Protección de infraestructura crítica de EE.UU.

En Estados Unidos , la protección de infraestructuras críticas ( CIP , por sus siglas en inglés) es un concepto relacionado con la preparación y respuesta ante incidentes graves que afecten a la infraestructura crítica de una región o nación. La directiva presidencial estadounidense PDD-63 de mayo de 1998 estableció un programa nacional de "Protección de Infraestructuras Críticas". [1] En 2014 se publicó el Marco de Ciberseguridad del NIST tras otras directivas presidenciales.

Historia

El CIP de los Estados Unidos es un programa nacional para garantizar la seguridad de las infraestructuras vulnerables e interconectadas de los Estados Unidos . En mayo de 1998, el presidente Bill Clinton emitió la directiva presidencial PDD-63 sobre el tema de la protección de la infraestructura crítica. [1] Esta reconoció que ciertas partes de la infraestructura nacional eran críticas para la seguridad nacional y económica de los Estados Unidos y el bienestar de su ciudadanía, y exigió que se tomaran medidas para protegerlas.

El 17 de diciembre de 2003, el presidente George W. Bush actualizó esta norma mediante la Directiva Presidencial de Seguridad Nacional HSPD-7 para la Identificación, Priorización y Protección de Infraestructura Crítica . [2] La directiva actualizada añadiría la agricultura a la lista de infraestructura crítica dentro del país; esto desharía la omisión de la agricultura de la directiva presidencial de 1998. La directiva describe a Estados Unidos como un país con una infraestructura crítica que es "tan vital para Estados Unidos que la incapacidad o destrucción de dichos sistemas y activos tendría un impacto debilitante en la seguridad, la seguridad económica nacional, la salud pública nacional o la seguridad". [2]

Descripción general

Tomemos, por ejemplo, un virus informático que interrumpe la distribución de gas natural en una región. Esto podría llevar a una reducción consecuente en la generación de energía eléctrica , lo que a su vez lleva al cierre forzado de los controles y comunicaciones computarizados . El tráfico por carretera, el tráfico aéreo y el transporte ferroviario podrían verse afectados. Los servicios de emergencia también podrían verse obstaculizados.

Una región entera puede verse debilitada porque algunos elementos críticos de su infraestructura quedan inutilizados a causa de un desastre natural . Si bien esto puede contravenir las Convenciones de Ginebra [3] , las fuerzas militares también han reconocido que puede paralizar la capacidad de resistencia de un enemigo al atacar elementos clave de su infraestructura civil y militar.

El gobierno federal ha desarrollado una descripción estandarizada de la infraestructura crítica, con el fin de facilitar el seguimiento y la preparación ante eventos que la inhabiliten. El gobierno exige que la industria privada en cada sector económico crítico:

  • Evaluar sus vulnerabilidades a ataques físicos o cibernéticos
  • Plan para eliminar vulnerabilidades significativas
  • Desarrollar sistemas para identificar y prevenir intentos de ataques.
  • Alertar, contener y repeler ataques y luego, con la Agencia Federal para el Manejo de Emergencias , reconstruir capacidades esenciales después de las consecuencias.

Sectores de infraestructura

El CIP define sectores y responsabilidades organizacionales de manera estándar:

Atentado en Oklahoma City: se forman equipos de búsqueda y rescate de varios servicios de emergencia coordinados por la Agencia Federal para el Manejo de Emergencias

En 2003, el mandato se amplió para incluir:

Como gran parte de la infraestructura crítica es de propiedad privada, el Departamento de Defensa depende de la infraestructura comercial para respaldar sus operaciones normales. El Departamento de Estado y la Agencia Central de Inteligencia también participan en el análisis de inteligencia con países amigos.

En mayo de 2007, el DHS completó sus planes sectoriales específicos (SSP) para coordinar y abordar eventos críticos. [6] La Continuidad del Gobierno (COG) en tiempos de un evento catastrófico se puede utilizar para preservar el gobierno como lo considere conveniente el presidente, en cuyo punto el bienestar del gobierno se puede colocar por encima del bienestar de la ciudadanía de los Estados Unidos, asegurando que el gobierno se preserve para reconstruir la economía y el país cuando se considere seguro regresar a la superficie de los Estados Unidos de América.

Significado

El 9 de marzo de 1999, el viceministro de Defensa John Hamre advirtió al Congreso de los Estados Unidos de un ataque cibernético " Pearl Harbor electrónico ", diciendo: "No va a ser contra buques de la Armada que estén en un astillero de la Armada. Va a ser contra infraestructuras comerciales". Más tarde, el presidente Clinton matizó este temor tras los informes de ataques cibernéticos reales en 2000: "Creo que fue una alarma. No creo que fuera Pearl Harbor. Perdimos nuestra flota del Pacífico en Pearl Harbor. No creo que la pérdida análoga fuera tan grande. [7] "

Existen numerosos ejemplos de sistemas informáticos que han sido víctimas de piratería o extorsión. Uno de ellos ocurrió en septiembre de 1995, cuando un ciudadano ruso supuestamente planeó el robo del sistema de transferencia electrónica de fondos de Citicorp y fue condenado a juicio en los Estados Unidos. [8] Una banda de piratas informáticos bajo su mando había violado la seguridad de Citicorp 40 veces durante 1994. Pudieron transferir 12 millones de dólares de las cuentas de los clientes y retirar unos 400.000 dólares.

En el pasado, los sistemas y redes de los elementos de infraestructura eran física y lógicamente independientes y separados. Tenían poca interacción o conexión entre sí o con otros sectores de la infraestructura. Con los avances tecnológicos, los sistemas dentro de cada sector se automatizaron y se interconectaron a través de computadoras e instalaciones de comunicaciones. Como resultado, el flujo de electricidad, petróleo, gas y telecomunicaciones en todo el país está vinculado (aunque a veces indirectamente), pero los vínculos resultantes desdibujan las fronteras de seguridad tradicionales.

Si bien esta mayor dependencia de capacidades interconectadas ayuda a que la economía y la nación sean más eficientes y quizás más fuertes, también hace que el país sea más vulnerable a las perturbaciones y los ataques. Esta infraestructura interdependiente e interrelacionada es más vulnerable a las perturbaciones físicas y cibernéticas porque se ha convertido en un sistema complejo con puntos únicos de fallo. En el pasado, un incidente que habría sido un fallo aislado ahora puede causar una perturbación generalizada debido a los efectos en cascada. [9] Como ejemplo, las capacidades dentro del sector de la información y la comunicación han permitido a los Estados Unidos reestructurar sus procesos gubernamentales y comerciales, al tiempo que se vuelven cada vez más impulsados ​​por el software. Un fallo catastrófico en este sector ahora tiene el potencial de hacer caer múltiples sistemas, incluidos el control del tráfico aéreo, los servicios de emergencia, la banca, los trenes, la energía eléctrica y el control de represas.

Los elementos de la infraestructura en sí también se consideran posibles objetivos del terrorismo . Por ejemplo, el ataque de 2022 a las subestaciones eléctricas de Carolina del Norte cerca de Carthage dejó a decenas de miles de residentes sin electricidad. La terrible experiencia dejó a los residentes sin calefacción adecuada, agua caliente y la capacidad de cocinar durante días mientras se realizaban las reparaciones. Las autoridades señalaron que el ataque se cometió intencionalmente mediante disparos. [10] Tradicionalmente, los elementos críticos de la infraestructura han sido objetivos lucrativos para cualquiera que quiera atacar a otro país. Ahora, debido a que la infraestructura se ha convertido en un salvavidas nacional, los terroristas pueden lograr un alto valor económico y político al atacar elementos de ella. Alterar o incluso inutilizar la infraestructura puede reducir la capacidad de defender la nación, erosionar la confianza pública en los servicios críticos y reducir la fortaleza económica. Además, los ataques terroristas bien elegidos pueden volverse más fáciles y menos costosos que la guerra tradicional debido a la interdependencia de los elementos de la infraestructura. Estos elementos de la infraestructura pueden convertirse en objetivos más fáciles donde hay una baja probabilidad de detección.

Los elementos de la infraestructura también son cada vez más vulnerables a una peligrosa combinación de amenazas tradicionales y no tradicionales, entre las que se incluyen fallas de equipos, errores humanos, causas climáticas y naturales, ataques físicos y ciberataques. En el caso de cada una de estas amenazas, el efecto en cascada causado por puntos únicos de falla tiene el potencial de generar consecuencias nefastas y de largo alcance.

