La Metodología BIM se está convirtiendo en una herramienta indispensable en la construcción de proyectos, ya que permite una mayor eficiencia, colaboración y toma de decisiones basada en datos. Pero con esta digitalización también aumenta el riesgo de ser atacados por cibercriminales que buscan acceder a nuestros datos confidenciales. En nuestro anterior artículo abordamos el tema de la ciberseguridad, uno de los pilares más necesarios para que los proyectos de construcción realizados con BIM lleguen a puerto sanos y salvos. ¿Alguna vez te has preguntado cómo proteger tus datos y proyectos en un mundo cada vez más conectado y digital? ¿Te imaginas el impacto que podría tener un ataque cibernético en un proyecto de construcción que utiliza la Metodología BIM? Con estos 5 pasos para blindar un proyecto, hoy vamos a profundizar más en lo que significa ejercer y practicar la ciberseguridad en BIM.
1. Identificación de los activos y análisis de riesgos
El primer paso a implementar en nuestra estrategia de ciberseguridad BIM consiste en identificar todos los activos relevantes del proyecto, incluyendo el modelo BIM y cualquier otro software o hardware relacionado con el mismo. Una vez definido este “inventario” de activos a proteger, lo siguiente es identificar los riesgos potenciales para cada uno de ellos, de la manera más detallada posible y estableciendo prioridades de seguridad en función de la probabilidad de impacto.
Estamos hablando de riesgos tales como la violación de la privacidad de los individuos involucrados en el proyecto, incluyendo clientes, empleados y proveedores. En el peor de los casos, se trataría de ataques de hackers que buscan acceder a los datos sensibles o confidenciales del proyecto con el objetivo de vender la información o planear futuros ataques. Pero también de riesgos como el que representa el malware o la pérdida de datos, especialmente si están alojados en dispositivos móviles.
Otro de los riesgos a minimizar es el que supone el posible acceso no autorizado, por parte de terceros, a cualquier archivo del proyecto. Una filtración de información confidencial o una violación de la privacidad puede tener consecuencias desastrosas para la organización y los stakeholders involucrados en el proyecto. Y es que la revelación de secretos comerciales y datos financieros puede desencadenar todo en un efecto mariposa de riesgos e incluso, daños para la reputación y la imagen de las empresas afectadas. Además, el acceso no autorizado puede ser utilizado para llevar a cabo actividades fraudulentas o corruptas, como la manipulación de información con fines lucrativos. En definitiva, la pérdida de confianza en la seguridad de los datos puede tener un impacto negativo en las relaciones con los stakeholders y puede resultar en la pérdida de clientes y la reducción de la productividad.
2. Implementación de medidas de seguridad técnicas
A continuación, tocaría implementar toda una serie de medidas de seguridad técnicas a partir de una priorización de los riesgos ya identificados, siempre en función de las características del proyecto. Aunque en sustancia se trate de prácticamente lo mismo, no es igual tener que defender un proyecto de arquitectura que uno de ingeniería civil, por ejemplo. Los hospitales y las escuelas tienen vulnerabilidades distintas a las de los puentes y carreteras.
El conjunto de riesgos, por tanto, es siempre distinto y las acciones de ciberseguridad BIM han de estar hechas a la medida de cada pormenor. Sin embargo, podemos identificar algunas acciones teóricamente presentes en todos los proyectos. Por ejemplo, la implementación de firewalls que bloqueen cualquier intento de acceso no autorizado a los datos y sistemas del proyecto.y una encriptación de datos inexpugnable que impida a terceros acceder a unos datos protegidos tras la solidez de un código ilegible. Esto minimizaría enormemente el riesgo de que alguien no autorizado pueda acceder a los datos confidenciales del proyecto, incluso en caso de hackeo del sistema.
Por otro lado, el control de acceso a los recursos exige la implementación de un sistema de autenticación y autorización que permita controlar quién puede acceder a los datos y sistemas del proyecto. Así pues, es posible establecer un sistema de roles y permisos que permita a cada usuario acceder solo a la información que necesita para realizar su trabajo.
