lunes, 17 de diciembre de 2012

Protegiendo el valor de la información: Reflexiones desde la inseguridad de la información



Introducción
Conforme evoluciona el mundo, los negocios y las necesidades de las personas, la información, ese valor fundamental de nuestra época, se vuelve cada vez más la savia de múltiples operaciones, acciones y reportes que permiten tanto a personas como a organizaciones establecer la forma como deben movilizarse en un entorno cada vez más dinámico, incierto y competitivo.

La lucha por el posicionamiento en los mercados, la búsqueda permanente de ventajas competitivas que desequilibren la competencia y la generación de ideas innovadoras, establecen el patrón que las empresas del siglo xxi deben atender frente al reto de permanecer en el tiempo y vigentes con la dinámica de cambio y transformación acelerada que estamos viviendo.

En este contexto, la inseguridad de la información, como patrón asimétrico de la protección de la información, establece una serie de connotaciones estratégicas y prácticas que descubren en las organizaciones, necesidades y retos que exigen una vista empresarial más homogénea y eficiente que permita, mantener un apetito al riesgo natural en los negocios y el balance de una cultura centrada en la protección de información. (GREENGARD 2012)

Como quiera que la inevitabilidad de la falla es la constante en el ejercicio de mantener la operación de las empresas y su materialización una fuente constante de aprendizaje, es decir de lecciones aprendidas y por aprender, se hace necesario comprender con mayor detalle que significa “generar valor” en el contexto del programa de seguridad de la información de una empresa, sabiendo que los incidentes de seguridad serán el atenuador de la ecuación base que se plantee y los hechos que comprometen la confianza de la alta gerencia con el ejecutivo de seguridad de la información.

El modelo de negocio de los ciber criminales
De acuerdo con FERRARA (2012) los atacantes tienen un plan de negocio inherente a la estrategia de sus ataques. Ellos establecen un objetivo específico de activos de información pues saben lo que significa para la persona o la empresa y cuentan con una demanda asegurada en el mercado de información relevante que ha sido robada. Este sentido de orientación de sus acciones, permite programar sus movimientos y desarrollar acciones de mediano y largo plazo que aseguran sus ingresos y reputación, generando un ciclo virtuoso que requiere una mínima inversión con un máximo rendimiento.

Habida cuenta de lo anterior podemos establecer que el modelo de negocio de los atacantes está articulado en el sentido y sensibilidad de éstos para identificar los activos valiosos de las empresas o personas, los cuales al exponerse a condiciones agrestes del entorno y hacer evidente las debilidades inherentes de sus planes de protección, genera inestabilidad e incertidumbre que, por lo general, escapa a los más exigentes análisis de riesgos, sorprendiendo tanto a los ejecutivos empresariales como a los responsables de la seguridad de la información.

Así las cosas, la “generación de valor” en el modelo de los ciber criminales se materializa de manera concreta dado que son capaces de alinear sus métodos y estrategias con las expectativas de sus clientes y las demandas del mercado. De igual forma, los efectos de sus acciones y resultados adquieren un valor en sí mismo dados los impactos revelados y declarados por los afectados, que hacen aún más relevante y deseada la información obtenida.

Finalmente y no menos importante, el presupuesto invertido para lograr los objetivos propios de sus acciones, responde no a una extrapolación de los que ocurrió el año inmediatamente anterior, sino a la valoración inherente de los activos objetivo de sus actuaciones, y la capacidad desarrollada para encontrar las asimetrías de la inseguridad de la información en el programa de protección propio de las empresas y la vigilancia permanente de los cambios en el entorno tecnológico que pueden ser explotados bien con técnicas previas ampliamente probadas o con modificaciones y actividades novedosas que generen efectos de borde no documentados.

Entendiendo  la clasificación de los activos de información
Toda la capacidad de variación y creatividad que los atacantes desarrollan en el ejercicio de su modelo de negocio, debe ser el insumo mismo para la formulación de las estrategias de protección de la información. Esa extraña habilidad de analizar y comprender el valor de los activos de los ciber criminales, debe movilizar tanto al dueño de la información como al responsable de la seguridad de la información para conocer en profundidad lo que significa en sí mismo el “valor” de la información.