Desafíos

Los líderes mundiales temen que la frecuencia y la gravedad de los incidentes críticos en las infraestructuras aumenten en el futuro. [11] Estas fallas de infraestructura pueden afectar en gran medida a los residentes del país, que se encuentran en alerta máxima. Una de estas fallas potenciales futuras se puede ver en el mundo de la ciberseguridad, ya que los ciudadanos estadounidenses temen que su infraestructura tecnológica esté en riesgo. Esto ocurre a medida que el mundo se vuelve más avanzado tecnológicamente con la introducción de la IA y la tecnología en muchas áreas de la vida estadounidense. [12]

Aunque se están realizando esfuerzos, no existe una capacidad nacional unificada para proteger los aspectos interrelacionados de la infraestructura del país. Una de las razones de esto es que no existe una buena comprensión de las interrelaciones. Tampoco hay consenso sobre cómo se combinan los elementos de la infraestructura, o cómo funciona cada elemento y afecta a los demás. La seguridad de la infraestructura nacional depende de la comprensión de las relaciones entre sus elementos, así como de los efectos inmediatos y diferidos que estas fallas pueden tener sobre los residentes. Así, cuando un sector programó un simulacro de tres semanas para imitar los efectos de una gripe pandémica , aunque dos tercios de los participantes afirmaron tener planes de continuidad de negocios en marcha, apenas la mitad informó que su plan era moderadamente eficaz. [13] Estos pueden tener efectos drásticos sobre quienes no tienen acceso a las salvaguardas necesarias para protegerse.

Algunas de las infraestructuras más críticas para cualquier persona en los EE. UU. son las carreteras, los hospitales y la infraestructura que proporciona alimentos a los residentes. Un mayor riesgo de colapso de estos puntos de infraestructura críticos puede llevar, y en la mayoría de los casos ha llevado, a disminuciones drásticas en el acceso al agua, los alimentos, la atención médica y la electricidad. Necesidades críticas para los residentes atrapados en sus hogares y áreas, residentes que dependen de medicamentos o necesitan ser transportados al hospital más cercano, y residentes que están gravemente afectados por la desnutrición. Esto se vio durante las secuelas del huracán Katrina de 2005 en Nueva Orleans, donde miles de personas fueron desplazadas, cientos murieron y miles más resultaron heridas sin una forma clara de recibir refugio o asistencia. [14] Existe un movimiento actual para mejorar la infraestructura crítica teniendo en cuenta a los residentes.

La protección de la infraestructura crítica requiere el desarrollo de una capacidad nacional para identificar y monitorear los elementos críticos y determinar cuándo y si los elementos están bajo ataque o son víctimas de fenómenos naturales destructivos. Estos fenómenos naturales se han convertido en una amenaza mayor en los últimos dos años debido al cambio climático, la mayor ocurrencia de tormentas más fuertes, sequías más prolongadas y el aumento del nivel del mar. [15] La importancia de la CIP es el vínculo entre la gestión de riesgos y la garantía de la infraestructura. Proporciona la capacidad necesaria para eliminar las vulnerabilidades potenciales en la infraestructura crítica.

Los profesionales del CIP determinan las vulnerabilidades y analizan alternativas para prepararse ante incidentes. Se centran en mejorar la capacidad de detectar y advertir sobre ataques inminentes y fallos del sistema en los elementos críticos de la infraestructura nacional. Sin embargo, hay escépticos que consideran que ciertos métodos de infraestructura nacional perjudican a las comunidades que los gobiernos locales y federales juraron proteger. Este es un factor clave en el movimiento contra la “Ciudad Policial” de Atlanta, ya que los residentes dicen que existen efectos sistemáticos negativos, así como efectos ambientales negativos. [16]

Ciudad de policías

El Centro de Capacitación de Seguridad Pública de Atlanta, también conocido como “Cop City”, es uno de los muchos ejemplos de infraestructura crítica creada para tratar de cumplir con el propósito de proteger a las poblaciones civiles. Esta forma de infraestructura crítica es la que funciona indirectamente, ya que el proyecto tiene como objetivo capacitar a los oficiales de policía actuales y entrantes y a las unidades de combate. El plan es uno que fue presentado por la Fundación de la Policía de Atlanta en 2017 llamado “Vision Safe Atlanta – Public Safety Action Plan”. Este plan prevé que la fundación de la policía reciba mejoras y atención a la infraestructura deteriorada de los edificios y las necesidades de la policía en toda Atlanta. [17] La ​​mayor adición a la cartera de la fundación y la fuerza policial son aproximadamente 85 acres de espacio verde de la ciudad para construir una instalación de capacitación de última generación. [17]

La Fundación de la Policía de Atlanta es una entidad privada que trabaja para mejorar la fuerza policial de la ciudad. Según la Fundación de la Policía de Atlanta, una entidad privada, el proyecto cuenta con el respaldo de los directores ejecutivos de la zona junto con funcionarios públicos que no solo apoyan a la fundación sino también al proyecto de 90 millones de dólares que arrendaría y arrasaría alrededor de 85 acres de bosques de propiedad pública. [17] Según… el centro está siendo financiado de forma privada por otras entidades privadas, con 2/3 de la financiación procedente de financiación privada y el otro tercio procedente de los dólares de los contribuyentes. [18] El nuevo centro reemplazaría a la desmoronada academia de policía, que, según el “Plan de Acción de Seguridad Pública”, necesita ser reemplazada. El “Plan de Acción de Seguridad Pública” tiene un presupuesto renovado y actualizado para la academia de policía de más de 2 millones de dólares; [17] un precio mucho más barato que los 30 millones de dólares que la ciudad estaría aportando para la finalización de la instalación. Estas instalaciones incluyen “un campo de tiro, un edificio de quema y una 'casa de matanza' diseñada para imitar escenarios de combate urbano”. [17] El objetivo general de la instalación es garantizar que los agentes de policía de Atlanta reciban una mejor formación dentro de la ciudad y, al mismo tiempo, obtengan un espacio nuevo. Aunque las perspectivas para la Fundación de la Policía y el Departamento de Policía de Atlanta son positivas, la instalación ha enfrentado cierta resistencia del público en términos de destrucción de terrenos públicos, así como preocupaciones por mala conducta policial.

Atlanta es una ciudad rodeada de una vegetación exuberante que le ha valido a sus residentes y visitantes el título de “ciudad en medio de un bosque”. Según los residentes, la importancia de los bosques de la ciudad no se puede subestimar. Con una presencia tan grande de árboles y espacios verdes, los residentes ven estos espacios como una parte vital de los ecosistemas naturales de la ciudad. A los residentes les preocupa que la tala de 85 acres de bosque provoque un aumento de la mala calidad del aire, reduzca los hábitats naturales de la zona y aumente las inundaciones en una comunidad vulnerable que resulta ser predominantemente negra. [18] Los residentes creen que el posible daño ecológico era un riesgo demasiado grande para que algunos residentes se quedaran de brazos cruzados; esto se suma al posible aumento de la violencia policial. [16]

El movimiento para detener la “ciudad de la policía” surgió a medida que crecían los llamados a desfinanciar al Departamento de Policía de Atlanta a raíz de los llamados a desfinanciar los departamentos de policía en todo el país. [18] [16] Ha habido numerosas organizaciones trabajando para evitar que comience la construcción mediante actos de mudanza al bosque, sabotaje de equipos y búsqueda de acciones legales contra la ciudad y las empresas privadas que están trabajando para suministrar equipos para la construcción de la instalación. [18] Mucha gente fuera de la comunidad también trabajó para detener la “ciudad de la policía”. El bosque en el que la Fundación de la Policía busca construir su instalación es parte de la tierra nativa Muscogee. Los miembros de la tribu viajaron a la ciudad para exigir que la ciudad termine el trabajo y se retire de la tierra Muscogee. El movimiento para detener la “ciudad de la policía” se convirtió en un esfuerzo grupal de personas que querían ver un cambio en el sistema de justicia en Atlanta, así como personas que querían proteger los hábitats naturales mientras buscaban justicia para las especies no humanas de los bosques de Atlanta. [18] Aunque se trata de un movimiento en crecimiento, existe una resistencia por parte de la ciudad y la Fundación de la Policía, que quieren que la llamada “ciudad policial” siga adelante y harán todo lo posible para lograrlo. Al defender el bosque y tratar de ser escuchados y reconocidos por la ciudad y el gobierno estatal, los manifestantes se enfrentaron a duros castigos, tanto legales como físicos. En una protesta, un activista ambiental no binario llamado Manuel Esteban Paez Terán, o Tortuguita, fue asesinado por la Patrulla Estatal de Georgia el 18 de enero, lo que sacó a la luz los efectos violentos del patrullaje y la vigilancia policial sobre los manifestantes. [18] [19]

Por más que los manifestantes se expresen abiertamente sobre la destrucción ambiental y los efectos negativos de la infraestructura, hay muchas leyes y políticas que se están implementando que dificultan el ejercicio de la libertad de expresión. Se están presentando proyectos de ley sobre la intrusión en infraestructura crítica (IC) en todo el país para permitir la detención y el procesamiento de los manifestantes que se interpongan en el camino de la construcción de infraestructura. [19] Según Jalbert et. al. y si estos proyectos de ley se convierten en ley, permitirán el uso de drones, fuerza excesiva, reconocimiento facial y tácticas de vigilancia comunitaria. [19] [20] Además, Akbar, Love y Donoghoe argumentan que estos proyectos de ley afectarán de manera desproporcionada a los manifestantes de color. [16] [18] Esto se ve en la muerte de Tortuguita y el arresto masivo de manifestantes indígenas, negros y latinos. No solo hay arrestos y respuestas violentas por parte de las autoridades legales, sino que también hay acciones que los funcionarios están tomando para convertir la intrusión en infraestructura crítica en un delito grave, ya que muchos citan la protesta de infraestructura crítica como acciones terroristas. [19]

