|
||||
1. Introducción El Instituto Mexicano del Transporte (IMT), participó en el grupo de estudio “seguridad de la infraestructura” de la Asociación Mundial de la Carretera (PIARC) para desarrollar un informe con el fin de mejorar el conocimiento de un gestor de carreteras respecto a los problemas de la seguridad pública en la infraestructura carretera. Es decir, para proteger dicha infraestructura de amenazas por actos maliciosos e intencionados, o mitigar los posibles daños. Las recomendaciones que se incluyeron en el informe PIARC (2019), están basadas en las buenas prácticas alrededor del mundo y pueden ser utilizadas por los gestores de carreteras que trabajan por cuenta propia o, idealmente, en colaboración con otras administraciones o concesionarios. A continuación, se presentan algunas de esas recomendaciones para gestionar la seguridad y protección de la infraestructura.
2. Amenazas a la integridad de la infraestructura carretera Las amenazas derivadas de actos intencionados de carácter hostil, que buscan principalmente dañar la infraestructura para interrumpir el servicio que ésta ofrece, se pueden dividir en aquellas que: · Tienen la capacidad de causar daño o interrupciones en la construcción, operación o mantenimiento de la infraestructura física y dañar al personal que ahí labora. · Podrían dañar o interrumpir los sistemas operativos de la infraestructura y la información asociada (por ejemplo, la infraestructura de los Sistemas Inteligentes de Transporte, incluyendo el telepeaje).
Las amenazas también pueden ser involuntarias, no dirigidas o imprevistas, como: · Pandemias (como la que se está viviendo actualmente por el COVID-19). · Incidentes relacionados con materiales peligrosos. · Colisiones de tránsito en la carretera. · Afectación a otros modos de transporte debido a una interrupción. · La interferencia de las señales de telecomunicaciones por factores naturales. · Infección a un Sistema Inteligente de Transporte a través de un malware.
Además de la procuración del funcionamiento normal de las redes carreteras, que se centra principalmente en aspectos de mantenimiento, rehabilitación y modernización, los operadores de la infraestructura carretera tendrán cada vez más desafíos como:
· Tener en buen estado de conservación, la infraestructura envejecida (especialmente los puentes). · Recuperarse de las afectaciones derivadas del cambio climático y los fenómenos meteorológicos extremos (por ejemplo, lluvias intensas y olas de calor). · Minimizar los impactos de los desastres naturales (por ejemplo, deslizamientos de tierra, inundaciones, daños por tormentas, incendios forestales y terremotos). El nivel potencial de impacto dependerá de qué tan crítico sea el activo carretero, el sistema o la información en cuestión para el funcionamiento de la red de carreteras.
3. Identificación de la infraestructura carretera crítica y el mejoramiento de su resiliencia
Debido a que no es posible implementar medidas de protección a la infraestructura carretera en su totalidad, es recomendable primero determinar los tramos carreteros, puentes o túneles que se consideran críticos. Es decir, aquellos cuyo daño afectaría en mayor medida el servicio que ofrece la red de carreteras, con un efecto cascada hacia la actividad económica del país.
Existen varias metodologías con distintos criterios (cualitativos o cuantitativos) para identificar la infraestructura crítica en el sector transporte (Gradilla, 2011), energético y de telecomunicaciones, pero dependerá de cada gobierno establecer los criterios y las mejores metodologías que se adapten a sus necesidades. Por ejemplo, Alemania no incluye ninguno de sus tramos carreteros como infraestructura crítica pero sí considera activos críticos a sus centros de control de tráfico y túneles. Derivado de la pandemia por el COVID-19, el Centro para la Protección de la Infraestructura Nacional del Reino Unido (CPNI, por sus siglas en inglés) clasificó otros activos de su infraestructura como críticos durante una pandemia y emitió recomendaciones para mantener seguros los activos, al personal y la información, incluyendo aspectos de seguridad cibernética para el trabajo desde casa.
