En Estados Unidos , la protección de infraestructura crítica ( CIP ) es un concepto que se relaciona con la preparación y respuesta a incidentes graves que involucran la infraestructura crítica de una región o nación. La directiva presidencial americana PDD-63 de mayo de 1998 estableció un programa nacional de "Protección de infraestructuras críticas". [1] En 2014, el Marco de Ciberseguridad del NIST se publicó después de nuevas directivas presidenciales.
El CIP estadounidense es un programa nacional para garantizar la seguridad de las infraestructuras vulnerables e interconectadas de Estados Unidos . En mayo de 1998, el presidente Bill Clinton emitió la directiva presidencial PDD-63 sobre el tema de la protección de infraestructuras críticas. [1] Esto reconoció que ciertas partes de la infraestructura nacional son críticas para la seguridad nacional y económica de los Estados Unidos y el bienestar de su ciudadanía, y requirió que se tomaran medidas para protegerla.
Esto fue actualizado el 17 de diciembre de 2003 por el presidente George W. Bush a través de la Directiva Presidencial de Seguridad Nacional HSPD-7 para la identificación, priorización y protección de infraestructuras críticas . [2] La directiva actualizada agregaría la agricultura a la lista de infraestructura crítica dentro del país; esto desharía la omisión de la agricultura en la directiva presidencial de 1998. La directiva describe que Estados Unidos tiene una infraestructura crítica que es "tan vital para Estados Unidos que la incapacidad o destrucción de tales sistemas y activos tendría un impacto debilitante en la seguridad, la seguridad económica nacional, la salud o la seguridad pública nacional". [2]
Tomemos, por ejemplo, un virus informático que interrumpe la distribución de gas natural en una región. Esto podría conducir a una consiguiente reducción en la generación de energía eléctrica , lo que a su vez conduce al cierre forzoso de los controles y comunicaciones computarizados . En este caso, el tráfico por carretera, el tráfico aéreo y el transporte ferroviario podrían verse afectados. Los servicios de emergencia también podrían verse afectados.
Una región entera puede debilitarse porque algunos elementos críticos de la infraestructura quedan inutilizados debido a un desastre natural . Aunque potencialmente contravienen los Convenios de Ginebra , [3] las fuerzas militares también han reconocido que pueden paralizar la capacidad de resistencia de un enemigo atacando elementos clave de su infraestructura civil y militar.
El gobierno federal ha desarrollado una descripción estandarizada de infraestructura crítica, con el fin de facilitar el monitoreo y la preparación para eventos incapacitantes. El gobierno exige que la industria privada en cada sector económico crítico:
El CIP define sectores y responsabilidades organizativas de forma estándar:
En 2003, el mandato se amplió para incluir:
Dado que gran parte de la infraestructura crítica es de propiedad privada, el Departamento de Defensa (DoD) depende de la infraestructura comercial para respaldar sus operaciones normales. El Departamento de Estado y la Agencia Central de Inteligencia también participan en análisis de inteligencia con países amigos.
En mayo de 2007, el DHS completó sus planes sectoriales específicos (SSP) para coordinar y abordar eventos críticos. [6] la Continuidad del gobierno (COG) en el momento de un evento catastrófico puede usarse para preservar el gobierno como lo considere apropiado el presidente, momento en el cual el bienestar del gobierno puede colocarse por encima del bienestar de la ciudadanía de los Estados Unidos. Los Estados garantizan que el gobierno pueda reconstruir la economía y el país cuando se considere seguro regresar a la superficie de los Estados Unidos de América.
El 9 de marzo de 1999, el subsecretario de Defensa, John Hamre, advirtió al Congreso de los Estados Unidos sobre un " Pearl Harbor electrónico" ciberterrorista , diciendo: "No será contra los buques de la Armada estacionados en un astillero de la Armada. Será contra los barcos comerciales". infraestructura". Más tarde, el presidente Clinton matizó este temor después de informes sobre ataques ciberterroristas reales en 2000: "Creo que fue una alarma. No creo que fuera Pearl Harbor. Perdimos nuestra flota del Pacífico en Pearl Harbor. No creo la pérdida análoga fue así de grande [7] " .
Hay muchos ejemplos de sistemas informáticos que han sido pirateados o víctimas de extorsión. Un ejemplo de ello ocurrió en septiembre de 1995, cuando un ciudadano ruso supuestamente planeó la irrupción del sistema de transferencia electrónica de fondos de Citicorp y se le ordenó ser juzgado en los Estados Unidos. [8] Una banda de piratas informáticos bajo su liderazgo había violado la seguridad de Citicorp 40 veces durante 1994. Pudieron transferir 12 millones de dólares de cuentas de clientes y retirar un estimado de 400.000 dólares.
En el pasado, los sistemas y redes de los elementos de la infraestructura eran física y lógicamente independientes y separados. Tenían poca interacción o conexión entre sí o con otros sectores de la infraestructura. Con los avances de la tecnología, los sistemas dentro de cada sector se automatizaron y se interconectaron a través de computadoras e instalaciones de comunicaciones. Como resultado, el flujo de electricidad, petróleo, gas y telecomunicaciones en todo el país está vinculado (aunque a veces de manera indirecta), pero los vínculos resultantes desdibujan las fronteras de seguridad tradicionales.
