empresa española especializada en ciberseguridad constata en su ‘Tercer Informe Técnico sobre Protección de Infraestructuras Críticas’ los riesgos de la información pública y la existencia en Internet de información sensible sobre infraestructuras del sector industrial que puede poner en riesgo el negocio de cualquier organización y afectar gravemente a la población a la que da servicio.

En dicho informe, S2 Grupo advierte sobre la paradoja en la que viven numerosas organizaciones industriales españolas: con fuertes medidas de seguridad física y sin apenas control sobre la información publicada en Internet acerca de sus instalaciones y procesos. Esta situación se debe, fundamentalmente, a una falta de conciencia sobre el valor de la información, así como a un desconocimiento generalizado sobre las tácticas empleadas por ciberdelincuentes en su actividad.

En esta situación, S2 Grupo facilita en su ‘Tercer Informe Técnico sobre Protección de Infraestructuras Críticas’, una relación de datos que las organizaciones industriales deberían evitar subir a la Red sobre los riesgos de la información pública:

  1. Información acerca de la red de control u otros equipos: arquitectura, marcas, modelos, protocolos empleados.
  2. Información sobre el desarrollo de procesos físicos, a través de una descripción o de imágenes como, por ejemplo, capturas de pantalla de las interfaces gráficas del software de supervisión.
  3. Información acerca de las personas que trabajan o trabajaron en las instalaciones, especialmente relacionados con las labores de diseño, construcción, mantenimiento y explotación.
  4. Planos o fotografías de un espacio físico determinado: una planta industrial, un edificio, una sala de control…
  5. Información sobre rutinas y procedimientos internos.
  6. Reproducción de documentación propia: Albaranes, partes, formularios, etc.
  7. Información acerca del sistema de seguridad física: Número de vigilantes en cada periodo horario, detalles acerca de las rondas, tipo de sistemas de control de acceso
  8. Información acerca del sistema de seguridad lógica: Arquitecturas, ubicación de firewalls, IDS, IPS, marcas modelos, antivirus, etc.
  9. Datos sobre elementos críticos del proceso.
  10. Sistemas de detección y respuesta ante emergencias: Procedimientos, planos de instalaciones, tiempos de respuesta, etc.

Al realizar su investigación, S2 Grupo ha encontrado en Internet información clasificable dentro de todas y cada una de las categorías anteriores perteneciente a organizaciones industriales españolas de sectores como Alimentación, Industria Química, Energía Nuclear, Tratamiento y Distribución de Agua, Transporte y Administración Pública, entre otros. Estos datos sobre los riesgos de la información pública pueden encontrarse fácilmente en proyectos de fin de carrera y tesis doctorales, pliegos de concursos públicos, artículos en revistas especializadas y casos de éxito.

Según S2 Grupo, ciertas universidades se han constituido en auténticos repositorios de información técnica muy específica aunque, en general, prácticamente todos los actores que participan en la vida de una infraestructura crítica terminan, por distintas razones, elaborando y publicando en Internet información bastante detallada acerca de sus propias instalaciones, sin ser conscientes de los peligros de esta acción.

El ‘Tercer Informe Técnico sobre Protección de Infraestructuras Críticas’ de S2 Grupo está disponible rellenando el SERVICIO AL LECTOR que encontrará a continuación.