En relación a las metodologías para identificar la infraestructura crítica, en México, en el marco de la Iniciativa Global de Gestión de Riesgos de Desastres, la Agencia Alemana para la Cooperación Internacional (GIZ, por sus siglas en alemán) realizó un proyecto con la Unidad de Inversiones de la Secretaría de Hacienda y Crédito Público (SHCP) para impulsar el análisis de riesgos en las evaluaciones costo-beneficio de la infraestructura, incluyendo la carretera. En coordinación con el proyecto, el Centro de Estudios para la Preparación y Evaluación Socioeconómica de Proyectos emitió una guía general en 2018 que incluye el análisis de los riegos que puedan afectar la rentabilidad de un proyecto. Para el caso de la infraestructura carretera, la Unidad de Inversiones de la SHCP, GIZ, la Secretaría de Comunicaciones y Transportes (SCT) y el IMT trabajaron en talleres durante el 2019 para desarrollar la versión de prueba de un modelo de análisis multicriterio que permitiría identificar aquella infraestructura carretera de la cartera de proyectos que debería considerarse crítica y que, por lo tanto, debería incluir el análisis de riesgos.
Una vez identificada la infraestructura crítica, en este caso carretera, se pueden establecer protocolos de respuesta para cada tipo de amenaza y diseñar en un futuro carreteras, o realizar modificaciones a las ya existentes, buscando mejorar la resiliencia de la infraestructura a algunos de los riesgos con mayor probabilidad de ocurrencia o con las mayores consecuencias negativas.
Uno de los grandes desafíos es el análisis de la resiliencia para reducir los daños y, al mismo tiempo, ayudar a un sistema de transporte carretero a recuperar su máximo rendimiento (nivel de servicio para el que fue diseñado) de la manera más rápida y eficiente posible. El análisis de la resiliencia tiene un enfoque más amplio que el análisis tradicional de riesgos ya que considera la recuperación del sistema después de un evento, es decir, después de que se ha producido el daño. Además, se toma en cuenta la preparación, la recuperación y la respuesta posterior al evento (ver la Figura 1 y 2). La consideración de estos aspectos es especialmente importante para gestionar la resiliencia de las redes carreteras frente a amenazas complejas y con alta incertidumbre.
Figura 1. El ciclo de la resiliencia Fuente: PIARC (2019)
Figura 2. Elementos de la resiliencia
Fuente: PIARC (2019)
Ya se han hecho aplicaciones prácticas de este enfoque, un ejemplo es el marco de resiliencia desarrollado por la Agencia de Transporte de Nueva Zelanda (Hughes y Healy, 2014), que es aplicable en todo el sistema de transporte terrestre y que permite tener en cuenta varias escalas (activo, red o región). Para medir la resiliencia, el marco se centra en dos dimensiones -técnica y organizativa- y, en principios técnicos (robustez, redundancia, si es seguro en caso de falla) y organizativos (preparación para el cambio, liderazgo y cultura, redes). El marco implica una determinación inicial del contexto para la evaluación de la resiliencia, seguida de una evaluación detallada de las medidas de resiliencia. El concepto de resiliencia y la forma en que puede definirse, medirse y mejorarse en todo el sistema de transporte puede ayudar a garantizar que su infraestructura funcione de forma continua y segura. Este es un cambio cultural, conforme la organización vea la seguridad de la infraestructura como un trabajo de tiempo completo e incorpore las mejores prácticas en las operaciones diarias. La resiliencia también puede aplicarse a la ciberseguridad y así trabajar en las vulnerabilidades clave que permitan mejorar la resiliencia cibernética, para lo que se requiere que la organización piense de manera diferente y sea más ágil en el manejo de los ciberataques.