Revisando lo señalado por WEIL y ROSS (2009, pág.59) se establece una categorización de activos de tecnología de información que son valorados según su nivel de riesgo, es decir, no por su nivel de exposición, sino por los impactos que se pueden tener si se compromete o materializa un evento no deseado en ellos. Siguiendo esta misma propuesta, se plantea una clasificación de activos de información empresariales que fiel al foco e impacto frente a la inevitabilidad de la falla, sugiere acciones de aseguramiento y monitorización para advertir vectores de ataque a los cuales éstos pueden ser susceptible.


Activo de información
Foco
Riesgo
Impacto
Estratégico
Ventaja competitiva
Pérdida y/o fuga de información
Pérdida de mercados emergentes y nuevos negocios
Reporte
Soporte de cumplimiento
Pérdida de 
confiabilidad
Sanciones o multas y pérdida de reputación
Registro
Análisis de información
Pérdida de 
integridad
Escenarios inciertos de operación
Transaccional
Automatización de procesos
Pérdida de 
disponibilidad
Incapacidad para medir la efectividad de la operación

Tabla No.1 Activos de información empresariales (Adaptado de WEIL y ROSS. 2009, pág59)

De acuerdo con lo anterior, las acciones de aseguramiento de la información previstas según lo indicado en la tabla No.1, irán en prioridad de lo transaccional (con la menor prioridad) a lo estratégico (con la mayor prioridad). En consecuencia, los focos de inversión en seguridad de la información y análisis no lineal de los flujos de información buscarán asegurar el cierre de las brechas básicas de disponibilidad e integridad, para proteger de manera creativa la confiabilidad y la confidencialidad de la información, sabiendo que los mayores riesgos fundados en la vista estratégica, pueden comprometer las capacidades necesarias y suficientes de la empresa para crear sus ventajas competitivas.

El valor de la información
Los analistas de Forrester determinan el valor de la información como la ecuación que establece  “un porcentaje (hasta 100%) de los ingresos actuales y futuros que produce la información menos el costo directo e indirecto necesario para producir, manejar y proteger la misma”.

Esto es, primero categorice los activos de información por unidad de negocio, entendiendo como éstos soportan la generación de ingresos, las ventajas competitivas y los planes de negocio de la empresa, detallando los puntos donde se producen, manejan y reciben, para comprender la sensibilidad e impacto de éstos frente la materialización de una falla de seguridad de la información.

Seguidamente, cuantifique los ingresos que los activos de información producen, es decir, estudie los planes de negocio de la empresa para sus productos y servicios, así como los procesos donde se manejan los activos analizados, de tal forma que se puedan revelar y analizar los esfuerzos realizados (controles y prácticas de seguridad de la información) frente a los ingresos que producen éstos y sus resultados. Esto permite focalizar las energías en aquellos lugares donde se generan los ingresos más importantes en la organización, protegiendo su valor, en el ejercicio de la operación del modelo de negocio.

Finalmente, cuantifique las implicaciones de riesgo y cumplimiento para aquellos activos de información que no relacionados con la generación ingresos. Las acciones en este punto identifican aquellos activos de información regulados, que si bien no están directamente relacionados con los ingresos de la empresa, si son requeridos para participar de negocios importantes en mercados altamente competidos, los cuales exigen condiciones mínimas propias de un selecto grupo de corporaciones, cuyos grupos de interés demandan y exigen ambientes de control conocidos y verificaciones detalladas para darle tranquilidad a los inversionistas.

Un ejercicio sencillo de aplicación del concepto está asociado con la sensibilidad de los procesos de innovación y gestión del conocimiento empresarial, donde la aplicación de los mismos genera los mayores ingresos para la empresa. En este proceso, la seguridad de la información deberá balancear la necesidad de compartir los resultados del proceso con la demanda de controles claves que protejan la confidencialidad de la información.

En este contexto, si bien el activo de información identificado no está regulado, si requiere la mayor atención dada su categoría estratégica frente a las metas y generación de valor de la empresa con sus grupos de interés. En razón de lo anterior, los focos de inversión y aseguramiento tanto en comportamientos, tratamiento de riesgos como de herramientas tecnológicas tendrán una orientación clara, que no sólo va limitar la materialización de un incidente, sino que va a desarrollar un modelo de protección basado en el desaprender de la dinámica del entorno, para ver nuevos patrones de la inseguridad alrededor del mismo.