Si bien esta mayor dependencia de capacidades interconectadas ayuda a que la economía y la nación sean más eficientes y quizás más fuertes, también hace que el país sea más vulnerable a perturbaciones y ataques. Esta infraestructura interdependiente e interrelacionada es más vulnerable a las perturbaciones físicas y cibernéticas porque se ha convertido en un sistema complejo con puntos únicos de falla. En el pasado, un incidente que habría sido una falla aislada ahora puede causar interrupciones generalizadas debido a efectos en cascada. [9] A modo de ejemplo, las capacidades dentro del sector de la información y las comunicaciones han permitido a Estados Unidos remodelar sus procesos gubernamentales y comerciales, al tiempo que se han vuelto cada vez más impulsados por el software. Una falla catastrófica en este sector ahora tiene el potencial de derribar múltiples sistemas, incluidos el control del tráfico aéreo, los servicios de emergencia, los bancos, los trenes, la energía eléctrica y el control de presas.
Los propios elementos de la infraestructura también se consideran posibles objetivos del terrorismo . Por ejemplo, el ataque de 2022 a las subestaciones eléctricas de Carolina del Norte cerca de Carthage dejó a decenas de miles de residentes sin electricidad. La terrible experiencia dejó a los residentes sin calefacción adecuada, agua caliente y la capacidad de cocinar durante días mientras se realizaban las reparaciones. Las autoridades señalaron que el ataque se cometió intencionalmente mediante disparos. [10] Tradicionalmente, los elementos críticos de infraestructura han sido objetivos lucrativos para cualquiera que quisiera atacar a otro país. Ahora, debido a que la infraestructura se ha convertido en un salvavidas nacional, los terroristas pueden lograr un alto valor económico y político atacando elementos de ella. Interrumpir o incluso desactivar la infraestructura puede reducir la capacidad de defender la nación, erosionar la confianza pública en servicios críticos y reducir la fortaleza económica. Además, los ataques terroristas bien elegidos pueden resultar más fáciles y menos costosos que la guerra tradicional debido a la interdependencia de los elementos de infraestructura. Estos elementos de infraestructura pueden convertirse en objetivos más fáciles cuando existe una baja probabilidad de detección.
Los elementos de la infraestructura también son cada vez más vulnerables a una combinación peligrosa de tipos de amenazas tradicionales y no tradicionales. Las amenazas tradicionales y no tradicionales incluyen fallas de equipos, errores humanos, causas climáticas y naturales, ataques físicos y ciberataques. Para cada una de estas amenazas, el efecto en cascada causado por puntos únicos de falla tiene el potencial de plantear consecuencias nefastas y de largo alcance.
Los líderes mundiales temen que la frecuencia y gravedad de los incidentes de infraestructura crítica aumenten en el futuro. [11] Estas fallas de infraestructura tienden a afectar en gran medida a los residentes del país que se encuentran en alerta máxima. Uno de estos posibles fallos futuros se puede ver en el mundo de la seguridad cibernética, ya que los ciudadanos estadounidenses temen que su infraestructura tecnológica esté en riesgo. Esto se produce cuando el mundo se vuelve más avanzado tecnológicamente con la introducción de la inteligencia artificial y la tecnología en muchas áreas de la vida estadounidense. [12]
Aunque se están realizando esfuerzos, no existe una capacidad nacional unificada para proteger los aspectos interrelacionados de la infraestructura del país. Una razón para esto es que no existe una buena comprensión de las interrelaciones. Tampoco hay consenso sobre cómo se entrelazan los elementos de la infraestructura, o cómo cada elemento funciona y afecta a los demás. Asegurar la infraestructura nacional depende de comprender las relaciones entre sus elementos, así como los efectos inmediatos y diferidos que estas fallas pueden tener en los residentes. Así, cuando un sector programó un simulacro de tres semanas para imitar los efectos de una gripe pandémica , aunque dos tercios de los participantes afirmaron tener planes de continuidad del negocio , apenas la mitad informó que su plan era moderadamente efectivo. [13] Estos pueden tener efectos drásticos en aquellos que no tienen acceso a las salvaguardias necesarias para protegerse.
Algunas de las infraestructuras más críticas para cualquier persona en Estados Unidos son las carreteras, los hospitales y la infraestructura que proporciona alimentos a los residentes. Un mayor riesgo de colapso de estos puntos críticos de infraestructura puede provocar, y en la mayoría de los casos ha provocado, reducciones drásticas en el acceso al agua, los alimentos, la atención médica y la electricidad. Necesidades críticas para los residentes atrapados en sus hogares y áreas, los residentes que dependen de medicamentos o necesitan ser transportados al hospital más cercano y los residentes que se ven gravemente afectados por la desnutrición. Esto se vio después del huracán Katrina de 2005 en Nueva Orleans, cuando miles de personas fueron desplazadas, cientos murieron y miles más resultaron heridas sin una forma clara de recibir refugio o asistencia. [14] Existe un movimiento actual para mejorar la infraestructura crítica teniendo en cuenta a los residentes.
La protección de la infraestructura crítica requiere el desarrollo de una capacidad nacional para identificar y monitorear los elementos críticos y determinar cuándo y si los elementos están bajo ataque o son víctimas de sucesos naturales destructivos. Estos fenómenos naturales se han convertido en una amenaza mayor en los últimos años debido al cambio climático; aumento de la aparición de tormentas más fuertes, sequías más prolongadas y aumento del nivel del mar. [15] La importancia del CIP es el vínculo entre la gestión de riesgos y el aseguramiento de la infraestructura. Proporciona la capacidad necesaria para eliminar posibles vulnerabilidades en la infraestructura crítica.
