La Infraestructura Crítica; Ciberseguridad y Centros de Datos

Ing. Rogelio Lozano Martínez
Director del Comité de Redes Industriales y Ciberseguridad ISA Sección Central México, rogelio.lozano@isamex.org

InTech México Automatización,
Edición Junio – Agosto 2017.

RESUMEN

Infraestructura crítica, definición general y el Centro de Datos para un caso específico. Se enfatiza en el sector Oil and Gas debido a que se trata del detonante del crecimiento de la economía de un país, de manera conjunta con el sector eléctrico. Dentro del mercado energético, el sector de transporte de gas merece un análisis con cierto grado de detalle debido a que es un insumo muy importante para el sector industrial y residencial en todo el país. CENAGAS tiene, entre muchas otras funciones, la función de garantizar el abasto de este energético; para lograr esta meta, requiere de procesos automatizados, recolección de datos y su adquisición en un SCADA a nivel nacional, sin olvidar que, para el manejo de tal cantidad de información, es necesario operar al menos un par de Centros de Datos de alto desempeño. Analizaremos el caso del Centro de Control Alterno del SCADA de CENAGAS.

PALABRAS CLAVE: Infraestructura crítica, Ciberseguridad, Economía, CENAGAS.

INTRODUCCIÓN

La referencia más importante para el sector de las instalaciones de alta prioridad en políticas energéticas y de seguridad nacional es la agencia norteamericana denominada Homeland Security (HS), la cual define a la infraestructura crítica de la siguiente manera:

“La Infraestructura crítica de la nación proporciona los servicios esenciales que sustentan la sociedad americana y sirven como la columna vertebral de la economía, la seguridad y la salud de nuestra nación. Lo conocemos como la energía que usamos en nuestros hogares, el agua que bebemos, el transporte que nos mueve, las tiendas en las que compramos y los sistemas de comunicación en los que confiamos para mantenerse en contacto con amigos y familiares” [1].

Como ya se advierte en la definición inicial, la energía es parte de los servicios indispensables para cualquier nación. Los sectores de Infraestructura crítica están claramente definidos por la agencia de HS.

SECTORES DE INFRAESTRUCTURA CRÍTICA.

Existen 16 sectores de infraestructura crítica cuyos activos, sistemas y redes, ya sean físicos o virtuales, se consideran tan vitales para los Estados Unidos que su incapacitación o destrucción tendría un efecto debilitante sobre la seguridad nacional, la seguridad pública nacional, o cualquier combinación de los mismos.

La Directiva 21 de la Política Presidencial (PPD-21) indica que “La Seguridad de la Infraestructura Crítica y la Resiliencia promueven una política nacional para fortalecer y mantener una infraestructura crítica segura, funcional y resiliente. Entre ellos se encuentran el sector energía, comunicaciones y tecnología de la información” [2].

INFRAESTRUCTURA CRÍTICA EN MÉXICO.

Como ya se mencionó en el artículo previo de este comité [3], se debe poner especial atención en la industria Mexicana a toda aquella infraestructura que involucra a Terminales marítimas y de exportación, Terminales de Almacenamiento y Distribución, Sistemas de Logística (Ductos y sistemas de transporte vía ferroviaria y carretera), SCADAS de organismos del estado y de particulares (API STD 1164), centros de datos, servidores en nube, e híbridos, etc., se considera que existe ahí un nicho de oportunidades para los sistemas que administran la información, datos de negocio, su disponibilidad, integridad y confiabilidad (ver ISA-IEC 62443 [4]); se debe garantizar la continuidad del negocio, el cumplimiento normativo de las empresas obligadas en cuanto a la legislación nacional y por supuesto, en la parte gerencial de negocio, en lo que respecta a la determinación de participación de beneficios y/o cumplimiento de responsabilidades fiscales.

CASO SCADA CENAGAS [5]

El Centro Nacional de Control del Gas Natural (CENAGAS), cuyas funciones, entre otras, es la de transportar el gas natural por ducto del Sistema Nacional de Gasoductos (SNG) y del Sistema Naco-Hermosillo (SNH), anteriormente propiedad de Pemex Gas y Petroquímica Básica; mediante la gestión, la administración y la operación del Sistema de Transporte y Almacenamiento Nacional Integrado de Gas Natural, tiene por objeto garantizar la continuidad y seguridad de la prestación de los servicios en este sistema para contribuir con el abastecimiento del suministro de dicho energético en territorio nacional. El 29 de octubre de 2015, Pemex transfirió más de 9,000 kilómetros de ductos de gas natural a CENAGAS, del SNG y SNH.

CENAGAS, como parte de su plan de negocios, entre sus objetivos estratégicos estableció la necesidad de implantar un sistema SCADA que le permita hacer frente de manera exitosa a un entorno más competitivo en el mercado de transporte de gas natural, cumpliendo con estándares internacionales y las mejores prácticas operativas; para ello será necesario contar con un sistema SCADA de vanguardia que cumpla con los requerimientos actuales de su línea de negocio, aplicando el proceso de mejora continua en cada una de sus funcionalidades; así mismo la implantación de Sistemas Industriales que habiliten los procesos sustantivos del CENAGAS.