Estas leyes surgen de la creciente presión sistemática para criminalizar a los manifestantes que impiden la construcción de nuevas infraestructuras críticas; estas leyes son una respuesta a las protestas en todo el país contra la construcción de oleoductos. Se trata de protestas que surgen del deseo de proteger el clima y las tierras indígenas. [21] Las protestas tienden a funcionar para detener o ralentizar la construcción de nuevos oleoductos y tienen como objetivo hablar en contra de los gobiernos locales, estatales y federales que apoyan, y en muchos casos, financian la adición de oleoductos y gasoductos. [21] Los pueblos indígenas argumentan que la construcción de oleoductos va en contra de los tratados tribales y tiene la posibilidad de poner en peligro la tierra a través de la contaminación. [22] La interrelación de la supuesta opresión ambiental y sistémica ha empujado a los residentes de las zonas en las que se construirán oleoductos a hablar en contra de los proyectos.

Debido a que los oleoductos y gasoductos pertenecen al sector de la energía, se los considera infraestructuras críticas. Por lo tanto, el gobierno de los EE. UU. tiene como objetivo defenderlos y protegerlos. Como resultado, varios estados han implementado leyes “antiprotestas” para evitar la interrupción de la construcción de oleoductos y cualquier desarrollo de proyectos considerados infraestructura crítica y necesarios para el avance del país. [23] [21] Estas leyes tipifican como delito detener e impedir la construcción y el desarrollo de proyectos de infraestructura crítica dentro de los estados que implementan estas diversas leyes “antiprotestas”. [23] [24]

Debido a la creciente presión política para evitar que los manifestantes interfieran en los proyectos de infraestructura, Georgia se ha convertido en un estado que poco a poco está utilizando leyes y medidas “antiprotestas” para evitar que la gente proteste contra la “ciudad policía” y otros proyectos de infraestructura críticos en el estado. [20] Los activistas han sido detenidos y acusados ​​de delitos graves mientras protestaban contra la “ciudad policía”. [20]

Los proyectos de infraestructura crítica en los EE. UU. tienen sus partidarios y sus manifestantes y la respuesta a estos proyectos es clara desde todos los lados.

Organización y estructura

La PDD-63 dispuso la formación de una estructura nacional para la protección de la infraestructura crítica. Para lograrlo, una de las principales acciones fue elaborar un Plan Nacional de Garantía de la Infraestructura (NIAP, por sus siglas en inglés), posteriormente rebautizado como Plan Nacional de Protección de la Infraestructura (NIPP, por sus siglas en inglés).

Las distintas entidades de la estructura nacional del CIP trabajan juntas como una asociación entre el gobierno y los sectores públicos. Cada departamento y agencia del gobierno federal es responsable de proteger su parte de la infraestructura crítica del gobierno. Además, existen subvenciones disponibles a través del Departamento de Seguridad Nacional para que las entidades municipales y privadas las utilicen para fines de seguridad y del CIP. Estas incluyen subvenciones para la gestión de emergencias, capacitación en seguridad hídrica , seguridad ferroviaria, de tránsito y portuaria, respuesta médica metropolitana, programas de prevención del terrorismo de las fuerzas de seguridad locales y la Iniciativa de Seguridad de Áreas Urbanas. [25]

La PDD-63 identificó ciertas funciones relacionadas con la protección de infraestructura crítica que deben ser desempeñadas principalmente por el gobierno federal. Estas son la defensa nacional, los asuntos exteriores, la inteligencia y la aplicación de la ley. Cada agencia líder para estas funciones especiales designa a un funcionario de alto rango para que actúe como coordinador funcional para el gobierno federal. En 2008 se introdujo una herramienta de evaluación de vulnerabilidades y seguridad basada en PDA (VASST) para acelerar la evaluación de seguridad física de la infraestructura crítica por parte de las fuerzas del orden a fin de cumplir con los requisitos de cumplimiento de la PDD-63. [26]

Plan Nacional de Garantía de Infraestructura / Plan Nacional de Protección de Infraestructura

El Plan Nacional de Protección de Infraestructura (NIPP, por sus siglas en inglés) es un documento solicitado por la Directiva Presidencial de Seguridad Nacional 7 , que tiene como objetivo unificar los esfuerzos de protección de Infraestructura Crítica y Recursos Clave (CIKR, por sus siglas en inglés) en todo el país. La última versión del plan se elaboró ​​en 2013 [27] Los objetivos del NIPP son proteger la infraestructura crítica y los recursos clave y garantizar la resiliencia. En general, se considera difícil de manejar y no un plan real para llevar a cabo en una emergencia, pero es útil como mecanismo para desarrollar la coordinación entre el gobierno y el sector privado . El NIPP se basa en el modelo establecido en la Directiva de Decisión Presidencial-63 de 1998, que identificó sectores críticos de la economía y encargó a las agencias gubernamentales pertinentes que trabajaran con ellos en el intercambio de información y en el fortalecimiento de las respuestas a los ataques.

El NIPP está estructurado para crear asociaciones entre los Consejos de Coordinación Gubernamental (GCC) del sector público y los Consejos de Coordinación Sectorial (SCC) del sector privado para los dieciocho sectores que el DHS ha identificado como críticos.

Para cada uno de los principales sectores identificados de la infraestructura crítica, el gobierno federal designó un funcionario de enlace sectorial de un organismo principal designado. También se identificó un homólogo del sector privado, un coordinador sectorial. Juntos, los dos representantes del sector, uno del gobierno federal y uno de una corporación, fueron responsables de desarrollar un plan de acción nacional para el sector.

Además, cada departamento y agencia del gobierno federal era responsable de desarrollar su propio plan de protección de infraestructura crítica para su parte del gobierno federal. Los planes de los departamentos y agencias federales se asimilaron a los planes nacionales de protección de infraestructuras del sector para crear un Plan Nacional de Garantía de Infraestructura integral. Además, la estructura nacional debe garantizar que exista un programa nacional de protección de infraestructura crítica. Este programa incluye responsabilidades como educación y concientización, evaluación e investigación de amenazas e investigación.

El proceso incluye evaluaciones de:

  • Protección: Puede definirse como el estado de estar defendido, salvaguardado o protegido de lesiones, pérdidas o destrucción causadas por fuerzas naturales o sobrenaturales.
  • Vulnerabilidad: Cualidad de ser susceptible a ataques o lesiones, justificadas o no, por accidente o por diseño.
  • Riesgo: La posibilidad o probabilidad de ser atacado o herido.
  • Mitigación: La capacidad de aliviar, reducir o moderar una vulnerabilidad, reduciendo o eliminando así el riesgo.

Agencias sectoriales específicas

Consejos de coordinación sectorial

  • Agricultura y alimentación
  • Base industrial de defensa
  • Energía
  • Salud pública y atención sanitaria
  • Servicios financieros
  • Sistemas de agua y aguas residuales
  • Químico
  • Instalaciones comerciales
  • Presas
  • Servicios de emergencia
  • Reactores nucleares, materiales y residuos
  • Tecnologías de la información
  • Comunicaciones
  • Correos y envíos
  • Sistemas de transporte
  • Instalaciones gubernamentales

Ejemplos de planes similares de protección de infraestructura crítica son la Estrategia Nacional Alemana para la Protección de Infraestructura Crítica (Estrategia CIP) y la Estrategia STYREL ​​sueca para la Orientación de la electricidad a usuarios prioritarios durante cortes de electricidad a corto plazo [28].

Controversia

Se han hecho críticas públicas a los mecanismos y la implementación de algunas iniciativas y subvenciones de seguridad, con afirmaciones de que están siendo dirigidas por las mismas empresas que pueden beneficiarse, [29] y que están fomentando una cultura innecesaria del miedo . Los comentaristas señalan que estas iniciativas comenzaron directamente después del colapso de la Guerra Fría , lo que plantea la preocupación de que esto fue simplemente una desviación del complejo militar-industrial de un área de financiación que se estaba reduciendo y hacia un ámbito civil más rico anteriormente.