Los profesionales de CIP determinan las vulnerabilidades y analizan alternativas para prepararse para incidentes. Se centran en mejorar la capacidad de detectar y advertir sobre ataques inminentes y fallas del sistema dentro de los elementos críticos de la infraestructura nacional. Sin embargo, hay escépticos que ven ciertos métodos de infraestructura nacional como perjudiciales para las comunidades que los gobiernos locales y federales juraron proteger. Este es un factor clave en el movimiento contra la “Ciudad de los Policías” de Atlanta, ya que los residentes dicen que existen efectos sistemáticos negativos así como también efectos ambientales negativos. [dieciséis]
El Centro de Capacitación en Seguridad Pública de Atlanta, también conocido como “Cop City” es uno de los muchos ejemplos de infraestructura crítica creada para tratar de cumplir el propósito de proteger a las poblaciones civiles. Esta forma de infraestructura crítica funciona indirectamente, ya que el proyecto tiene como objetivo capacitar a los agentes de policía y unidades de combate actuales y entrantes. El plan fue presentado por la Fundación de la Policía de Atlanta en 2017 y se llamó “Vision Safe Atlanta – Plan de acción de seguridad pública”. Este plan prevé que la fundación policial reciba mejoras y atención a la infraestructura en ruinas de los edificios policiales y las necesidades en todo Atlanta. [17] La mayor adición a la cartera de la fundación y la fuerza policial es aproximadamente 85 acres de espacio verde de la ciudad para construir una instalación de capacitación de última generación. [17]
La Atlanta Police Foundation es una entidad privada que trabaja para mejorar la fuerza policial de la ciudad. Según la Fundación de la Policía de Atlanta, una entidad privada, el proyecto cuenta con el respaldo de los directores ejecutivos del área junto con funcionarios públicos que no solo apoyan a la fundación sino también al proyecto de $90 millones que arrendaría y arrasaría alrededor de 85 acres de propiedad pública. bosques de propiedad. [17] Según… el centro está siendo financiado de forma privada por otras entidades privadas, con 2/3 de la financiación procedente de financiación privada y el otro tercio procedente del dinero de los contribuyentes. [18] El nuevo centro reemplazaría a la deteriorada academia de policía, que, según el “Plan de Acción de Seguridad Pública”, debe ser reemplazada. el “Plan de Acción de Seguridad Pública” tiene un presupuesto renovado y actualizado para la academia de policía de más de $2 millones; [17] un precio mucho más barato que los 30 millones de dólares que la ciudad aportaría para la finalización de la instalación. Estas instalaciones incluyen "un campo de tiro, un edificio para quemar y una 'casa de exterminio' diseñada para imitar escenarios de combate urbano". [17] El objetivo general de la instalación es garantizar que los agentes de policía de Atlanta reciban una mejor capacitación dentro de la ciudad y al mismo tiempo obtengan un espacio nuevo. Aunque es una perspectiva positiva para la Fundación de la Policía y el Departamento de Policía de Atlanta, la instalación ha enfrentado cierta oposición del público en términos de destrucción de terrenos públicos, así como preocupaciones por la mala conducta de la policía.
Atlanta es una ciudad rodeada de un gran y exuberante follaje verde que le ha valido el título de “una ciudad en un bosque” por parte de residentes y visitantes; Según los residentes, no se puede subestimar la importancia de los bosques de la ciudad. Con una presencia tan grande de árboles y espacios verdes, los residentes ven estos espacios como una parte vital de los ecosistemas naturales de la ciudad. A los residentes les preocupa que la tala de 85 acres de bosque provoque un aumento de la mala calidad del aire, disminuya los hábitats naturales en el área y aumente las inundaciones en una comunidad vulnerable que resulta ser predominantemente negra. [18] Los residentes creen que el daño ecológico potencial era un riesgo demasiado grande para que algunos residentes permanecieran inactivos; esto se suma al posible aumento de la violencia policial. [dieciséis]
El movimiento para detener la “ciudad policial” surgió cuando crecieron los llamados para desfinanciar al Departamento de Policía de Atlanta a raíz de los llamados para desfinanciar a los departamentos de policía en todo el país. [18] [16] Ha habido numerosas organizaciones trabajando para evitar que comience la construcción mediante actos de ingreso al bosque, sabotaje de equipos y acciones legales contra la ciudad y las empresas privadas que están trabajando para suministrar equipos para la construcción de la instalación. . [18] Muchas personas fuera de la comunidad también trabajaron para detener la “ciudad policial”. El bosque en el que la Fundación de la Policía busca construir sus instalaciones es parte de la tierra de los nativos Muscogee. Los miembros de la tribu viajaron a la ciudad para exigir que la ciudad pusiera fin al trabajo y se retirara de las tierras de Muscogee. El movimiento para detener la “ciudad policial” se convirtió en un esfuerzo grupal de personas que querían ver un cambio en el sistema de justicia en Atlanta, así como de personas que querían proteger los hábitats naturales mientras buscaban justicia para las especies no humanas de los bosques de Atlanta. [18] Aunque es un movimiento creciente, hay oposición por parte de la ciudad y la Fundación de la Policía que quieren que la llamada “ciudad policial” siga adelante y hará cualquier cosa para lograrlo. Al defender el bosque y tratar de ser escuchados y reconocidos por la ciudad y el gobierno estatal, los manifestantes fueron recibidos con duros castigos; tanto legales como físicos. Mientras protestaba, un activista ambiental no binario llamado Manuel Esteban Páez Terán, o Tortuguita, fue asesinado por la Patrulla Estatal de Georgia el 18 de enero, lo que sacó a la luz los efectos violentos de las patrullas policiales y la vigilancia de los manifestantes. [18] [19]
