La convergencia de seguridad se refiere a la convergencia de dos funciones de seguridad históricamente distintas ( seguridad física y seguridad de la información ) dentro de las empresas; ambas son partes integrales de un programa coherente de gestión de riesgos . La convergencia de seguridad está motivada por el reconocimiento de que los activos corporativos se basan cada vez más en la información. En el pasado, los activos físicos exigían la mayor parte de los esfuerzos de protección, mientras que los activos de información exigen una atención cada vez mayor. Aunque generalmente se utiliza en relación con la convergencia ciberfísica, la convergencia de seguridad también puede referirse a la convergencia de la seguridad con disciplinas relacionadas con el riesgo y la resiliencia, incluida la planificación de la continuidad empresarial y la gestión de emergencias . La convergencia de seguridad a menudo se conoce como "seguridad convergente".
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos , la convergencia de seguridad es la "colaboración formal entre funciones de seguridad que antes estaban desconectadas". [1] Los participantes de la encuesta de la Fundación ASIS , El estado de la convergencia de seguridad en los Estados Unidos, Europa e India, definen la convergencia de seguridad como "lograr que las funciones de seguridad y gestión de riesgos trabajen juntas sin problemas, cerrando las brechas y vulnerabilidades que existen en el espacio entre las funciones". [2]
En su libro Security Convergence: Managing Enterprise Security Risk , Dave Tyson define la convergencia de seguridad como "la integración de los recursos de seguridad acumulativos de una organización con el fin de ofrecer beneficios a nivel empresarial a través de una mejor mitigación de riesgos, mayor eficacia y eficiencia operativa y ahorro de costos". [3]
El concepto de convergencia de seguridad ha ganado popularidad en el contexto de la Cuarta Revolución Industrial , que, según el fundador y presidente ejecutivo del Foro Económico Mundial (WEF), Klaus Schwab , "se caracteriza por una fusión de tecnologías que está difuminando las fronteras entre las esferas física, digital y biológica". [4] Los resultados clave de esta fusión incluyen los avances en los sistemas ciberfísicos (CPS) y el crecimiento de la Internet de las cosas (IdC), que han visto una proliferación en la cantidad y los tipos de objetos físicos conectados a Internet. En 2017, Gartner predijo que habría 20 mil millones de cosas conectadas a Internet para 2020. [5]
La convergencia de seguridad fue respaldada ya en 2007 por tres organizaciones internacionales líderes para profesionales de la seguridad ( ASIS International , ISACA e ISSA ), que juntas cofundaron la Alianza para la Gestión de Riesgos de Seguridad Empresarial para, en parte, promover el concepto.
En el contexto de la Internet de las cosas, las amenazas cibernéticas se traducen más fácilmente en consecuencias físicas, y las violaciones de la seguridad física también pueden ampliar la superficie de amenaza cibernética de una organización. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos , "la adopción e integración de dispositivos de la Internet de las cosas (IoT) y la Internet industrial de las cosas (IIoT) ha dado lugar a una red cada vez más interconectada de sistemas ciberfísicos (CPS), que amplía la superficie de ataque y desdibuja las funciones, antes claras, de la ciberseguridad y la seguridad física". [6]
Según el Informe de Riesgos Globales 2020 del Foro Económico Mundial , “las tecnologías operativas corren un mayor riesgo porque los ciberataques podrían causar impactos cinéticos más tradicionales a medida que la tecnología se extiende al mundo físico, creando un sistema ciberfísico”. [7] Según el Departamento de Seguridad Nacional de los Estados Unidos , “las consecuencias de fallas involuntarias o ataques maliciosos [a sistemas ciberfísicos] podrían tener un impacto grave en las vidas humanas y el medio ambiente”. [8]
Entre los ejemplos notables de ataques a instalaciones conectadas a Internet se incluyen el ataque Stuxnet de 2010 a las instalaciones nucleares de Natanz en Irán y el ciberataque a la red eléctrica de Ucrania de diciembre de 2015 .