Las subvenciones se han distribuido entre los diferentes estados a pesar de que el riesgo percibido no está repartido de forma uniforme, lo que ha dado lugar a acusaciones de política clientelista que dirige el dinero y los puestos de trabajo hacia zonas de votación marginal. El programa de subvenciones de la Iniciativa de Seguridad de las Áreas Urbanas ha sido especialmente controvertido, ya que la lista de infraestructuras de 2006 abarca 77.000 activos, entre ellos una fábrica de palomitas de maíz y un puesto de perritos calientes. [30] Los criterios de 2007 se redujeron a 2.100 y ahora esas instalaciones deben presentar argumentos mucho más sólidos para ser elegibles para las subvenciones. [31] Aunque bien intencionados, algunos de los resultados también han sido cuestionados en relación con las denuncias de un teatro de seguridad mal diseñado e intrusivo que distrae la atención y el dinero de cuestiones más urgentes o crea efectos secundarios perjudiciales.

La falta de análisis comparativo de riesgos y de seguimiento de los beneficios ha dificultado refutar con autoridad tales acusaciones. Para comprender mejor este aspecto y, en última instancia, dirigir los esfuerzos de manera más productiva, recientemente se creó una Oficina de Gestión y Análisis de Riesgos en la Dirección de Protección y Programas Nacionales del Departamento de Seguridad Nacional .

Departamento de Defensa y CIP

El Departamento de Defensa de los EE. UU. es responsable de proteger su parte de la infraestructura crítica del gobierno . Pero, como parte del programa CIP, el Departamento de Defensa tiene responsabilidades que abarcan tanto la infraestructura crítica nacional como la departamental.

El PDD-63 identificó las responsabilidades que tenía el Departamento de Defensa en relación con la protección de la infraestructura crítica. En primer lugar, el Departamento de Defensa tenía que identificar sus propios activos e infraestructuras críticos y proporcionar garantías mediante análisis, evaluación y reparación. El Departamento de Defensa también era responsable de identificar y supervisar los requisitos nacionales e internacionales de infraestructura de la industria y otras agencias gubernamentales, todo lo cual debía incluirse en la planificación de la protección. El Departamento de Defensa también abordó la garantía y protección de los activos comerciales y los servicios de infraestructura en las adquisiciones del Departamento de Defensa. Otras responsabilidades del Departamento de Defensa en relación con la protección de la infraestructura crítica incluían la evaluación del posible impacto en las operaciones militares que resultaría de la pérdida o el compromiso del servicio de infraestructura. También había requisitos para supervisar las operaciones del Departamento de Defensa, detectar y responder a los incidentes de infraestructura y proporcionar indicaciones y advertencias del departamento como parte del proceso nacional. En última instancia, el Departamento de Defensa era responsable de respaldar la protección de la infraestructura crítica nacional.

En respuesta a los requisitos identificados en la PDD-63, el Departamento de Defensa clasificó sus propios activos críticos por sector, de manera similar a la organización nacional de CIP. El Departamento de Defensa identificó una lista ligeramente diferente de sectores de infraestructura para aquellas áreas que específicamente requerían protección por parte del Departamento de Defensa. La estructura organizativa del Departamento de Defensa para la protección de la infraestructura crítica refleja, complementa e interactúa eficazmente con la estructura nacional para CIP.

Sectores del Departamento de Defensa

Hay diez sectores de infraestructura crítica para la defensa que están protegidos por el Departamento de Defensa, entre ellos:

  • Servicios financieros : los servicios financieros de defensa respaldan las actividades relacionadas con los fondos asignados oficialmente. Estas actividades incluyen el desembolso de efectivo, la recepción de fondos y la aceptación de depósitos para acreditarlos en cuentas generales del Tesoro designadas oficialmente. Este sector también proporciona servicios financieros a personas y organizaciones en la base, incluidos depósitos, mantenimiento de cuentas y custodia. El Servicio de Finanzas y Contabilidad de Defensa es el componente principal del sector de Servicios Financieros.
  • Transporte : el Sistema de Transporte de Defensa (DTS, por sus siglas en inglés) incluye recursos que respaldan las necesidades de transporte del Departamento de Defensa a nivel mundial. Entre ellos se incluyen activos de superficie, marítimos y de transporte; infraestructura de apoyo; personal; y sistemas relacionados. El Comando de Transporte (USTRANSCOM, por sus siglas en inglés) es el único administrador del transporte del Departamento de Defensa.
  • Obras públicas : las obras públicas incluyen cuatro sectores de infraestructura física distintos: energía eléctrica, petróleo y gas natural, agua y alcantarillado; y servicios de emergencia, como bomberos, médicos y manejo de materiales peligrosos. Este sector de infraestructura de defensa está compuesto por redes y sistemas, principalmente para la distribución de los productos básicos asociados. El Cuerpo de Ingenieros es responsable de coordinar las actividades de aseguramiento del sector de infraestructura de obras públicas.
  • Control de Comando de la Red de Información Global , o GIG/C2 : El Control de Comando de la Red de Información Global, o GIG/C2, son dos sectores combinados que respaldan la garantía general de activos para CIP. El GIG es el conjunto interconectado globalmente de personal, información y capacidades de comunicación necesarias para lograr la superioridad de la información. C2 incluye activos, instalaciones, redes y sistemas que respaldan el cumplimiento de la misión. La Agencia de Sistemas de Información de Defensa , o DISA, es el componente principal responsable del Control de Comando de la Red de Información Global.
  • Inteligencia, Vigilancia y Reconocimiento (ISR ): El sector de infraestructura de inteligencia, vigilancia y reconocimiento de defensa está compuesto por instalaciones, redes y sistemas que respaldan las actividades de ISR, como los centros de producción y fusión de inteligencia. La Agencia de Inteligencia de Defensa (DIA) es responsable de coordinar las actividades de aseguramiento de este sector de infraestructura.
  • Asuntos de salud : la infraestructura de atención de salud consta de instalaciones y sitios en todo el mundo. Algunos están ubicados en instalaciones del Departamento de Defensa; sin embargo, el Departamento de Defensa también administra un sistema más grande de instalaciones de atención fuera del Departamento de Defensa dentro de su red de atención de salud. Estas instalaciones de atención de salud están conectadas por sistemas de información. La Oficina del Subsecretario de Defensa para Asuntos de Salud es el componente principal designado para este sector.
  • Personal - El sector de infraestructura de personal de defensa incluye una gran cantidad de activos alojados en sitios de componentes, una red de instalaciones y sistemas de información que vinculan esos sitios e instalaciones. Además de ser responsable de sus propios activos, el sector de infraestructura de personal también coordina los servicios comerciales que respaldan la función de personal. Estos servicios incluyen el reclutamiento, el mantenimiento de registros y la capacitación. La Actividad de Recursos Humanos de Defensa es el componente principal designado para el sector de infraestructura de personal de defensa.
  • Espacio - El sector de infraestructura espacial de defensa está compuesto por activos espaciales y terrestres, incluidos sistemas de lanzamiento, logística especializada y control. Las instalaciones están ubicadas en todo el mundo, tanto en sitios privados como controlados por el Departamento de Defensa. El sector espacial de defensa está dirigido por el Comando Estratégico de los Estados Unidos o USSTRATCOM.
  • Logística : El sector de logística de defensa incluye todas las actividades, instalaciones, redes y sistemas que respaldan la provisión de suministros y servicios a las fuerzas estadounidenses en todo el mundo. La logística incluye la adquisición, el almacenamiento, el movimiento, la distribución y el mantenimiento de material y suministros. Este sector también incluye la disposición final del material que ya no necesita el Departamento de Defensa. La Agencia de Logística de Defensa (DLA, por sus siglas en inglés) es el componente principal de la infraestructura logística del Departamento de Defensa.
  • Base Industrial de Defensa : La Base Industrial de Defensa está formada por proveedores de productos y servicios del Departamento de Defensa del sector privado. Los servicios y productos que se ofrecen constituyen activos críticos para el Departamento de Defensa. El componente principal de la Base Industrial de Defensa es la Agencia de Gestión de Contratos de Defensa . Para aquellos casos en los que los requisitos de protección de infraestructura afectan a más de un sector de defensa, el Departamento de Defensa ha establecido componentes de funciones especiales que respaldan la implementación del CIP.

Funciones especiales del Departamento de Defensa

Los componentes de funciones especiales del CIP del Departamento de Defensa interactúan con los coordinadores funcionales nacionales equivalentes y coordinan todas las actividades relacionadas con su función dentro del Departamento de Defensa.