Por mucho que los manifestantes hablen abiertamente sobre la destrucción ambiental y los efectos negativos de la infraestructura, se están implementando muchas leyes y políticas que dificultan el ejercicio de la libertad de expresión. Se están introduciendo proyectos de ley de invasión de infraestructura crítica (CI) en todo el país para permitir la detención y el procesamiento de manifestantes que se interpongan en el camino de la construcción de infraestructura. [19] Según Jalbert et. Alabama. y si estos proyectos de ley se convierten en ley, permitirán el uso de drones, fuerza excesiva, reconocimiento facial y tácticas de vigilancia comunitaria. [19] [20] Además, Akbar, Love y Donoghoe sostienen que estos proyectos de ley afectarán desproporcionalmente a los manifestantes de color. [16] [18] Esto se ve en la muerte de Tortuguita y el arresto masivo de manifestantes indígenas, negros y morenos. No solo hay arrestos y respuestas violentas por parte de las autoridades judiciales, sino que también hay acciones que los funcionarios están tomando para convertir la invasión de CI en un delito grave, ya que muchos citan la protesta de infraestructura crítica como acciones terroristas. [19]
Estas leyes surgen del creciente impulso sistemático para criminalizar a los manifestantes que impidan la construcción de nuevas infraestructuras críticas; Estas leyes son una respuesta a las protestas en todo el país contra la construcción de oleoductos. Estas son protestas que surgen del deseo de proteger el clima y las tierras indígenas. [21] Las protestas tienden a funcionar para detener/retrasar la construcción de nuevos oleoductos y tienen como objetivo hablar en contra de los gobiernos locales, estatales y federales que apoyan, y en muchos casos, financian la adición de oleoductos y gasoductos. [21] Los pueblos indígenas argumentan que la construcción de oleoductos va en contra de los tratados tribales y también tiene la posibilidad de poner en peligro la tierra a través de la contaminación. [22] El entrelazamiento de la supuesta opresión ambiental y sistémica ha empujado a los residentes de las áreas donde se construirá el oleoducto a hablar en contra de los proyectos.
Debido a que los oleoductos y gasoductos pertenecen al sector de la energía, se consideran infraestructura crítica. Por lo tanto, el gobierno de Estados Unidos pretende defenderlos y protegerlos. Como resultado, varios estados han implementado leyes “antiprotestas” para evitar la interrupción de la construcción del oleoducto y cualquier desarrollo de proyectos considerados infraestructura crítica y necesarios para el avance del país. [23] [21] Estas leyes tipifican como delito detener e impedir la construcción y el desarrollo de proyectos de infraestructura críticos dentro de los estados que implementan estas diversas leyes “antiprotestas”. [23] [24]
Debido al creciente impulso político para evitar que los manifestantes interfieran en proyectos de infraestructura, Georgia se ha convertido en un estado que lentamente está utilizando leyes y medidas “antiprotestas” para evitar que la gente proteste en la “ciudad policial” y otros proyectos de infraestructura críticos en el estado. [20] Activistas han sido detenidos y acusados de delitos graves mientras protestaban contra la “ciudad policial”. [20]
Los Proyectos de Infraestructura Crítica en los EE.UU. tienen sus partidarios y sus manifestantes y la respuesta a estos proyectos es clara desde todos los lados.
El PDD-63 ordenó la formación de una estructura nacional para la protección de infraestructuras críticas. Para lograr esto, una de las acciones principales fue producir un Plan Nacional de Garantía de Infraestructura, o NIAP, más tarde rebautizado como Plan Nacional de Protección de Infraestructura o NIPP.
Las diferentes entidades de la estructura nacional de la CIP trabajan juntas como una asociación entre el gobierno y el sector público. Cada departamento y agencia del gobierno federal es responsable de proteger su porción de la infraestructura crítica del gobierno. Además, hay subvenciones disponibles a través del Departamento de Seguridad Nacional para que entidades municipales y privadas las utilicen con fines de seguridad y CIP. Estos incluyen subvenciones para gestión de emergencias, capacitación en seguridad hídrica , seguridad ferroviaria, de tránsito y portuaria, respuesta médica metropolitana, programas LEA de prevención del terrorismo y la Iniciativa de Seguridad de Áreas Urbanas. [25]
El PDD-63 identificó ciertas funciones relacionadas con la protección de infraestructura crítica que deben ser realizadas principalmente por el gobierno federal. Se trata de defensa nacional, asuntos exteriores, inteligencia y aplicación de la ley. Cada agencia líder para estas funciones especiales designa a un alto funcionario para que actúe como coordinador funcional del gobierno federal. En 2008, se introdujo una herramienta de encuesta de seguridad y evaluación de vulnerabilidades (VASST) basada en PDA móvil para acelerar la evaluación de la seguridad física de la infraestructura crítica por parte de las fuerzas del orden para cumplir con los requisitos de cumplimiento de PDD-63. [26]
El Plan Nacional de Protección de Infraestructura (NIPP) es un documento solicitado por la Directiva Presidencial de Seguridad Nacional 7 , cuyo objetivo es unificar los esfuerzos de protección de infraestructura crítica y recursos clave (CIKR) en todo el país. La última versión del plan se produjo en 2013 [27]. Los objetivos del NIPP son proteger la infraestructura crítica y los recursos clave y garantizar la resiliencia. Generalmente se considera difícil de manejar y no es un plan real que deba llevarse a cabo en caso de emergencia, pero es útil como mecanismo para desarrollar la coordinación entre el gobierno y el sector privado . El NIPP se basa en el modelo establecido en la Directiva de Decisión Presidencial-63 de 1998, que identificó sectores críticos de la economía y encargó a las agencias gubernamentales relevantes trabajar con ellos para compartir información y fortalecer las respuestas a los ataques.