El sistema SCADA realizará, entre otras, las funciones de monitoreo, adquisición de datos, supervisión y control de las variables operativas y de medición, así como el seguimiento al cumplimiento de las nominaciones de los clientes de CENAGAS. El SCADA requerirá un Centro Control Principal y un Centro de Control Alterno, en caso de fallo del primero. La especificación sobre la cual se hará un análisis en este artículo es la del Centro de Datos del Centro de Control Alterno, la cual es pública y consultable en Compranet, con número de Expediente 1318140. [5].

NORMATIVIDAD APLICABLE

Actualmente, la norma NOM-EM-004-SECRE-2014 [6] denominada “Transporte por medio de ductos de gas licuado de petróleo y otros hidrocarburos líquidos obtenidos de la refinación de petróleo”, indica en su punto 8.8 (entre otras cosas) lo siguiente:

“8.8 Comunicaciones.

8.8.1 Se debe contar con un Centro de Control Operativo con infraestructura de comunicación adecuada para la operación segura y el mantenimiento de los ductos bajo condiciones de operación normales y de emergencia, ……

8.8.2 Se deben establecer y mantener sistemas de comunicación entre el Centro de Control Operativo y las diversas áreas de operación y mantenimiento a lo largo del trayecto del sistema de transporte…”

Sin embargo, ¿Qué implica contar con un Centro de Control Operativo con infraestructura de comunicación adecuada para la operación segura?

CENTRO DE CONTROL OPERATIVO. CERTIFICACIONES Y REQUISITOS TECNICOS.

La Licitación Pública Nacional Electrónica para la prestación del servicio de: “Servicio de Centro de Control Alterno para la Operación del Sistema SCADA del CENAGAS” nos da una idea de los requerimientos técnicos que para infraestructura crítica consideran las agencias gubernamentales que regulan el sector energético. Primero veamos la Figura 1, Arquitectura del SCADA de CENAGAS existente.

Figura 1 Arquitectura del SCADA de CENAGAS existente [5].
Para el caso del servicio requerido (Centro de Control Alterno de SCADA-CENAGAS) objeto de la Licitación Pública Nacional Electrónica Número LA-018TON999-E22-2017, veamos la Figura 2. Arquitectura del Centro de Control Alterno – CCA- incluida en tal procedimiento licitatorio:

Figura 2 Arquitectura del Centro de Control Alterno para la Operación del Sistema SCADA del CENAGAS [5].

CARACTERÍSTICAS TÉCNICAS DEL CENTRO DE DATOS.

El área destinada para el CENAGAS, propuesta será de uso exclusivo y estará delimitada de otras instalaciones y áreas, de tal forma que el acceso físico al área provisto sólo podrá realizarlo personal autorizado por el CENAGAS y aquellos servidores públicos explícitamente designados por el mismo, a fin de garantizar la seguridad de sus equipos suministrados.

El acceso a dicha área estará restringido y controlado mediante un sistema de seguridad, por tarjeta de proximidad y un sistema biométrico (reconocimiento facial o lectoras de retina o equivalente), que registrará el acceso del personal a la misma, detallando al menos: identificación, hora de entrada, hora de salida; dicha información podrá ser solicitada por el CENAGAS para su consulta.

Se llevará un control de personal externo que realice trabajos o visitas en la jaula o rack del CENAGAS. El Centro de Datos propuesto deberá contar con medidas de protección física externa que los mantienen protegidos y seguros contra robo y actos vandálicos. Contará con los sistemas de protección necesarios de pararrayos y supresión de los mismos, así como, protección contra descargas eléctricas. Deberá acreditar que cuenta con instalaciones certificadas en alta disponibilidad y alta seguridad equivalente o superior a ICREA (International Computer Room Experts Association) nivel 4, o TIER (UPTIME Institute) III. Esto permite realizar cualquier actividad planeada sobre cualquier componente de la infraestructura sin interrupciones en la operación, como lo son el mantenimiento preventivo, reparaciones o reemplazo de componentes, agregar o eliminar componentes, realizar pruebas de sistemas o subsistemas, entre otros.

El esquema de redundancia será de al menos 2N. El mantenimiento a los equipos de aire acondicionado se realizará sin necesidad de afectar la operación de los equipos del CENAGAS, ni afectar los parámetros permisibles de temperatura y humedad. Deberá soportar los BTU’s (British Thermal Units -Unidades de Energía) adicionales incurridos por la instalación de la infraestructura integral común de servicios, así como, cualquier ampliación de infraestructura requerida para la prestación del servicio del CENAGAS. El nivel de servicio del sistema de aire acondicionado debe ser de al menos de 99.995% anual.

Deberá contar al menos con los mecanismos de control y restricción de acceso siguientes: Lectoras de proximidad, Esclusa, Circuito cerrado de televisión, Control de acceso biométrico. Deberá contar con un sistema de circuito cerrado de televisión CCTV o de grabación digital, el cual mantenga monitoreo permanente 7×24 al Centro de Datos tanto en el interior como en el exterior y perímetros.