Los componentes de funciones especiales del Departamento de Defensa actualmente incluyen siete áreas de enfoque, que incluyen los siguientes componentes:

  • Política y estrategia - El componente de función especial de política y estrategia proporciona la planificación estratégica necesaria para preparar a nuestras Fuerzas Armadas para el siglo XXI. En parte, cumple con esta responsabilidad mediante el desarrollo de la Estrategia Militar Nacional . Dentro del área de desarrollo de políticas, es responsable de dirigir la revisión bienal del presidente del Plan de Comando Unificado y desarrollar posiciones del Estado Mayor Conjunto sobre temas clave como la organización, los roles y misiones, y las funciones de las Fuerzas Armadas y los comandos combatientes.
  • Apoyo de Inteligencia - El Componente de Función Especial de Apoyo de Inteligencia del CIP proporciona apoyo de inteligencia al Departamento de Defensa en la protección de la parte de Defensa de la Infraestructura Crítica del Gobierno Federal. Las responsabilidades de Apoyo de Inteligencia también incluyen el apoyo al Sistema de Advertencia, Alerta y Notificación de Defensa, y la interacción con la comunidad de inteligencia nacional. Las responsabilidades de las agencias de Apoyo de Inteligencia incluyen actividades tales como la provisión de evaluaciones de amenazas; indicaciones y advertencias de ataques potenciales; asesoramiento y apoyo a los CIAO del Sector en el desarrollo de monitoreo y presentación de informes del sector de infraestructura de defensa; apoyo en la gestión de crisis; y contrainteligencia. Este componente de función especial también tiene la tarea de brindar apoyo al contingente del Departamento de Defensa del NIPC en relación con la inteligencia y la contrainteligencia.
  • Política industrial - El Subsecretario de Defensa para Adquisiciones, Tecnología y Logística garantiza que exista una base industrial de defensa adecuada y que siga siendo viable para satisfacer los requisitos de seguridad nacional actuales, futuros y emergentes.
  • Seguridad de Defensa - El Servicio de Seguridad de Defensa proporciona al Departamento de Defensa y otras agencias federales una variedad de productos y servicios de seguridad diseñados para disuadir y detectar el espionaje.
  • Garantía de la información : el subsecretario de Defensa para redes e integración de la información (ASD NII, por sus siglas en inglés) es el principal asistente del personal del OSD para el desarrollo, la supervisión y la integración de las políticas y los programas del Departamento de Defensa relacionados con la estrategia de superioridad de la información para el Departamento de Defensa. La garantía de la información (IA, por sus siglas en inglés) es el componente de las operaciones de información que asegura la preparación operativa del Departamento de Defensa al garantizar la disponibilidad y confiabilidad continuas de los sistemas y redes de información. La IA protege al DII contra la explotación, la degradación y la denegación de servicio, al tiempo que proporciona los medios para reconstituir y restablecer de manera eficiente las capacidades vitales después de un ataque.
  • Investigación y desarrollo : el componente de funciones especiales de investigación y desarrollo es responsable de la protección y garantía de la información. La Oficina del Director de Investigación e Ingeniería de Defensa coordina una agenda de investigación y desarrollo del Departamento de Defensa del CIP, así como de conciliar la agenda del Departamento de Defensa con la agenda nacional de I+D.
  • Educación y concientización : si bien la educación y la concientización pueden considerarse responsabilidad de todos, se consideró que una estrategia integral de educación y concientización era esencial para el éxito del programa CIP del Departamento de Defensa. La Universidad Nacional de Defensa (NDU, por sus siglas en inglés) brindó asesoramiento y asistencia para evaluar los requisitos de educación y concientización del Departamento de Defensa. El componente de educación y concientización también desarrolló el programa de educación de la CIAO. Este componente se encargó de ayudar en el desarrollo de cualquier educación o capacitación especial requerida para el personal de gestión de crisis del CIP. El componente de educación y concientización también respalda la formulación de políticas y estrategias del Departamento de Defensa y del CIP nacional y el desarrollo del liderazgo ejecutivo a través de "juegos de infraestructura" periódicos.

Ciclo de vida del CIP del Departamento de Defensa

Según lo dispuesto en la PDD-63, el Departamento de Defensa debe proteger su parte de la infraestructura crítica del gobierno federal. En el caso del Departamento de Defensa, se trata de la Infraestructura de Defensa o DI. Proteger la Infraestructura de Defensa es una tarea compleja que involucra a diez sectores de defensa.

Se consideró que era casi imposible proteger todos los activos críticos en cada ubicación, por lo que se centró la atención en proteger la infraestructura crítica de defensa. La infraestructura crítica de defensa son los activos críticos esenciales para garantizar la seguridad de la misión.

El ciclo del CIP (gráfico 1)
El ciclo del CIP (gráfico 1)

Seis fases

Las seis fases del ciclo de vida del CIP del Departamento de Defensa se complementan entre sí para crear un marco para una solución integral de seguridad de la infraestructura. Las fases del ciclo de vida ocurren antes, durante y después de un evento que pueda comprometer o degradar la infraestructura. Una sinopsis de las seis fases es la siguiente:

  • Análisis y evaluación (ocurre antes de un evento) - La fase de análisis y evaluación es la base y la fase más importante del ciclo de vida del CIP. Esta fase identifica los activos absolutamente críticos para el éxito de la misión y determina las vulnerabilidades de los activos, así como sus interdependencias, [32] configuraciones y características. Luego se realiza una evaluación del impacto operativo de la pérdida o degradación de la infraestructura. Además, la ciberdefensa proactiva puede anticipar un ataque contra computadoras y redes. Se aplica igualmente bien a todos los sectores de infraestructura crítica, ya que implica interceptar e interrumpir un ataque o la preparación de una amenaza para atacar, ya sea de manera preventiva o en defensa propia.
  • Remediación (ocurre antes de un evento): la fase de remediación implica medidas de precaución y acciones que se toman antes de que ocurra un evento para reparar las vulnerabilidades físicas y cibernéticas conocidas que podrían causar una interrupción o comprometer una infraestructura de defensa nacional, o NDI, o un activo crítico. Por ejemplo, las acciones de remediación pueden incluir educación y concientización, cambios en los procesos operativos o de procedimiento o cambios en la configuración del sistema y los componentes.
  • Indicaciones y advertencias (ocurre antes y/o durante un evento) - La fase de Indicaciones y advertencias implica el monitoreo diario del sector para evaluar las capacidades de garantía de la misión de los activos de infraestructura crítica y determinar si hay indicaciones de eventos que informar. Las indicaciones son acciones preparatorias que indican si es probable que ocurra un evento de infraestructura o si está planificado. Las indicaciones se basan en información a nivel táctico, operativo, de teatro y estratégico. A nivel táctico, la información proviene de los propietarios de los activos. A nivel operativo, la información proviene de los sectores de NDI. A nivel de teatro, la información proviene de activos regionales como inteligencia aliada, OTAN, inteligencia de comando, gobiernos aliados y fuerzas de coalición. A nivel estratégico, la información proviene de inteligencia, aplicación de la ley y el sector privado. La advertencia es el proceso de notificar a los propietarios de activos sobre una posible amenaza o peligro.
  • Mitigación (ocurre tanto antes como durante un evento): la fase de mitigación comprende las acciones que se toman antes o durante un evento en respuesta a advertencias o incidentes. Los propietarios de activos críticos del Departamento de Defensa, los sectores de NDI, las instalaciones del Departamento de Defensa y los operadores militares toman estas acciones para minimizar el impacto operativo de la pérdida o debilitamiento de un activo crítico.
  • Respuesta a incidentes (ocurre después de un evento): la respuesta a incidentes comprende los planes y actividades que se llevan a cabo para eliminar la causa o fuente de un evento de infraestructura.
  • Reconstitución (ocurre después de un evento): la última fase del ciclo de vida del CIP implica acciones que se toman para reconstruir o restaurar la capacidad de un activo crítico después de que haya sido dañado o destruido. Esta fase es el proceso más desafiante y menos desarrollado.

La gestión eficaz del ciclo de vida del CIP garantiza que las actividades de protección puedan coordinarse y conciliarse entre todos los sectores del Departamento de Defensa. En muchos sentidos, el CIP del Departamento de Defensa es la gestión de riesgos en su máxima expresión. Alcanzar el éxito significa obtener garantías de la misión. No alcanzar el objetivo puede significar el fracaso de la misión, así como pérdidas humanas y materiales. Para la protección de la infraestructura crítica, la gestión de riesgos requiere aprovechar los recursos para abordar los activos de infraestructura más críticos que también son los más vulnerables y los que tienen mayor exposición a las amenazas.

La parte más importante del ciclo de vida de un plan de protección de infraestructura es la fase 1. Dado que es fundamental identificar los activos adecuados para la protección de la infraestructura, la determinación de dichos activos es la primera fase del ciclo de vida de un plan de protección de infraestructura. Esta fase, Análisis y evaluación, es la clave y la base de las siete actividades del ciclo de vida. Sin una base sólida, las fases restantes del ciclo de vida de un plan de protección de infraestructura pueden presentar fallas, lo que dará como resultado un plan de protección de infraestructura crítica que no logre proteger la infraestructura crítica y, por lo tanto, no garantice la misión.

Fase 1: Análisis y evaluación

La fase 1 determina qué activos son importantes e identifica sus vulnerabilidades y dependencias para que los tomadores de decisiones tengan la información que necesitan para tomar decisiones eficaces en materia de gestión de riesgos.

La infraestructura de defensa, o DI, está organizada en diez sectores. Cada sector está compuesto de activos, como sistemas, programas, personas, equipos o instalaciones. Los activos pueden ser simples, como una instalación dentro de una ubicación geográfica, o complejos, que incluyen enlaces y nodos dispersos geográficamente.