El NIPP está estructurado para crear asociaciones entre los Consejos de Coordinación Gubernamental (GCC) del sector público y los Consejos de Coordinación Sectorial (SCC) del sector privado para los dieciocho sectores que el DHS ha identificado como críticos.
Para cada uno de los principales sectores identificados de la infraestructura crítica, el gobierno federal nombró un Oficial de Enlace Sectorial de una Agencia Líder designada. También se identificó una contraparte del sector privado, un Coordinador Sectorial. Juntos, los dos representantes del sector, uno del gobierno federal y otro corporativo, fueron responsables de desarrollar un PANM sectorial.
Además, cada departamento y agencia del gobierno federal era responsable de desarrollar su propio plan CIP para proteger su porción de la infraestructura crítica del gobierno federal. Los planes de los departamentos y agencias federales se asimilaron a los PANM del sector para crear un Plan Nacional de Garantía de Infraestructura integral. Además, la estructura nacional debe garantizar que exista un programa CIP nacional. Este programa incluye responsabilidades tales como educación y concientización, evaluación e investigación de amenazas e investigación.
El proceso incluye evaluaciones de:
Ejemplos de planes similares de protección de infraestructuras críticas son la Estrategia Nacional Alemana para la Protección de Infraestructuras Críticas (Estrategia CIP) y el STYREL sueco Dirección de electricidad para usuarios priorizados durante cortes de electricidad a corto plazo [28]
Ha habido críticas públicas a los mecanismos y la implementación de algunas iniciativas y subvenciones de seguridad, con afirmaciones de que están dirigidas por las mismas empresas que pueden beneficiarse, [29] y que están fomentando una cultura innecesaria del miedo . Los comentaristas señalan que estas iniciativas comenzaron inmediatamente después del colapso de la Guerra Fría , lo que generó la preocupación de que se tratara simplemente de una desviación del complejo militar-industrial desde un área de financiación que se estaba reduciendo hacia un ámbito anteriormente civil más rico.
Las subvenciones se han distribuido entre los diferentes estados a pesar de que el riesgo percibido no está distribuido de manera uniforme, lo que ha llevado a acusaciones de política de cerdos que dirige dinero y empleos hacia áreas de votación marginales. El programa de subvenciones de la Iniciativa de Seguridad de Áreas Urbanas ha sido particularmente controvertido, ya que la lista de infraestructura de 2006 cubría 77.000 activos, incluida una fábrica de palomitas de maíz y un puesto de perritos calientes. [30] Los criterios de 2007 se redujeron a 2.100 y ahora esas instalaciones deben presentar argumentos mucho más sólidos para ser elegibles para recibir subvenciones. [31] Si bien fueron bien intencionados, algunos de los resultados también han sido cuestionados con respecto a afirmaciones de un teatro de seguridad intrusivo y mal diseñado que distrae la atención y el dinero de cuestiones más apremiantes o crea efectos secundarios dañinos.
La ausencia de un análisis comparativo de riesgos y un seguimiento de los beneficios ha dificultado contrarrestar tales acusaciones con autoridad. Para comprender mejor esto y, en última instancia, dirigir el esfuerzo de manera más productiva, recientemente se creó una Oficina de Análisis y Gestión de Riesgos en la dirección de Programas y Protección Nacional del Departamento de Seguridad Nacional .
El Departamento de Defensa de EE. UU. es responsable de proteger su parte de la infraestructura crítica del gobierno . Pero como parte del programa CIP, el Departamento de Defensa tiene responsabilidades que abarcan la infraestructura crítica tanto a nivel nacional como departamental.
PDD-63 identificó las responsabilidades que tenía el Departamento de Defensa para la protección de infraestructura crítica. En primer lugar, el Departamento de Defensa tuvo que identificar sus propios activos e infraestructuras críticas y brindar garantías mediante análisis, evaluación y remediación. El Departamento de Defensa también era responsable de identificar y monitorear los requisitos de infraestructura nacional e internacional de la industria y otras agencias gubernamentales, todos los cuales debían incluirse en la planificación de protección. El Departamento de Defensa también abordó la garantía y protección de activos comerciales y servicios de infraestructura en las adquisiciones del Departamento de Defensa. Otras responsabilidades del Departamento de Defensa para el CIP incluían evaluar el impacto potencial en las operaciones militares que resultaría de la pérdida o el compromiso del servicio de infraestructura. También había requisitos para monitorear las operaciones del Departamento de Defensa, detectar y responder a incidentes de infraestructura y proporcionar indicaciones y advertencias al departamento como parte del proceso nacional. En última instancia, el Departamento de Defensa era responsable de apoyar la protección de la infraestructura crítica nacional.
En respuesta a los requisitos identificados en PDD-63, el Departamento de Defensa clasificó sus propios activos críticos por sector, de manera similar a la organización CIP nacional. El Departamento de Defensa identificó una lista ligeramente diferente de sectores de infraestructura para aquellas áreas que requerían específicamente protección por parte del Departamento de Defensa. La estructura organizacional del Departamento de Defensa para la protección de infraestructura crítica refleja, complementa e interactúa efectivamente con la estructura nacional para CIP.
Hay diez sectores de infraestructura crítica de defensa que están protegidos por el Departamento de Defensa. Éstas incluyen:
Los componentes de funciones especiales del CIP del DoD interactúan con los coordinadores funcionales nacionales equivalentes y coordinan todas las actividades relacionadas con su función dentro del DoD.