En la Licitación Pública Nacional Electrónica para la prestación del servicio de: “Servicio de Centro de Control Alterno para la Operación del Sistema SCADA del CENAGAS” [5] de manera enunciativa mas no limitativa, se describen los servicios de telecomunicaciones, monitoreo, seguridad informática y mesa de servicios requeridos, ver Tabla 1.

Tabla 1.- Servicios objeto del Servicio del Centro de Datos.

CONCLUSIONES

La apertura del sector Midstream en México proporciona áreas y retos técnicos que dan lugar a nuevas Oportunidades de Negocio en toda la cadena de valor. Hay que proporcionar servicios que anteriormente demandaba solamente Pemex, pero que ahora los licitan, evalúan, adquieren y operan las agencias reguladoras creadas por el gobierno federal como es el caso de la CRE (Comisión Reguladora de Energía), la CNH (Comisión Nacional de Hidrocarburos), así como empresas productivas del estado como Pemex Logística a quienes fiscaliza la SHCP (Secretaria de Hacienda y Crédito Público). Se presagian tiempos que demandarán asociaciones de tecnólogos, fabricantes, constructores y proveedores para atender estos proyectos.

Las agencias operan sistemas de magnitud nacional, pero también los nuevos jugadores en el sector tendrán necesidad de contar con los datos sensibles de negocio disponibles para observar tendencias, generar reportes de producción, calidad, y toda variable útil que demande la empresa, para tomar decisiones de negocio y cumplir con los requerimientos legales y normativos aplicables.

La seguridad informática (ciberseguridad) de los sistemas enfocados a garantizar la Disponibilidad, Integridad y Confiabilidad de la información, es un factor que adquiere cada vez mayor relevancia en función de los riesgos asociados a la pérdida de tales activos. Lo anteriormente mencionado debe generar un análisis integral para evaluar los esquemas de seguridad implementados, su análisis de riesgos, vulnerabilidades e incluso afectación a la imagen pública de las empresas en caso de una intrusión. Una manera de hacer visible este tema, es generar foros de divulgación de conocimiento, eventos de presentación de soluciones integrales (hardware y software) para el correcto diagnóstico de las medidas de seguridad implementadas (o la ausencia de éstas) en las empresas interesadas en cuidar uno de los activos más valiosos con que cuentan. Su información digital.

REFERENCIAS

[1] Homeland Security. (2015) What is Critical Infrastructure Sitio web: https://www.dhs.gov/what-critical-infrastructure

[2] Homeland Security. (2015). Critical Infrastructure Sectors Sitio web: https://www.dhs.gov/critical-infrastructure-sectors

[3] Rogelio Lozano. (20 03 2017). Redes Industriales y Ciberseguridad: El Estado del Arte. Revista ISA Intech México, Marzo-Mayo 2017, 15-18. Sitio web: http://isamex.org/revistaintech/mar-may-2017.pdf

[4] Overview The 62443 series of standards. Industrial Automation and Control Systems Security. ISA 2015.

[5] Compranet Expediente 1318140 – Servicio de Centro de Control Alterno SCADA Sitio web:  https://compranet.funcionpublica.gob.mx/esop/toolkit/opportunity/opportunityDetail.do?opportunityId=1105298&oppList=PAST

[6] COMISION REGULADORA DE ENERGIA, NORMA Oficial Mexicana de Emergencia NOM-EM-004-SECRE-2014, Transporte por medio de ductos de gas licuado de petróleo y otros hidrocarburos líquidos obtenidos de la refinación del petróleo. Diario Oficial de la Federación. Jueves 16 de octubre de 2014.

ACERCA DEL AUTOR

Rogelio Lozano es Ingeniero en Comunicaciones y Electrónica con especialidad en Comunicaciones, egresado del Instituto Politécnico Nacional. Tiene dos diplomados, uno en Instrumentación y Control y otro en Redes. Tiene más de 16 años de experiencia en el sector de las comunicaciones. Actualmente se encuentra laborando para el Instituto Mexicano del Petróleo en donde ha participado en diversos proyectos de desarrollo de Ingeniería en Sistemas de Comunicaciones para instalaciones tan diversas como Plataformas Marinas, Refinerías, Terminales Marítimas de Distribución, helipuertos, estaciones de compresión, centros de Datos, entre otras instalaciones de Petróleos Mexicanos. Ha supervisado construcción de estos sistemas en Patios de fabricación y en sitio. Recientemente ha participado en el desarrollo de proyectos de innovación del Instituto y en proyectos para terceros, ganadores de las rondas de licitación derivadas de la Reforma Energética.

0
Compartir:

One thought on “La Infraestructura Crítica; Ciberseguridad y Centros de Datos

  1. Hola Rodrigo, excelente reporte !, gracias por compartir. En el sector público en México apenas inicia la ciberseguridad en infraestructuras (MAAGTICSI, etc.), la labor de awareness que estás haciendo es muy importante. Saludos.

    José Luis Aparicio C.
    CISA, CISM, CGEIT, CRISC
    Business and Industrial IT Risks
    jl_aparicio@aol.com

    0

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.