El Análisis y Evaluación se compone de cinco pasos que incluyen actividades que abarcan los diez sectores de DI y sus activos.

  • I. El primer paso en la fase de Análisis y Evaluación es identificar los activos críticos. La criticidad de un activo es una función tanto del tiempo como de la situación en función del valor operativo o comercial del activo. Para el DI, el valor depende de varios factores: primero, qué operaciones o servicios militares dependen de un activo y cómo esas dependencias cambian con el tiempo; luego, cuán sensible es la operación a la pérdida o compromiso del activo, en otras palabras, cuál es el tiempo máximo de inactividad permitido si el activo se ve comprometido; finalmente, cuál es el perfil de garantía del activo, en particular si la restauración del activo o el cambio a una copia de seguridad puede ocurrir dentro del tiempo de inactividad permitido. A través de la experiencia y la inspección del dominio, se identifican los activos críticos y luego se informan al Programa CIP.
  • II. El segundo paso de la fase de Análisis y Evaluación es la caracterización de la Infraestructura de Defensa. En este paso se mapean y asocian funciones y relaciones críticas de los activos dentro de un sector de DI.
  • III. El tercer paso de la fase de Análisis y Evaluación es el Análisis de Impacto Operacional. Este paso se logra mediante el desarrollo de matrices de dependencia operacional y la aplicación de métodos de investigación de operaciones. Los impactos operacionales potenciales y los requisitos de nivel de servicio se reflejan luego en los atributos de criticidad del activo y el índice de criticidad en el programa CIP.
  • IV. El cuarto paso es la evaluación de vulnerabilidad. Este paso se lleva a cabo a través de múltiples canales. A través del programa CIP, todos los activos críticos tienen un índice de vulnerabilidad de referencia, que se calcula a partir de datos asociados con la clase de activo y la región geográfica, como la probabilidad de desastres naturales, eventos delictivos o de seguridad nacional y fallas tecnológicas. Los propietarios de activos, las instalaciones anfitrionas, la CIAO del sector u otras entidades del Departamento de Defensa pueden proporcionar información sobre la preparación operativa de los activos y la preparación para emergencias.
  • V. El quinto y último paso de la fase de Análisis y Evaluación es el Análisis de Interdependencia. El análisis de interdependencia busca mapear las funciones y relaciones entre los sectores de DI. Como resultado del Análisis de Interdependencia, los atributos de criticidad de los activos previamente identificados pueden actualizarse y pueden identificarse activos críticos adicionales para el programa CIP. Múltiples grupos dentro de la estructura CIP del DoD realizan actividades de análisis y evaluación. Traducir el proceso de análisis y evaluación en datos concretos requiere actividades, tareas y herramientas específicas.

Ejemplo de la fase 1 en el “mundo real”

El 24 de agosto de 2001, el Director del Estado Mayor Conjunto solicitó al USPACOM que actuara como Comando Combatiente de Apoyo Principal para la creación del primer Plan CIP para el teatro de operaciones, conocido como el “Plan CIP Apéndice 16”. A continuación se detalla cómo el USPACOM abordó la tarea. El USPACOM centró la fase de Análisis y Evaluación organizando sus actividades para responder a tres preguntas principales:

  • ¿Qué es crítico?
  • ¿Es vulnerable?
  • ¿Qué se puede hacer?

Para responder a la pregunta “¿Qué es crítico?”, USPACOM describió un procedimiento de tres pasos:

  • Primero, identifique el enfoque del proyecto.
  • En segundo lugar, complete un análisis operativo.
  • En tercer lugar, completar un análisis de la infraestructura de defensa.

Para llevar a cabo estos pasos, el USPACOM adoptó una metodología que centra sus esfuerzos de CIP en los activos de nivel 1. Los activos de nivel 1 son activos que podrían causar el fracaso de la misión si se ven comprometidos o dañados. La metodología que el UAPACOM adoptó y modificó es el Análisis del Área de Misión, o MAA. El MAA vincula las misiones de comando combatiente con los activos de infraestructura que son críticos para un Plan de Operaciones determinado, u OPLAN, Plan de Contingencia, o CONPLAN, o Plan de Acción de Crisis. Por lo general, el proceso MAA determina las prioridades del sitio de evaluación. El USPACOM modificó el proceso y seleccionó los sitios e instalaciones de evaluación del CIP antes de realizar el MAA. A continuación se muestra una ilustración del proceso MAA del USPACOM:

  • En primer lugar, se identificaron los requisitos esenciales de la misión (MER, por sus siglas en inglés), que son comandos combatientes específicos o capacidades de la fuerza de tarea conjunta esenciales para la ejecución de un plan de guerra. Luego, se creó una matriz de MER para el comando específico. Por ejemplo, un MER puede ser para proporcionar comando, control, comunicaciones y computadoras, o C4.
  • En segundo lugar, se identificaron las fuerzas necesarias para cada MER. Por ejemplo, el MER C4 está vinculado a un batallón de señales específico. En tercer lugar, se vincularon las fuerzas a las funciones y tareas necesarias que respaldan a la fuerza. Por ejemplo, el batallón de señales está vinculado a las funciones de Comunicaciones e Ingenieros Civiles y a la tarea de gestionar los requisitos de los sistemas de información C4 del teatro de operaciones.
  • En tercer lugar, vincula los activos con las funciones que respaldan las tareas. El resultado es un análisis del área de misión de los activos críticos para la misión.

USPACOM utiliza los datos MAA que recopila para delimitar y concentrar sus esfuerzos en activos verdaderamente críticos para la misión para responder la siguiente pregunta en su proceso: ¿Es vulnerable?

El primer paso para responder a esta pregunta es completar un análisis de la instalación. El siguiente paso es completar un análisis de la infraestructura comercial. USPACOM se basó en dos organizaciones diferentes del Departamento de Defensa para las evaluaciones CIP: Evaluaciones de Supervivencia Balanceada, o BSA, y Evaluaciones de Garantía de Misión. La BSA es una evaluación centrada en la misión de dos semanas en una instalación militar o sitio designado. Una Evaluación de Garantía de Misión es única porque utiliza un enfoque de evaluación de área para centrarse en las vulnerabilidades y dependencias de los activos comerciales y militares. El paso final para determinar las vulnerabilidades es integrar los dos análisis y evaluaciones. Una vez identificados sus activos críticos y sus vulnerabilidades, USPACOM está listo para realizar actividades de gestión de riesgos para decidir qué se puede hacer para proteger los activos críticos para la misión .

Booz Allen Hamilton desarrolló este proceso en PACOM.

Fase 2: Remediación

La primera fase del ciclo de vida del CIP, Análisis y Evaluación, identificó los activos críticos de las infraestructuras del sector del Departamento de Defensa y las vulnerabilidades o debilidades de esos activos críticos.

La segunda fase es la fase de remediación. En esta fase se abordan las debilidades y vulnerabilidades conocidas. Las acciones de remediación son medidas de precaución deliberadas diseñadas para reparar vulnerabilidades físicas y virtuales conocidas antes de que ocurra un evento. El propósito de la remediación es mejorar la confiabilidad, disponibilidad y capacidad de supervivencia de los activos e infraestructuras críticos. Las acciones de remediación se aplican a cualquier tipo de vulnerabilidad, independientemente de su causa. Se aplican a fenómenos de la naturaleza, fallas tecnológicas o acciones maliciosas deliberadas.

El costo de cada acción de remediación depende de la naturaleza de la vulnerabilidad que aborda. El Plan de Garantía del Sector de Infraestructura de Defensa que cada sector de infraestructura debe desarrollar establece las prioridades y los recursos para la remediación. Los requisitos de remediación están determinados por múltiples factores, entre ellos el análisis y la evaluación, los aportes de los planificadores militares y otros sectores del Departamento de Defensa, el Plan Nacional de Garantía de Infraestructura y otros planes, informes e información sobre las vulnerabilidades de la infraestructura nacional y su remediación, así como las estimaciones de inteligencia y las evaluaciones de las amenazas.

Los requisitos de remediación también se recopilan a partir de las lecciones aprendidas en el monitoreo y la presentación de informes del sector de Infraestructura de Defensa y en las operaciones y ejercicios de protección de la infraestructura. El programa CIP hace un seguimiento del estado de las actividades de remediación de los activos críticos. Las actividades de remediación para proteger la Infraestructura de Defensa crítica abarcan varios componentes del Departamento.

Fase 3: Indicaciones y advertencias

La necesidad de monitorear las actividades y advertir sobre posibles amenazas a los Estados Unidos no es nueva. Desde ataques convencionales hasta posibles ataques nucleares, el ejército ha estado a la vanguardia de la vigilancia y la advertencia de posibles peligros desde la fundación del país. La protección de la seguridad y el bienestar de los Estados Unidos, incluida la infraestructura crítica de defensa, ha entrado ahora en una nueva era. Se ha considerado esencial tener una capacidad coordinada para identificar y advertir sobre incidentes potenciales o reales entre dominios de infraestructura crítica. La capacidad de detectar y advertir sobre eventos de infraestructura es la tercera fase del ciclo de vida de protección de la infraestructura crítica, la fase de indicaciones y advertencias.