Ahora bien, una vez definidas y desplegadas las medidas a tomar para proteger nuestro proyecto, ¿queda algo más por hacer? Pues sí, bastante, nuestra labor no termina aquí. Uno de los pasos clave para hermetizar nuestra estrategia es el monitoreo constante de los sistemas y redes para detectar cualquier intento de acceso no autorizado o cualquier otro tipo de amenaza a la seguridad. Esto se puede hacer mediante el uso de herramientas de monitoreo de seguridad, como los sistemas de detección de intrusos (IDS) o los sistemas de prevención de intrusiones (IPS).
3. Formación en ciberseguridad BIM
La seguridad de la información también depende de la conciencia y comportamiento de todos los agentes implicados en el proyecto. Por lo tanto, es importante capacitar a los empleados en buenas prácticas de seguridad y en cómo detectar y responder a posibles amenazas. La tarea de involucrar a todo el equipo en el esfuerzo por mantener la seguridad de los datos y los activos del proyecto debe ser una prioridad absoluta desde el principio. En este sentido es clave llevar a cabo acciones de formación y concientización de los empleados para asegurar la protección de la información y prevenir posibles amenazas.
Y no es esta una tarea que pueda llevarse a cabo en poco tiempo. ¿Bastan unos días para formar a cada agente a un nivel suficientemente sólido como para garantizar un óptimo nivel de ciberseguridad? Para poder estar tranquilos hasta la entrega y después de ella, es necesario llevar a cabo capacitaciones periódicas en prácticas de seguridad de la información tales como el manejo seguro de contraseñas, la identificación de correos electrónicos y sitios web malintencionados, y la respuesta adecuada a posibles incidentes de seguridad.
4. Definición de un plan de respaldo y recuperación de desastres
Por muy altos que hayamos construido los muros de nuestra ciberseguridad, un atacante intrépido puede acabar encontrando el modo de sortearlos. En caso de security breach o major incident, es crucial tener un plan de respuesta rápida que minimice el impacto y permita recuperar los datos para continuar el proyecto.
Un plan enfocado a asegurar el éxito en este sentido debe partir de la identificación de los activos críticos, un paso esencial para determinar qué información y sistemas deben ser protegidos y recuperados en caso de un incidente de ciberseguridad en BIM. A continuación, se vuelve necesario crear con regularidad copias de seguridad de todos los datos críticos y sistemas relevantes en un lugar seguro fuera del entorno principal del proyecto. Esto incluye copias de seguridad en línea y en discos externos.
Y de igual manera que los extintores de un edificio son sometidos a periódicas revisiones para asegurar su funcionamiento, en ciberseguridad para BIM hay que someter la estrategia y los medios de protección a constantes pruebas de recuperación. Este punto en nuestra checklist resulta esencial para asegurarnos de que las copias de seguridad sean válidas y que el proceso de recuperación funcione adecuadamente en caso de un incidente.
Para que todo funcione como la seda, hemos de designar también a un equipo responsable que garantice una recuperación rápida y eficiente. Sobra decir que debe estar compuesto por expertos en tecnología y seguridad, pues será el responsable de implementar el plan de respaldo y recuperación de datos de un coste millonario.
Finalmente, es importante documentar todos los aspectos del plan de respaldo y recuperación, incluyendo los pasos específicos, los recursos necesarios y las responsabilidades de cada miembro del equipo. Esta documentación debe ser revisada y regularmente para mantenerla actualizada con los cambios en la tecnología y los requisitos de seguridad.
5. Revisión y actualización continua
“Conoce a tu enemigo y conócete a ti mismo, y saldrás triunfador en mil batallas”, asevera Sun-Tzu en el Arte de la Guerra. Para mantener la seguridad de los proyectos BIM en buen estado, es importante estar en constante revisión tanto de nuestras fuerzas defensivas como de la evolución de las del enemigo. Esto significa mantener un ojo atento en las nuevas amenazas que puedan surgir y asegurarse de que tu estrategia de ciberseguridad siga siendo efectiva. ¿Cómo hacerlo? Puedes llevar a cabo pruebas de penetración periódicas para verificar la fortaleza de tus medidas de seguridad y también es una buena idea revisar tus políticas y procedimientos de vez en cuando para asegurarte de que todavía están a la altura de la tarea. Mantener tus datos seguros es un trabajo que requiere constancia, así que asegúrate de estar siempre un paso adelante.