4. Medidas de protección física y cibernética
Un enfoque de seguridad y protección de la infraestructura carretera permite la aplicación rutinaria de medidas adaptadas para disuadir o interrumpir conductas hostiles, maliciosas, fraudulentas y criminales. Por lo tanto, los operadores carreteros necesitan entender las amenazas y los problemas de vulnerabilidad claves, así como la naturaleza de los controles necesarios para administrar los riesgos resultantes, llevándolos a un nivel tolerable. Por ejemplo, en el caso particular de un posible ataque físico a las instalaciones de un centro de control de tráfico o de túneles, la mejor medida es disuadir o dificultar el acceso a las instalaciones. Todas las otras medidas, más allá de esa línea, tienen por objeto prevenir que se cometa un acto malicioso una vez que el autor se encuentre en las instalaciones o haya tenido acceso a un activo. Se debe visualizar al activo crítico desde un punto de vista militar, con múltiples líneas de defensa o "capas de seguridad" (ver Figura 3).
Figura 3: Capas de seguridad
Fuente: PIARC (2019) en AASHTO (2015).
Algunas de las medidas para la protección física consiste en instalar señales de advertencia, barreras de protección física, teléfonos de emergencia, alarmas, iluminación para la protección, sistemas de vigilancia y monitoreo, controles sofisticados de cerraduras y sistemas electrónicos para el control de acceso. Como ya se mencionó, el objetivo principal de estas medidas es la disuasión o, en su defecto, buscar ganar tiempo en el caso de un ataque físico para activar los protocolos de respuesta y mitigar los daños. Para el caso de un posible ataque cibernético, se sigue el mismo principio de capas, pero en este caso cibernéticas, a través de un cortafuegos (firewall) que debería estar diseñado a la medida, también deben establecerse requisitos especiales para adquirir dispositivos con firmware. De manera complementaria y en forma continua, se deben hacer pruebas de penetración con la finalidad de determinar si un usuario malintencionado puede tener acceso no autorizado a activos que afectan la seguridad del sistema, archivos, registros de peaje y/o datos de los trabajadores con acceso al sistema. Existen tres tipos de pruebas de penetración: caja negra, caja blanca y caja gris. En una evaluación de caja negra, la entidad anfitriona no proporciona ninguna información antes del inicio de la prueba. En una evaluación de caja blanca, la entidad puede proporcionar al examinador de penetración detalles completos de la red y las aplicaciones. Una evaluación de caja gris es un enfoque intermedio, llevado a cabo con la estructura del código interno o la lógica de programación del software. El alcance de una prueba de penetración debe incluir todo el perímetro del activo crítico y cualquier sistema que pueda afectar su seguridad.
5. Conclusiones El enfoque de la protección de la infraestructura carretera se debería integrar como algo habitual en el proceso de diseño, construcción, operación y mantenimiento de la misma. Aunque las medidas son más complejas y costosas si se realizan en una fase posterior, es decir, en la obra ya existente, se recomienda la implementación de medidas de adaptación para mejorar su resiliencia ante posibles amenazas, así como establecer los protocolos de respuesta para cada una de ellas, especialmente para aquellos activos que se consideran críticos. Dichos protocolos deben ser mejorados con cada experiencia o cambios en los activos, incluyendo cambios en las circunstancias como las que ha provocado la pandemia por el COVID-19. También se recomienda nombrar a un integrante de la organización para que lidere la adopción de este nuevo enfoque.
6. Referencias AASHTO (2015). Fundamental Capabilities of Effective All-Hazards Infrastructure Protection, Resilience, and Emergency Management for State Departments of Transportation. American Association of State Highway and Transportation Officials, Washington, DC; EUA.
Gradilla Hernández, L. A. (2011). Planeación de infraestructura del transporte: Identificación de tramos críticos para el funcionamiento de redes carreteras. Publicación técnica No. 354, Instituto Mexicano del Transporte, Sanfandila, México.
Hughes, J. F. y Healy, K. (2014). Measuring the resilience of transport infrastructure, NZ Transport Agency, reporte de investigación 546, Nueva Zelanda.
PIARC (2019). Security of Road Infrastructure. Report of Task Force C.1 “Infrastructure security” of World Road Association; París, Francia.
GRADILLA Luz |