Las indicaciones y advertencias son acciones o condiciones de infraestructura que señalan que un evento es:

  • Probable,
  • Planificado o
  • En marcha.

Históricamente, las indicaciones de eventos del Departamento de Defensa se han centrado y se han basado en información de inteligencia sobre acontecimientos en el extranjero. Estas indicaciones de eventos se han ampliado para incluir todas las posibles interrupciones o degradaciones de la infraestructura, independientemente de su causa. Las indicaciones de CIP del Departamento de Defensa se basan en cuatro niveles de información:

  • Aportes a nivel táctico de los propietarios de activos o instalaciones del Departamento de Defensa
  • Aportes a nivel operativo de los directores de garantía de la información (CIAO) del sector
  • Aportes a nivel de teatro de operaciones provenientes de actividades de inteligencia y contrainteligencia de comando y servicio.
  • Inteligencia a nivel estratégico de la comunidad de inteligencia, las fuerzas del orden y el sector privado

Se ha determinado que esta fusión de información de inteligencia tradicional con información específica del sector es esencial para obtener indicaciones CIP significativas.

Si se detecta una indicación, se puede emitir una advertencia para notificar a los propietarios de activos correspondientes sobre un evento o peligro posible o inminente. El plan de garantía del sector determina qué condiciones y acciones se monitorean y se informan para cada sector de infraestructura de defensa. Cada sector debe desarrollar un plan de garantía del sector de defensa escrito que incluya un compendio de incidentes del sector para su monitoreo y notificación. El compendio de incidentes del sector se compone de tres tipos de incidentes:

  • Incidentes notificables definidos a nivel nacional
  • El Departamento de Defensa definió los incidentes denunciables y
  • Incidentes reportables definidos por sector.

Los propietarios de activos críticos, las instalaciones y los CIAO del sector del Departamento de Defensa determinan los incidentes definidos por el Departamento de Defensa y el sector. Cada uno de los incidentes o clases de incidentes que deben notificarse deben incluir los siguientes componentes:

  • ¿Quién debe monitorear el incidente?
  • ¿Qué tan pronto debe reportarse el incidente?
  • ¿Qué elementos de información debe contener el incidente?
  • ¿Cómo debe canalizarse la notificación de incidentes?
  • ¿Qué acciones de seguimiento son necesarias?

El Centro Nacional de Protección de Infraestructura (NIPC, por sus siglas en inglés) es el principal centro nacional de alerta para ataques significativos a la infraestructura. Los propietarios de activos críticos, las instalaciones del Departamento de Defensa y los CIAO del Sector monitorean la infraestructura diariamente. Las indicaciones de un incidente de infraestructura se informan al Centro Nacional de Comando Militar (NMCC, por sus siglas en inglés). Si las indicaciones están en una red informática, también se informan a la Fuerza de Tarea Conjunta de Operaciones de Redes Informáticas (JTF-CNO, por sus siglas en inglés). El NMCC y la JTF-CNO evalúan las indicaciones y las transmiten al NIPC y a las organizaciones correspondientes del Departamento de Defensa. Cuando el NIPC determina que es probable que ocurra un evento de infraestructura, está planificado o está en curso, emite una advertencia nacional. En el caso del Departamento de Defensa, el NIPC transmite sus advertencias y alertas al NMCC y a la JTF-CNO. Estas advertencias y alertas se transmiten luego a los componentes del Departamento de Defensa. La advertencia puede incluir orientación sobre las medidas de protección adicionales que debe tomar el Departamento de Defensa.

Fase 4: Mitigación

La fase 1 del ciclo de vida del CIP proporcionó una capa de protección mediante la identificación y evaluación de activos críticos y sus vulnerabilidades. La fase 2 proporcionó otra capa de protección mediante la reparación o mejora de las deficiencias y debilidades identificadas de un activo. Incluso con estas protecciones y precauciones, un incidente de infraestructura aún era posible. Cuando esto sucede, entra en vigencia la fase de Indicaciones y advertencias.

La fase de mitigación (fase 4) está compuesta por acciones coordinadas planificadas previamente en respuesta a advertencias o incidentes de infraestructura. Las acciones de mitigación se toman antes o durante un evento de infraestructura. Estas acciones están diseñadas para minimizar el impacto operativo de la pérdida de un activo crítico, facilitar la respuesta a incidentes y restaurar rápidamente el servicio de la infraestructura.

Un objetivo principal de la fase de mitigación es minimizar el impacto operativo en otras infraestructuras y activos críticos de defensa cuando un activo crítico se pierde o se daña. Por ejemplo, si hay una instalación estadounidense, el Sitio A, ubicada en una nación anfitriona. El Sitio A es un activo de nivel 1, lo que significa que si falla, la misión de los Comandos Combatientes fracasa. El Sitio A tiene interdependencias de información de Control de Mando de Red de Información Global (GIG/C2) mutuas con los Sitios B y C. Además, otros sectores de Infraestructura de Defensa dependen del Sitio A para las capacidades de la misión. En este escenario, ¿cuál podría ser el impacto si la línea de suministro a la planta de energía comercial que proporciona la energía primaria de la instalación se corta accidentalmente? Debido a todas las interdependencias, perder este activo es más que la pérdida de un solo sitio. Significa la pérdida de otras capacidades del sector.

Una posible acción de mitigación podría ser que el Sitio A pasara a contar con energía de respaldo. Una acción alternativa podría ser transferir el control completo de la funcionalidad del Sitio A a otro sitio, donde se haya organizado previamente la redundancia. Estas acciones limitarían el impacto de este incidente en los otros sitios y sectores relacionados. Además de reducir el impacto operativo de un evento de infraestructura crítica, la fase de mitigación del ciclo de vida del CIP respalda y complementa otras dos fases del ciclo de vida. Las acciones de mitigación ayudan en las actividades de emergencia, investigación y gestión de la Fase 5, Respuesta a incidentes. También facilitan las actividades de reconstitución de la Fase 6.

Durante la fase de mitigación, los propietarios de activos críticos del Departamento de Defensa, las instalaciones del Departamento de Defensa y los oficiales de garantía de infraestructura del sector (CIAO) trabajan con el Centro de Comando Militar Nacional (NMCC) y la Fuerza de Tarea Conjunta-Operaciones de Redes Informáticas (JTF-CNO) para desarrollar, entrenar y ejercitar respuestas de mitigación para varios escenarios. Cuando hay una advertencia, una emergencia o un incidente de infraestructura, los propietarios de activos críticos, las instalaciones y los CIAO del sector inician acciones de mitigación para mantener el servicio al Departamento de Defensa. También proporcionan información sobre el estado de la mitigación al NMCC y a la JTF-CNO. El NMCC monitorea las consecuencias de un evento dentro de un sector de Infraestructura de Defensa que sean lo suficientemente importantes como para afectar a otros sectores. Para los eventos que cruzan dos o más sectores, el NMCC asesora sobre la priorización y coordinación de las acciones de mitigación. Cuando las amenazas o consecuencias de los eventos continúan aumentando, el NMCC dirige las acciones de mitigación por sector para garantizar una respuesta coordinada en todo el Departamento de Defensa. El NMCC y el JTF-CNO mantienen al Centro Nacional de Protección de Infraestructura, o NIPC, informado de cualquier actividad de mitigación significativa.

Fase 5: Respuesta a incidentes

Cuando un evento afecta la Infraestructura de Defensa, comienza la fase de Respuesta a Incidentes. La Respuesta a Incidentes es la quinta fase del ciclo de vida del CIP. El propósito de la fase de Respuesta a Incidentes es eliminar la causa o fuente de un evento de infraestructura. Por ejemplo, durante los ataques del 11 de septiembre al World Trade Center y al Pentágono , todos los aviones no militares fueron puestos en tierra en los Estados Unidos para evitar más incidentes. Las actividades de respuesta incluyeron medidas de emergencia, no por parte de los propietarios u operadores de los activos, sino de terceros dedicados, como las fuerzas del orden, los rescates médicos, los bomberos, los manipuladores de materiales peligrosos o explosivos y las agencias de investigación. La respuesta a los incidentes de Infraestructura de Defensa puede tomar uno de dos caminos dependiendo de si el evento afecta o no a una red informática del Departamento de Defensa.