Reflexiones finales
Considerando los cambios y mutaciones de los adversarios y los diferentes y dinámicos escenarios de análisis, las vulnerabilidades estarán siempre en el orden del día de cualquier responsable por la seguridad de la información. Mientras en el pasado la publicación de los ataques y sus resultados era razón para generar controversia, cada vez se vuelve más común publicar los mismos, como un ejercicio responsabilidad empresarial que habla de la seriedad de la empresa frente a sus grupos de interés y como una forma de aprender y desaprender que permite tanto a desarrolladores como proveedores avanzar en la madurez de sus productos y servicios. (BASIN y SRDJAN 2012, LEMOS 2012)

Como quiera que los ejercicios de concientización e interiorización son claves como medidas que apalancan prácticas y comportamientos frente al tratamiento adecuado de la información, el conjunto de acciones y actividades que se desarrollan frente a la inevitabilidad de la falla, demandan un entendimiento de los esquemas que los atacantes establecen frente al objetivo final de comprometer alguno de los principios básicos de la seguridad de la información.

Así las cosas, comprender el modelo de generación de valor de los atacantes y capitalizar su olfato para identificar los activos de información de mayor relevancia, nos debe ofrecer un marco de análisis para establecer el valor del programa de seguridad de la información, que no deberá estará articulado necesariamente desde la vista de riesgos y controles, sino desde las lecciones aprendidas, la identificación y valoración de los activos de información y, el cumplimiento de las expectativas tanto de los dueños, como de los usuarios y custodios de la misma.

Si lo anterior es cierto, un programa de seguridad de la información estará en las prioridades ejecutivas cuando sea capaz de sintonizarse con los procesos que generan los ingresos de la empresa, potenciando las capacidades corporativas para operar en ambientes agrestes y desconocidos, aprendiendo de su entorno, anticipando los riesgos, haciendo de la inseguridad de la información la base del caso de negocio que revela la inmaterialidad de un activo aún desconocido en las organizaciones: la información.

Referencias
LEMOS, R. (2012) U.S. Creates System To Look For "Future Crimes" http://www.darkreading.com/security-monitoring/167901086/security/news/240144496/u-s-creates-system-to-look-for-future-crimes.html (Consultado: 16-12-2012)
BASIN, D. y SRDJAN, C. (2012) The research value of publishing attacks. Communications of the ACM. Vol.55. No.11. November.
GREENGARD, S. (2012) On the digital trail. Communications of the ACM. Vol.55. No.11. November.
FERRARA, E. (2012) Determine the business value of an effective security program. Information security economics 101. Forrester Research. October. 
WEIL, P. y ROSS, J. (2009) IT Savvy. What top executives must know to go from pain to gain. Harvard Business Press.

lunes, 5 de noviembre de 2012

Inseguridad de la información en la industria de petróleo y gas. Amenazas y retos emergentes



Introducción

En un mundo cada vez más interconectado, con sobrecarga de información y mayores exigencias de eficiencia en la aplicación de modelos de generación de valor, las empresas acuden a los referentes tecnológicos para apalancar los mismos y obtener cada vez más utilidades, a menores costos.

Esta marcada tendencia de maximizar las utilidades, exigiendo la mayor eficiencia tecnológica, necesariamente requiere niveles de inversión altos que permitan contar cada vez más con operaciones integradas, simplificadas y alineadas con las demandas de los mercados, su tiempo de reacción frente a las oportunidades y una alta sensibilidad a los cambios del entorno.

En este sentido, las organizaciones digitalmente integradas, mantienen un flujo de información permanente entre sus grupos de interés, los mercados y sus necesidades internas, que necesariamente les permite estar atentas a las tendencias y alteraciones de patrones de negocio para anticiparse y mantener una posición privilegiada en su entorno.