Los componentes de funciones especiales del Departamento de Defensa incluyen actualmente siete áreas de enfoque. Incluyen los siguientes componentes:
Según lo dispuesto por el PDD-63, el Departamento de Defensa debe proteger su parte de la infraestructura crítica del gobierno federal. Para el Departamento de Defensa, esta es la Infraestructura de Defensa o DI. Proteger la infraestructura de defensa es una tarea compleja que involucra a diez sectores de defensa.
Se consideró que era casi imposible proteger todos los activos críticos en cada ubicación, por lo que la atención se centró en proteger la infraestructura de defensa crítica. La infraestructura de defensa crítica son los activos críticos esenciales para brindar garantía de la misión.
Las seis fases del ciclo de vida del DoD CIP se complementan entre sí para crear un marco para una solución integral para el aseguramiento de la infraestructura. Las fases del ciclo de vida ocurren antes, durante y después de un evento que puede comprometer o degradar la infraestructura. Una sinopsis de las seis fases son:
La gestión eficaz del ciclo de vida del CIP garantiza que las actividades de protección puedan coordinarse y conciliarse entre todos los sectores del Departamento de Defensa. En muchos sentidos, DoD CIP es la gestión de riesgos en su forma más imperativa. Alcanzar el éxito significa obtener garantía de misión. No dar en el blanco puede significar el fracaso de la misión, así como pérdidas humanas y materiales. Para la protección de la infraestructura crítica, la gestión de riesgos requiere aprovechar los recursos para abordar los activos de infraestructura más críticos que también son los más vulnerables y los que tienen la mayor exposición a amenazas.
La parte más importante del ciclo de vida del CIP es la Fase 1. Debido a que es crucial seleccionar los activos correctos para la protección de la infraestructura, determinar estos activos es la primera fase del ciclo de vida del CIP. Esta fase, Análisis y Evaluación, es la clave y la base de las siete actividades del ciclo de vida. Sin una base sólida, las fases restantes del ciclo de vida del CIP pueden tener fallas, lo que resultará en un plan CIP que no protege la infraestructura crítica y, por lo tanto, el aseguramiento de la misión.
La Fase 1 determina qué activos son importantes e identifica sus vulnerabilidades y dependencias para que los tomadores de decisiones tengan la información que necesitan para tomar decisiones efectivas de gestión de riesgos.
La Infraestructura de Defensa, o DI, está organizada en diez sectores. Cada sector está compuesto de activos, como sistemas, programas, personas, equipos o instalaciones. Los activos pueden ser simples, como una instalación dentro de una ubicación geográfica, o complejos, que involucran enlaces y nodos geográficamente dispersos.
El Análisis y Evaluación se compone de cinco pasos que incluyen actividades que abarcan y abarcan los diez sectores DI y sus activos.
El 24 de agosto de 2001, el Director del Estado Mayor Conjunto solicitó a USPACOM que sirviera como Comando Combatiente de apoyo principal para crear el primer Plan CIP de teatro de operaciones del CIP, conocido como el “Plan CIP Apéndice 16”. A continuación se muestra cómo USPACOM abordó la tarea. USPACOM centró la fase de Análisis y Evaluación organizando sus actividades para responder tres preguntas principales:
Para responder a la pregunta “¿Qué es crítico?”, USPACOM describió un procedimiento de tres pasos:
Para lograr estos pasos, USPACOM adoptó una metodología que centra sus esfuerzos CIP en activos de Nivel 1. Los activos de nivel 1 son activos que podrían provocar el fracaso de la misión si se ven comprometidos o dañados. La metodología que la UAPACOM adoptó y modificó es el Análisis del Área de Misión, o MAA. El MAA vincula las misiones de comando combatiente con activos de infraestructura que son críticos para un Plan de Operaciones determinado, u OPLAN, Plan de Contingencia, o CONPLAN, o Plan de Acción de Crisis. Normalmente, el proceso MAA determina las prioridades del sitio de evaluación. USPACOM modificó el proceso y seleccionó los sitios e instalaciones de evaluación del CIP antes de realizar el MAA. La siguiente es una ilustración del proceso MAA de USPACOM:
USPACOM utiliza los datos MAA que recopila para analizar y centrar sus esfuerzos en activos verdaderamente críticos para responder a la siguiente pregunta de su proceso: ¿Es vulnerable?
El primer paso para responder a esta pregunta es completar un análisis de la instalación. El siguiente paso es completar un análisis de infraestructura comercial. USPACOM confió en dos organizaciones diferentes del Departamento de Defensa para las evaluaciones de CIP: evaluaciones de supervivencia equilibradas, o BSA, y evaluaciones de garantía de misión. La BSA es una evaluación de dos semanas centrada en la misión en una instalación militar o sitio designado. Una Evaluación de Garantía de Misión es única porque utiliza un enfoque de evaluación de área para centrarse en las vulnerabilidades y dependencias de los activos tanto comerciales como militares. El último paso para determinar las vulnerabilidades es integrar los dos análisis y evaluaciones. Con sus activos críticos y sus vulnerabilidades identificadas, USPACOM está listo para realizar actividades de gestión de riesgos para decidir qué se puede hacer para proteger los activos de misión crítica .
Booz Allen Hamilton desarrolló este proceso en PACOM.
La primera fase del ciclo de vida del CIP, Análisis y Evaluación, identificó los activos críticos de las infraestructuras del sector del Departamento de Defensa y las vulnerabilidades o debilidades de esos activos críticos.