Cuando los incidentes comprometen una red informática del Departamento de Defensa, la Fuerza de Tarea Conjunta de Operaciones de Redes Informáticas (JTF-CNO) dirige las actividades de respuesta. Estas actividades están diseñadas para detener el ataque a la red informática, contener y mitigar el daño a una red de información del Departamento de Defensa y luego restaurar la funcionalidad mínima requerida. La JTF-CNO también solicita y coordina cualquier apoyo o asistencia de otras agencias federales y organizaciones civiles durante los incidentes que afectan a una red del Departamento de Defensa. Cuando los incidentes afectan a cualquier otro activo propiedad del Departamento de Defensa, los comandantes de instalación y los propietarios de activos críticos siguen los canales y procedimientos tradicionales para coordinar las respuestas. Esto incluye notificar a los Oficiales de Garantía de Infraestructura del Sector afectados, o CIAO, en el aviso inicial y el informe de estado. Aunque los terceros desempeñan un papel importante en la respuesta a los eventos de Infraestructura de Defensa, el personal de CIP del Departamento de Defensa también tiene responsabilidades que cumplir.

Fase 6: Reconstitución

Una vez que se ha eliminado o contenido la fuente o causa de un problema de infraestructura, es necesario restaurar la infraestructura y sus capacidades. La reconstitución es la última fase de la protección de la infraestructura crítica. La reconstitución es probablemente el proceso más desafiante y menos desarrollado del ciclo de vida. Los propietarios de activos críticos del Departamento de Defensa tienen la principal responsabilidad de la reconstitución.

Véase también

Referencias

  1. ^ ab Directiva presidencial PDD-63
  2. ^ ab "Directiva Presidencial de Seguridad Nacional del 17 de diciembre de 2003/Hspd-7". Archivos de la Casa Blanca. 17 de diciembre de 2003. Consultado el 29 de julio de 2014 .
  3. ^ Artículos 52 y 54 del Protocolo adicional a los Convenios de Ginebra del 12 de agosto de 1949 relativo a la protección de las víctimas de los conflictos armados internacionales ("Convenios de Ginebra")
  4. ^ Centro de análisis e intercambio de información sobre servicios financieros
  5. ^ Jaynes, Cristen Hemingway (27 de febrero de 2024). "El Departamento de Energía de Biden anuncia 366 millones de dólares para proyectos de energía verde en zonas rurales y remotas". EcoWatch . Consultado el 2 de mayo de 2024 .
  6. ^ Departamento de Seguridad Nacional - Planes sectoriales específicos Archivado el 6 de marzo de 2011 en Wayback Machine.
  7. ^ Federación de Científicos Estadounidenses 15 de febrero de 2000 Comentarios del presidente sobre seguridad informática
  8. ^ Harmon, Amy (19 de agosto de 1995). "Se revela el robo de 10 millones de dólares a Citibank por parte de un pirata informático". Los Angeles Times . Consultado el 2 de mayo de 2024 .
  9. ^ Austen Givens, "El derrame de petróleo de Deepwater Horizon es una señal ominosa para el futuro de la infraestructura crítica", 27 de mayo de 2011.
  10. ^ Sullivan, Becky; de la Canal, Nick (5 de diciembre de 2022). "Lo que sabemos sobre el ataque a dos subestaciones eléctricas de Carolina del Norte". npr . Consultado el 2 de mayo de 2024 .
  11. ^ Paul J. Maliszewski, "Modelado de la ubicación crítica del suministro de vacunas: protección de la infraestructura crítica y la población en Florida Central Archivado el 20 de marzo de 2009 en Wayback Machine " (2008)
  12. ^ Visé, Daniel de (7 de abril de 2023). «Los estadounidenses ahora temen más a los ciberataques que a los ataques nucleares». The Hill . Consultado el 2 de mayo de 2024 .
  13. ^ ¿ Qué tan bien puede Wall Street manejar una pandemia de gripe? Los resultados de los simulacros son dispares Archivado el 18 de julio de 2011 en Wayback Machine Wall Street y la tecnología
  14. ^ "Recordando el caos de Nueva Orleans, 10 años después del huracán Katrina". Corresponsal . 2015-08-27 . Consultado el 2024-05-02 .
  15. ^ Forzieri, Giovanni; Bianchi, Alessandra; Batista y Silva, Filipe; A. Marín Herrera, Mario; Leblois, Antoine; Lavalle, Carlos; CJH Aerts, Jeroen; Feyen, Luc (enero de 2018). "Crecientes impactos de los extremos climáticos en infraestructuras críticas en Europa". Cambio ambiental global . 48 : 97-107. Código Bib : 2018GEC....48...97F. doi :10.1016/j.gloenvcha.2017.11.007. PMC 5872142 . PMID  29606806. 
  16. ^ abcd Love, Hanna; Donoghoe, Manann. "La 'ciudad policial' de Atlanta y la relación entre el lugar, la vigilancia policial y el clima". Brookings . Consultado el 2 de mayo de 2024 .
  17. ^ abcde "Vision Safe Atlanta" (PDF) . Fundación de la Policía de Atlanta . 2017 . Consultado el 2 de mayo de 2024 .
  18. ^ abcdefg Akbar, Amna A. (2023). "La lucha contra la ciudad policial". Disentimiento . 70 (2): 62–70. doi :10.1353/dss.2023.0011. ISSN  1946-0910.
  19. ^ abcd Jalbert, Kirk; Wasserman, Sherri; Garza Navarro, Homero; Florence, Natalie (1 de febrero de 2023). "El poder estatal de la seguridad petrolera y los imaginarios del extremismo: un análisis de los proyectos de ley estadounidenses sobre intrusión en infraestructuras críticas dirigidos a los movimientos de defensa contra los oleoductos". Justicia ambiental . 16 (1): 43–53. doi : 10.1089/env.2021.0102 . ISSN  1939-4071.
  20. ^ abc Federman, Adam (17 de abril de 2024). "La guerra contra la protesta ha llegado". In These Times . Consultado el 2 de mayo de 2024 .
  21. ^ abc Mueller-Hsia, Kaylana (17 de marzo de 2021). "Las leyes antiprotesta amenazan a los movimientos indígenas y climáticos". Brennan Center for Justice . Consultado el 2 de mayo de 2024 .
  22. ^ Lakhani, Nina (21 de enero de 2021). «'No más tratados rotos': líderes indígenas instan a Biden a cerrar el oleoducto Dakota Access». The Guardian . ISSN  0261-3077 . Consultado el 2 de mayo de 2024 .
  23. ^ ab Buchele, Mose (25 de septiembre de 2019). "Los activistas dicen que las nuevas leyes para proteger la infraestructura crítica tienen como objetivo silenciarlos". npr . Consultado el 2 de mayo de 2024 .
  24. ^ Cagle, Susie (8 de julio de 2019). «'Los manifestantes como terroristas': un número creciente de estados convierten el activismo contra el oleoducto en un delito». The Guardian . ISSN  0261-3077 . Consultado el 2 de mayo de 2024 .
  25. ^ Catálogo de subvenciones federales de asistencia interna de 2006 Archivado el 18 de noviembre de 2016 en Wayback Machine (CFDA), incluidos los proyectos de seguridad
  26. ^ "Aegis Bleu lanza VASST, herramienta de evaluación de vulnerabilidades y encuestas de seguridad", PR Leap 11 de septiembre de 2008.
  27. ^ "Plan Nacional de Protección de Infraestructura" (PDF) . Departamento de Seguridad Nacional de los Estados Unidos . Archivado desde el original (PDF) el 2017-05-15 . Consultado el 2014-07-15 .
  28. ^ Große, C. y Olausson, PM (2023). ¿Hay suficiente energía?: gobernanza de riesgos y planificación de respuesta a emergencias en caso de corte de energía en Suecia. Estocolmo: SNS
  29. ^ Elisa Williams, "Clima de miedo", revista Forbes , 2 de abril de 2002
  30. ^ Eric Lipton, "Lista de objetivos terroristas", The New York Times , 12 de julio de 2006.
  31. ^ Zack Phillips, "Security Theater Archivado el 24 de agosto de 2007 en Wayback Machine ", Government Executive , 1 de agosto de 2007.
  32. ^ Herramienta de evaluación de la Rueda de interdependencia de infraestructura crítica (CIIW) Archivado el 17 de julio de 2011 en Wayback Machine
  • Anderson, K. "Evaluaciones de amenazas basadas en inteligencia para redes e infraestructuras de información: un libro blanco".
  • Estrategia para proteger el ciberespacio
  • Programa de protección de infraestructura crítica, Universidad George Mason
  • "Infraestructura crítica: seguridad nacional y preparación para emergencias"
  • Infracrítico
  • Revisión de la protección de infraestructura crítica
  • Centro para la Protección de la Infraestructura Nacional (Reino Unido)
  • Proyecto de normas nacionales "Mejoras de la seguridad de la infraestructura hídrica"
  • Terrorismo y protección de infraestructuras de servicios públicos
  • Cuadro de políticas de IA del Departamento de Defensa: crear y operar un GIG confiable
  • Normas de confiabilidad CIP de NERC
  • Suplemento del DHS NIP 2013: Ejecución del enfoque de gestión de riesgos de CI
Retrieved from "https://en.wikipedia.org/w/index.php?title=U.S._critical_infrastructure_protection&oldid=1257437696#National_Infrastructure_Protection_Plan"