Si bien lo anterior, es una clara ventaja competitiva que las organizaciones modernas deben desarrollar, es preciso comprender que en un contexto abierto e interconectado la información se ve expuesta a múltiples amenazas y escenarios de vulnerabilidad, lo cual requiere una revisión detallada, toda vez, que ésta es ahora uno de los activos más sensibles y críticos que puede o no comprometer el futuro de una empresa.

En este entendido, la industria de petróleo y gas, no es ajena a este tipo de escenarios, como quiera que sus operaciones están apalancadas en sistemas de monitoreo y control remotos, aplicaciones propietarias de grandes prestadores de servicios de la industria y ahora, un amplio espectro de operaciones integradas donde las redes de datos y comunicaciones hacen parte inherente de la cadena de suministro propia de un negocio de alto riesgo y muchas coordinación.

Por tanto, este documento plantea un breve análisis de escenarios emergentes de vulnerabilidad propios de la industria de petróleo y gas, como una excusa académica para continuar aprendiendo del proceso de automatización y control de esta industria, donde la información fluye desde el campo de producción, hasta la consolidación en los sistemas de información corporativos, donde la reserva de crudo se hace realidad en una cuenta contable.

El campo de petróleo digital

De acuerdo con STEINHUBL y KLIMCHUK (2008) un campo petrolero digital es un conjunto de tecnologías interactivas y complementarias que le permiten a las empresas reunir y analizar datos desde el sitio de trabajo. Esto incluye “pozo inteligentes”, que tienen sensores de fibra óptica enterrados con el aparato de perforación, controlados manualmente por los operadores en la superficie o automáticamente a través de los sistemas de información cerrados para este fin. Estos sensores transmiten un flujo constante de datos sobre el pozo y su entorno, permitiendo a los operadores responder a las circunstancias cambiables en tiempo real.

En este sentido, los autores mencionados anotan que la supervisión de este tipo de sistemas digitales requiere un nuevo tipo de ingeniero y técnico, que no sólo tenga experiencia operacional significativa, sino capacidad de análisis para comparar los datos procedentes de múltiples fuentes y discernir las relaciones entre estos elementos de información de manera rápida y precisa.

En consecuencia con lo anterior, la industria del petróleo y gas avanza rápidamente en el mundo de la gestión de la información como competencia básica para el desarrollo y control de las operaciones y por lo tanto, como factor clave para soportar nuevos activos estratégicos que permitan consolidar hallazgos y fuentes de nuevos hidrocarburos para mantener en balance la ecuación de energía global, tan altamente dependiente de los combustibles derivados de los fósiles.

Así las cosas, la información y su adecuado tratamiento no es una opción en la industria petrolera, sino un mandato claro del negocio, que busca asegurar y proteger activos claves que representan interpretaciones, reservas, análisis o nuevas estrategias de consolidación de datos, que deben mantener un esquema de seguridad y control que balancee la necesidad del negocio parar tener acceso a la información y las condiciones de protección requeridas para limitar la pérdida o fuga de la información.

Como quiera que esta realidad de la seguridad de la información es relevante para la industria del petróleo, se hace necesario contar con prácticas sencillas y efectivas que se articulen con la operación diaria y constante que exige los procesos asociados con la cadena productiva petrolera. Esto es, prácticas que demanden comportamientos verificables por parte de los operadores y funcionarios en el tratamiento de la información, así como tecnología de información de apoyo que soporten la aplicación de éstas.

El campo de petróleo digital es la manera de advertir el nivel de exposición que cada vez más adquiere la industria minera de hidrocarburos, dada su alta dependencia de la tecnología de información, la transmisión de datos de la operación y la consolidación y análisis de grandes volúmenes de datos que son necesarios para revelar nuevos patrones de referencia que muestren caminos alternos para la incorporación de nuevas reservas.

La revolución digital en la industria de petróleo y gas: ¿ventaja o pesadilla?

Los especialistas de la industria de petróleo y gas YUAN, MAHDAVI y PAUL (2011) advierten de un proceso masivo de automatización que la expone rápidamente a amenazas tecnológicas y de información concretas que pueden impactar de manera negativa su operación y reputación, toda vez que la apertura del sector hacia un mundo interconectado y basado referentes abierto, requiere una preparación base, para extender el modelo de protección hasta el momento vigente, por uno que proporciona variables que aún es preciso comprender.