La segunda fase es la fase de Remediación. En la fase de Remediación, se abordan las debilidades y vulnerabilidades conocidas. Las acciones de remediación son medidas de precaución deliberadas diseñadas para corregir vulnerabilidades virtuales y físicas conocidas antes de que ocurra un evento. El propósito de la remediación es mejorar la confiabilidad, disponibilidad y supervivencia de los activos e infraestructuras críticos. Las acciones de remediación se aplican a cualquier tipo de vulnerabilidad, independientemente de su causa. Se aplican a actos de la naturaleza, fallas tecnológicas o acciones maliciosas deliberadas.
El costo de cada acción de remediación depende de la naturaleza de la vulnerabilidad que aborda. El Plan de Aseguramiento del Sector de Infraestructuras de Defensa que debe desarrollar cada sector de infraestructuras, establece las prioridades y recursos para la remediación. Los requisitos de remediación están determinados por múltiples factores. Se trata de análisis y evaluaciones, aportes de planificadores militares y otros sectores del Departamento de Defensa, el Plan Nacional de Garantía de Infraestructura y otros planes, informes e información sobre las vulnerabilidades y remediaciones de la infraestructura nacional, así como estimaciones de inteligencia y evaluaciones de amenazas.
Los requisitos de remediación también se recopilan a través de las lecciones aprendidas del monitoreo y presentación de informes del sector de infraestructura de defensa y de las operaciones y ejercicios de protección de infraestructura. El programa CIP rastrea el estado de las actividades de remediación de activos críticos. Las actividades de remediación para proteger la infraestructura crítica de defensa cruzan múltiples componentes del Departamento.
La necesidad de monitorear las actividades y advertir sobre posibles amenazas a Estados Unidos no es nueva. Desde ataques convencionales hasta posibles ataques nucleares, el ejército ha estado a la vanguardia en el seguimiento y advertencia de peligros potenciales desde la fundación del país. La protección de la seguridad y el bienestar de Estados Unidos, incluida la crítica infraestructura de defensa, ha entrado ahora en una nueva era. Se ha considerado esencial tener una capacidad coordinada para identificar y advertir sobre incidentes potenciales o reales entre dominios de infraestructura crítica. La capacidad de detectar y advertir sobre eventos de infraestructura es la tercera fase del ciclo de vida de la protección de infraestructuras críticas, la fase de Indicaciones y Advertencias.
Las indicaciones y advertencias son acciones o condiciones de infraestructura que señalan que un evento es:
Históricamente, las indicaciones de eventos del Departamento de Defensa se han centrado y se han basado en información de inteligencia sobre acontecimientos extranjeros. Estas indicaciones de eventos se han ampliado para incluir todas las posibles perturbaciones o degradación de la infraestructura, independientemente de su causa. Las indicaciones del DoD CIP se basan en cuatro niveles de entrada:
Se ha determinado que esta fusión de información de inteligencia tradicional con información específica del sector es esencial para obtener indicaciones CIP significativas.
Si se detecta una indicación, se puede emitir una advertencia notificando a los propietarios de activos correspondientes sobre un evento o peligro posible o que está ocurriendo. El plan de aseguramiento del sector determina qué condiciones y acciones se monitorean y reportan para cada Sector de Infraestructura de Defensa. Cada sector debe desarrollar un Plan de Garantía del Sector de Defensa por escrito que incluya un compendio de incidentes del sector para su seguimiento y presentación de informes. El compendio de incidencias del sector se compone de tres tipos de incidencias:
Los propietarios de activos críticos, las instalaciones y los CIAO sectoriales del Departamento de Defensa determinan el Departamento de Defensa y los incidentes definidos por sectores. Cada uno de los incidentes o clases de incidentes reportables debe incluir los siguientes componentes:
El Centro Nacional de Protección de Infraestructura (NIPC) es el principal centro nacional de alerta de ataques importantes a la infraestructura. Los propietarios de activos críticos, las instalaciones del Departamento de Defensa y los CIAO del sector monitorean la infraestructura diariamente. Los indicios de un incidente de infraestructura se informan al Centro de Comando Militar Nacional , o NMCC. Si las indicaciones están en una red informática, también se informan a la Fuerza de Tarea Conjunta de Operaciones de Redes Informáticas (JTF-CNO). El NMCC y la JTF-CNO evalúan las indicaciones y las pasan al NIPC y a las organizaciones del Departamento de Defensa correspondientes. Cuando el NIPC determina que es probable que ocurra, esté planificado o esté en marcha un evento de infraestructura, emite una advertencia nacional. Para el Departamento de Defensa, el NIPC transmite sus advertencias y alertas al NMCC y al JTF-CNO. Estas advertencias y alertas luego se pasan a los componentes del Departamento de Defensa. La advertencia puede incluir orientación sobre medidas de protección adicionales que debe tomar el Departamento de Defensa.
La fase 1 del ciclo de vida del CIP proporcionó una capa de protección al identificar y evaluar activos críticos y sus vulnerabilidades. La Fase 2 proporcionó otra capa de protección al remediar o mejorar las deficiencias y debilidades identificadas de un activo. Incluso con estas protecciones y precauciones, aún era posible que se produjera un incidente en la infraestructura. Cuando lo hace entra en vigor la fase de Indicaciones y Advertencias.
La fase de Mitigación (Fase 4), se compone de acciones coordinadas planificadas previamente en respuesta a alertas o incidentes de infraestructura. Las acciones de mitigación se toman antes o durante un evento de infraestructura. Estas acciones están diseñadas para minimizar el impacto operativo de la pérdida de un activo crítico, facilitar la respuesta a incidentes y restaurar rápidamente el servicio de infraestructura.
