Con su progresiva digitalización, la industria de la construcción se ha embarcado en un viaje de no retorno hacia una modernización sin precedentes. Sin embargo, no es este un proceso exento de peligros, ya que la mayor dependencia de las tecnologías que supone este proceso entraña ulteriormente una mayor vulnerabilidad en términos de ciberseguridad. Un artículo de 12 páginas escrito por Hugh Boyes y publicado por The Institution of Engineering and Technology (IEC) aborda, con gran clarividencia, la cuestión de la ciberseguridad en BIM.
Con BIM, la ciberseguridad nos atañe a todos
A nivel internacional se ha acordado definir la ciberseguridad como «el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardias, directrices, gestión de riesgos, acciones, formación, buenas prácticas y tecnologías que pueden utilizarse para proteger el entorno organización y los activos de los usuarios».
En sustancia, la ciberseguridad va más allá de la tecnología, pues abarca las innumerables interrelaciones entre personas, procesos y gobernanza. Y dado que BIM es, en sí, una compleja interacción entre gobernanza, personas, procesos y tecnología, es importante que el sector de la construcción comprenda cómo proteger su información y sus operaciones en el ciberespacio. Esta protección de la información es la clave para mantener un negocio sostenible y competitivo. En otras palabras: sin ciberseguridad, no hay BIM.
Amenazas a la ciberseguridad
Un buen punto de partida para hablar de amenazas a la ciberseguridad en BIM es el concepto de CDE, pues es el sistema con que se gestiona el proceso de generación e intercambio de información entre las partes interesadas. Con los CDE la idea no es solo que la información pueda intercambiarse fácilmente, sino que sea además auditada, supervisada y rastreada en cada movimiento. Y como el contenido del CDE no es estático, sino que fluctúa a lo largo del ciclo de vida de, surge la necesidad de una gobernanza de datos adecuada que mantenga la calidad y la integridad de los datos en nombre del propietario y los usuarios.
Las amenazas a la ciberseguridad afectan al CDE y a todos los sistemas que se conectan a él. Puede tratarse de amenazas generadas por agentes internos o externos, o por fallos de los sistemas y de las empresas. La implantación de BIM crea inevitablemente un complejo entorno de colaboración en el que numerosas organizaciones comparten información y modelos electrónicamente. Según Hugh Boyes, “desde el punto de vista de la ciberseguridad, la situación se complicará por el hecho de que las organizaciones tienen distintos niveles de concienciación y disciplina en materia de seguridad”. La ignorancia, la adopción tardía y una formación insuficiente en materia de ciberseguridad son factores de riesgo que emanan del interior de la corporación.
Por su parte, los agentes externos de amenaza son personas ajenas malintencionadas que son ajenos al edificio o estructura y a las profesiones implicadas en su diseño, entrega o funcionamiento. Pueden ser terroristas o delincuentes que buscan acceder a los datos BIM con fines de reconocimiento, por ejemplo para planificar un atentado terrorista o un delito. O competidores y hackers que intentan robar propiedad intelectual, obtener acceso no autorizado a los sistemas y filtrar o hacer pública información confidencial.
Otras posibles amenazas tienen que ver con el control y la protección de la información, procesos que serán más complejos a medida que aumente la longitud de las cadenas de suministro durante el desarrollo del diseño, la construcción y luego mediante la externalización de los servicios operativos o de apoyo, una vez en uso. Así pues, más allá de los cambios en el acceso de los usuarios a lo largo del ciclo de vida, también habrá cambios en las fuentes de datos. Posteriormente, durante la fase de explotación, surgirá la necesidad de los activos, el mantenimiento y el consumo de energía.
¿Qué se entiende por buena ciberseguridad en BIM?
Los tres elementos clave de una buena ciberseguridad son la gestión de la confidencialidad, la integridad y la disponibilidad y trabajar en base a ellos implica poner en marcha los mecanismos apropiados en términos de seguridad, políticas de seguridad, procesos empresariales de apoyo y soluciones técnicas. El nivel de protección de la ciberseguridad requerido dependerá de las amenazas y los riesgos, que a su vez vendrán determinados por una serie de factores como la ubicación del edificio o instalación; el entorno físico; la cantidad y el tipo de organizaciones que necesitan acceder a los datos BIM; la complejidad y criticidad de los sistemas del edificio o el grado de integración y convergencia de los sistemas. Las evaluaciones de amenazas deberán desarrollarse a lo largo de todo el ciclo de vida del edificio, teniendo en cuenta todos los cambios en los factores relevantes para cada etapa.