Los sistemas de supervisión y control remota, como son los SCADA, se manifiestan como la primera puerta de entrada a la operación de infraestructura crítica propia de la industria petrolera, los cuales hasta hace unos años no aparecían en el concierto internacional como objetivos claves de los atacantes o intrusos.

En este momento, con una clara digitalización de los procesos industriales de la cadena de operación de petróleo y gas, la apertura de los mismos hacia redes IP estándares y la necesidad de una operación que permita la movilidad y el monitoreo remoto, dichos sistemas se convierten en blancos estratégicos altamente sensibles donde la toma de control de los mismos, si bien no represente per se una conquista económica, si materializa una amenaza de seguridad nacional frente a la distribución de combustibles o compromiso de instalaciones de refinación o investigación en hidrocarburos.

Las razones de la vulnerabilidad de estos sistemas anotan los especialistas son:

• Los parches de seguridad no se actualizan en el momento oportuno debido a la reticencia para interrumpir las operaciones.
• Las evaluaciones de vulnerabilidad no son forma rutinaria para evitar la interrupción
a la producción.
• En un esfuerzo por reducir costos, la red de los sistemas SCADA es compartida con la red corporativa, exponiendo igualmente el entorno de operaciones a las amenazas informáticas tradicionales.

En razón con lo anterior, este nuevo panorama de una mayor ciberpresencia y la exposición que esto implica para la operación, debe llevar a tanto a los ingenieros de producción como a sus homólogos de tecnología de información a ser más conscientes de los riesgos propios de un contexto altamente conectado, donde se comparte información en cualquier lugar y en cualquier momento, para insistir en el desarrollo de una cultura de protección de la información fundada en operaciones confiables y no en restricciones que limiten las posibilidades de una operación fluida y eficiente.

En este entorno, las personas se vuelven el activo fundamental que debe ser entrenado y protegido, frente a los engaños y acciones no autorizadas que son propias de los interesados que buscan desequilibrar la tranquilidad de los mercados petroleros, bien robando información privilegiada de interpretaciones y análisis sísmicos vendiéndola al mejor postor, o utilizando las expectativas de los grandes jugadores para crear amenazas persistentes avanzadas, que comprometan la integridad de la información de los participantes del mercado creando una sensación de inestabilidad donde unos se benefician y otros son desfavorecidos.

Amenazas informáticas en la industria de petróleo y gas

De acuerdo con HAMAD (2012), las amenazas informáticas representadas en ciber ataques son una de las muchas tendencias que configuran tanto el gasto como la inversión en tecnologías de información. En este sentido, los analistas de Forrester Research identifican al menos cuatro focos de inversión en tecnología de información en la industria de petróleo y gas a saber:

Gestión de la información. Las compañías de petróleo y gas están en constante búsqueda de herramientas de gestión de la información para aumentar la utilización de la experiencia de sus empleados actuales y establecer nuevas formas de analizar la información propia de su operación y de la sísmica realizada, para avanzar en el programa de incorporación de reservas para la empresa.

Análisis de computación de alto rendimiento y avanzada. Con el incremento constante de información, las compañías de petróleo y gas continúan invirtiendo en computación de alto rendimiento y tecnologías avanzadas de análisis, con la velocidad y la confiabilidad como criterios principales. Grandes procesamientos de datos para advertir nuevos patrones y formas novedosas que les permitan una tasa de mayor probabilidad de éxito de nuevos hallazgos.

Proyectos de optimización de la cadena de suministro. La naturaleza distribuida de los activos del sector ha llevado a las empresas a aprovechar la tecnología para mejorar la información y la integración de procesos donde sea posible. Esto implica comprender las ecuaciones de energía, costos, uso eficiente de las comunicaciones, integración de plataformas, como factores que impactan la ecuación general de costos por barril tratado.

Proyectos petroquímicos. Como parte de una estrategia de alcance regional para diversificar la economía y contar con un proceso de diversificación de productos que permita movilizar el margen de la utilidad en proceso de refinación más allá de la optimización de las plantas. Esto requiere inversiones en tecnologías de información que apalanquen estudios y análisis más elaborados para contar con productos innovadores y de altas especificaciones.