Un objetivo principal de la fase de Mitigación es minimizar el impacto operativo en otras infraestructuras y activos de defensa críticos cuando un activo crítico se pierde o daña. A modo de ejemplo, si hay una instalación en EE. UU., el Sitio A, ubicado en una nación anfitriona. El Sitio A es un activo de nivel 1, lo que significa que si falla, la misión de Comandos Combatientes falla. El Sitio A tiene un Control de Comando de la Red de Información Global (GIG/C2) mutuo, interdependencias de información con los Sitios B y C. Además, otros sectores de Infraestructura de Defensa dependen del Sitio A para las capacidades de la misión. En este escenario, ¿cuál podría ser el impacto si la línea de suministro a la planta de energía comercial que proporciona la energía primaria de la instalación se corta accidentalmente? Debido a todas las interdependencias, perder este activo es más que la pérdida de un solo sitio. Significa la pérdida de capacidades de otros sectores.
Una posible acción de mitigación podría ser que el Sitio A funcione con energía de respaldo. Una acción alternativa podría ser pasar el control completo de la funcionalidad del Sitio A a otro sitio, donde se haya arreglado previamente la redundancia. Estas acciones limitarían el impacto de este incidente en los otros sitios y sectores relacionados. Además de disminuir el impacto operativo de un evento de infraestructura crítica, la fase de mitigación del ciclo de vida del CIP respalda y complementa otras dos fases del ciclo de vida. Las acciones de mitigación ayudan en las actividades de emergencia, investigación y gestión de la Fase 5, Respuesta a incidentes. También facilitan las actividades de reconstitución de la Fase 6.
Durante la fase de mitigación, los propietarios de activos críticos del Departamento de Defensa, las instalaciones del Departamento de Defensa y los Oficiales Jefes de Garantía de Infraestructura del Sector, o CIAO, trabajan con el Centro de Comando Militar Nacional (NMCC) y la Fuerza de Tarea Conjunta-Operaciones de Redes Informáticas (JTF-CNO) para desarrollar, entrenar y ejercitar respuestas de mitigación para diversos escenarios. Cuando hay una advertencia, una emergencia o un incidente de infraestructura, los propietarios de activos críticos, las instalaciones y los CIAO del sector inician acciones de mitigación para mantener el servicio al Departamento de Defensa. También proporcionan información sobre el estado de la mitigación al NMCC y a la JTF-CNO. El NMCC monitorea las consecuencias de un evento dentro de un sector de infraestructura de defensa que sean lo suficientemente importantes como para afectar a otros sectores. Para eventos que cruzan dos o más sectores, el NMCC asesora sobre la priorización y coordinación de acciones de mitigación. Cuando las amenazas o consecuencias de eventos continúan aumentando, el NMCC dirige acciones de mitigación por sector para garantizar una respuesta coordinada en todo el Departamento de Defensa. El NMCC y la JTF-CNO mantienen informado al Centro Nacional de Protección de Infraestructura, o NIPC, sobre cualquier actividad de mitigación significativa.
Cuando un evento afecta a la Infraestructura de Defensa se inicia la fase de Respuesta a Incidentes. La respuesta a incidentes es la quinta fase del ciclo de vida del CIP. El propósito de la fase de Respuesta a Incidentes es eliminar la causa o fuente de un evento de infraestructura. Por ejemplo, durante los ataques del 11 de septiembre contra el World Trade Center y el Pentágono , todos los aviones no militares quedaron en tierra sobre los Estados Unidos para evitar más incidentes. Las actividades de respuesta incluyeron medidas de emergencia, no de los propietarios u operadores de los activos, sino de terceros dedicados, como las fuerzas del orden, el rescate médico, el rescate contra incendios, el manejo de materiales peligrosos o explosivos y las agencias de investigación. La respuesta a incidentes de infraestructura de defensa puede tomar uno de dos caminos dependiendo de si el evento afecta o no a una red informática del Departamento de Defensa.
Cuando los incidentes comprometen una red informática del Departamento de Defensa, la Fuerza de Tarea Conjunta-Operaciones de Redes Informáticas (JTF-CNO) dirige las actividades de respuesta. Estas actividades están diseñadas para detener el ataque a la red informática, contener y mitigar el daño a una red de información del Departamento de Defensa y luego restaurar la funcionalidad mínima requerida. JTF-CNO también solicita y coordina cualquier apoyo o asistencia de otras agencias federales y organizaciones civiles durante incidentes que afecten a una red del Departamento de Defensa. Cuando los incidentes afectan a otros activos propiedad del Departamento de Defensa, los comandantes de las instalaciones y los propietarios de activos críticos siguen los canales y procedimientos tradicionales para coordinar las respuestas. Esto incluye notificar a los Oficiales Jefes de Garantía de Infraestructura del sector afectado, o CIAO, en el aviso inicial y en el informe de estado. Aunque los terceros desempeñan un papel importante en la respuesta a eventos de infraestructura de defensa, el personal CIP del Departamento de Defensa también tiene responsabilidades que cumplir.
Una vez eliminada o contenida la fuente o causa de un evento de infraestructura, se debe restaurar la infraestructura y sus capacidades. La reconstitución es la última fase de la protección de la infraestructura crítica. La reconstitución es probablemente el proceso más desafiante y menos desarrollado del ciclo de vida. Los propietarios de activos críticos del Departamento de Defensa tienen la principal responsabilidad de la reconstitución.