“Las amenazas actuales son el resultado de ataques híbridos y combinados que utilizan la tecnología de la información (TI), la infraestructura física y la tecnología operativa (OT) como vía de ataque del enemigo”, señala el exdirector adjunto de seguridad de infraestructura de CISA, Brian Harrell. “Destacar este panorama de amenazas futuras garantizará un mejor conocimiento de la situación y una respuesta más rápida”. [9]
Los defensores de la convergencia de la seguridad consideran que los enfoques tradicionalmente diferenciados o "compartidos" de la seguridad física y la ciberseguridad no pueden proteger adecuadamente a una organización de ataques que involucren dimensiones tanto cibernéticas como físicas (ciberfísicas). El aspecto organizacional de la convergencia de la seguridad se centra en el grado en que la estructura interna de una organización es capaz de abordar adecuadamente los riesgos de seguridad convergentes.
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad , "las divisiones de seguridad física y ciberseguridad a menudo todavía se tratan como entidades separadas. Cuando los líderes de seguridad operan en estos silos, carecen de una visión holística de las amenazas de seguridad que apuntan a su empresa. Como resultado, es más probable que se produzcan ataques". [1] "Muchos de los riesgos de seguridad física y de la información convencionales se consideran de forma aislada", afirma un documento de PricewaterhouseCoopers titulado Convergencia de riesgos de seguridad . "Estos riesgos pueden converger o superponerse en puntos específicos durante el ciclo de vida del riesgo y, como tal, podrían convertirse en un punto ciego para la organización o las personas responsables de la gestión de riesgos". [10]
En una encuesta realizada a más de 1000 profesionales de alto nivel en seguridad física, ciberseguridad, gestión de desastres y continuidad empresarial, el estudio The State of Security Convergence in the United States, Europe, and India (El estado de la convergencia de la seguridad en Estados Unidos, Europa e India) de la Fundación ASIS concluyó que, a pesar de “años de predicciones sobre la inevitabilidad de la convergencia de la seguridad, solo el 24 por ciento de los encuestados ha logrado la convergencia de sus funciones físicas y de ciberseguridad”. [2] La encuesta también concluyó que el 96 por ciento de las organizaciones que habían logrado la convergencia de dos o más funciones de seguridad informaron resultados positivos de la convergencia, y el 72 por ciento informó que la convergencia fortaleció su seguridad general. En general, el 78 por ciento de los encuestados creía que la convergencia fortalecería su función de seguridad general.
Citando el trabajo de Jay Wright Forrester sobre el pensamiento sistémico , Jason Cherrington, director ejecutivo de Optic Security Group, sostiene que un enfoque de sistema de sistemas proporciona una perspectiva útil para comprender cómo los subgrupos de seguridad dentro de una organización contribuyen a los objetivos generales de seguridad de la organización. "En un mundo ideal de sistemas de seguridad, las organizaciones verían su seguridad como una colección de sistemas dedicados o orientados a tareas que reúnen sus recursos y capacidades como parte de un sistema general que ofrece más funcionalidad y rendimiento que la suma de sus partes. Es importante destacar que la supervisión del sistema general garantizaría que se identifiquen las brechas entre los sistemas que lo componen y se eviten los fallos". [11]
La creciente prevalencia de amenazas híbridas de seguridad cibernética y física ha impulsado el surgimiento paralelo de una gama de soluciones de seguridad convergentes que cubren tanto los dominios cibernéticos como los físicos. Según Jason Cherrington, "en las amenazas de seguridad contemporáneas estamos viendo una convergencia de vectores físicos y digitales; y esa protección contra estas amenazas híbridas requiere un enfoque híbrido". [11] Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos : "Las organizaciones con funciones de seguridad cibernética y física convergentes son más resilientes y están mejor preparadas para identificar, prevenir, mitigar y responder a las amenazas. La convergencia también fomenta el intercambio de información y el desarrollo de políticas de seguridad unificadas en todas las divisiones de seguridad". [6]