Cada una de estas iniciativas tiene en sí misma la esencia de la inseguridad de la información representada en amenazas de pérdida o fuga de información, la cuales como anotan los analistas de Forrester, son cada vez más sofisticados, ya no solo orientado a los sistemas SCADA sino a penetrar las redes corporativas, preferiblemente desde dentro,  a través de código malicioso diseñado para robar información sensible y de alto valor competitivo, como pueden ser diseños o activos geológicos de interpretaciones, que puedan causar bien una pérdida económica importante para la empresa, la pérdida de disponibilidad de los servicios claves de la operación o el compromiso de secretos industriales que permiten una posición clave en un mercado tan estandarizado como este.

Un ciber ataque reciente. La experiencia de Saudi Aramco.

Saudi Aramco es una de la petroleras más grandes del mundo, el pasado 15 de agosto de 2012, sufrió un ataque informático de proporciones importantes que impactó su operación por doce días. Durante estos días en la página principal de la petrolera se advertía que efectivamente fueron objeto de un código malicioso que comprometió parte de los computadores de la red interna y que no se habían afectado los sistemas de información clave de la compañía.

Siguiendo los avances informativos de los principales diarios del mundo, que calificaron de un ciber ataque importante a una de las instalaciones más relevantes de la industria del petróleo, se pudo establecer que el virus detectado dentro de la infraestructura de la petrolera, supuestamente fue insertado a través de una USB conectada en un computador interno de la compañía por parte de un empleado de Aramco, cuya identidad permanece en reserva. (RILEY y ENGLEMAN 2012)

Así las cosas, si bien la empresa petrolera cuenta con una infraestructura y perímetro de seguridad amplio, perfectamente vigilado y asegurado, queda claro, de confirmarse la noticia, que al interior de la compañía las prácticas de seguridad y control, las verificaciones del cumplimiento de procedimientos y protocolos de tratamiento de información, requieren una revisión y análisis para comprender los comportamiento de las personas frente a la información y la forma como éstas se vuelven más resistentes a los engaños y estrategias de manipulación o inteligencia informática que puedan materializar un escenario de amenaza persistente avanzada.

Anota el artículo de bloomberg (idem), que la persona identificada en la organización no tenía las habilidades o el acceso para penetrar las instalaciones de la operación de petróleo, lo que habría sido más devastador, toda vez que como lo hemos anotado previamente, cada vez más se tiene mayor visibilidad de las redes propias de las plantas en el contexto de las redes corporativas.

El ataque a Saudi Aramco nos deja algunas lecciones aprendidas como son:
  • Es muy difícil saber qué tipo de ataques tienen un impacto relevante para la infraestructura crítica petrolera, como quiera que estos, se materializan en acciones informáticas comunes basada en códigos malicioso, engaños o inteligencia informática avanzada.
  • Es más exigente efectuar un ejercicio de protección de información de adentro hacia afuera de la organización, que de afuera hacia adentro. Habida cuenta de lo anterior, el factor humano se constituye en el riesgo estratégico más relevante de la empresa, dada su participación en el tratamiento de la información en la empresa.
  • Existen organizaciones especializadas en desarrollar engaños sofisticados avanzados que son capaces de conocer las expectativas de los empleados de una empresa, como fuente para elaborar y materializar ataques de robos de información y/o pérdida de disponibilidad.
 
Retos de la inseguridad de la información en la industria de petróleo y gas

El analista BYRES (2012) considerando las amenazas propias de los sistemas SCADA, formula una serie de recomendaciones para hacer menos vulnerables este tipo de sistemas, que bien se podrían aplicar de manera general para las operaciones de la industria del petróleo y gas. Siguiendo este razonamiento, parafraseamos sus indicaciones de la siguiente forma:
  • Considere las diferentes formas de infección y cuente con estrategias para la gestión de cada una de ellas. No se centre solamente en lo natural como el firewall o las llaves USB.
  • Evite tener un único punto de falla. Subdivida y construya una estrategia de defensa por zonas, que permitan ante un compromiso de seguridad aislar y contener la falla.
  • Efectúe una inspección profunda de sus controles de tecnología de información en los puntos críticos de su operación. Si encuentra que los mismos no se están cumpliendo se incrementa la probabilidad de la inevitabilidad de la falla.
  • Asegure primero los sistemas de misión crítica y los asociados con cumplimiento normativo.
  • Efectúe evaluaciones de seguridad periódicas que permitan ver nuevos puntos de vulnerabilidad y oportunidades de mejora de la infraestructura tecnológica de seguridad.
  • Desarrolle, asegure y evalúe la cultura de seguridad de la información, que permita construir un referente interno de la empresa de protección de la información que cubra desde el operador de la planta hasta la junta directiva.
  • Clasifique los activos de información de la empresa que sean relevantes en su orden (menor importancia (1) a mayor importancia (4)) para:
o   1. La operación transaccional
o   2. La gestión, análisis e interpretación de la información
o   3. La operación de la infraestructura de tecnología de información
o   4. La formulación estratégica de la empresa

En este sentido, los retos de la seguridad de la información en la industria de petróleo y gas se articulan más desde el ciclo de vida de la información y su aseguramiento que desde la esencia misma del campo de petróleo digital. Esto es, que en el ejercicio de aseguramiento de la infraestructura tecnológica y de seguridad informática, se deben conocer los flujos de información que transitan en la arquitectura computacional que soporta la operación.

Mientras más detallado sea el mapa de información que se conozca en los procesos de la cadena integrada de la industria, mejor será el ejercicio de identificación y diagnóstico de riesgos de seguridad de la información, toda vez que un efectivo gobierno de la seguridad de la información requiere no sólo la declaración natural de la información como un activo, sino la prácticas consciente de las personas para efectuar un tratamiento de la información acorde con el contexto y las circunstancias de la operación.

No podemos olvidar que en una industria tan distribuida como la de petróleo y gas debemos articular los esfuerzos en cada uno de sus puntos de operación, como quiera que la ciberdelincuencia en su modelo de negocio no requiere mayores inversiones para avanzar con eficiencia en sus objetivos, cuenta con una economía subterránea basada en un mercado siempre demandante de información privilegiada y con agentes que construyen sus propias reglas para ataques coordinados, persistentes y avanzados.

Finalmente, si bien contamos con importante avances en seguridad y control en la industria de petróleo y gas, éstos no son garantía de una operación confiable y eficiente en un contexto como el actual. Por tanto, la alta gerencia de éstas empresas debe mantener un seguimiento cercano de las nuevas amenazas informáticas como ejercicio proactivo que proteja el valor de los activos propios de la industria y asegure el cumplimiento de las expectativas para todos sus grupos de interés.

Referencias
BYRES, E. (2012) Next generation cyber attacks target oil and gas scada. Pipeline and gas Journal. Vol.239. No. 10. Octubre. Disponible en: http://pipelineandgasjournal.com/next-generation-cyber-attacks-target-oil-and-gas-scada?page=show (Consulta: 5-11-2012)

HAMAD, S. (2012) Cyberattacks Continue To Hit The Oil And Gas Sector In The Middle East. Blog Forrester. Septiembre. Disponible en: http://blogs.forrester.com/summer_hamad/12-09-19-cyberattacks_continue_to_hit_the_oil_and_gas_sector_in_the_middle_east (Consulta: 5-11-2012)

RILEY, M. y ENGLEMAN, E. (2012) Code in Aramco cyber attack indicates lone perpretator. Disponible en: http://www.bloomberg.com/news/2012-10-25/code-in-aramco-cyber-attack-indicates-lone-perpetrator.html (Consulta: 5-11-2012)

STEINHUBL, A. y KLIMCHUK, G. (2008) The digital oil field advantage. Strategy + Business. Issue 50. Spring. Disponible en: http://www.strategy-business.com/article/08115?pg=all (Consulta: 5-11-2012)


YUAN, H., MAHDAVI, M. y PAUL, D. (2011) Security: digital oil field or digital Nightmare? Guest editorial. JPT (Official publication of Society of Petroleum Engineers). Vol. 63. No.8. Agosto. Disponible en: http://www.spe.org/jpt/print/archives/2011/08/7GuestEditorial.pdf (Consulta: 5-11-2012)