Dado su carácter estratégico, la seguridad siempre ha constituido una de las prioridades en la industria energética y más concretamente petrolífera y gasista. Las instalaciones petroleras constituyen una parte importante del catálogo de Infraestructuras Críticas de una nación.

Informes de las agencias de inteligencia de los distintos países han identificado la industria de Oil&Gas como un claro objetivo de ataques terroristas. En 2004 un ataque terrorista de Al-Qaeda en Riad (Arabia Saudí) contra un centro de negocios (Al-Khobar) sede de varias compañías petroleras se saldó con un balance de 22 muertos.  Los ataques contra instalaciones petrolíferas en Irak, especialmente en oleoductos y gaseoductos  han sido una táctica de guerra adoptada de manera extensa. En los últimos años se han producido en el mundo una media de más 300 ataques anuales (*)  contra objetivos (instalaciones, personal) petroleros.

La industria petrolera está sometida a estos riesgos por múltiples razones:

• Las propiedades físicas y químicas de los materiales tratados y almacenados en la industria O&G tienen el potencial inherente de causar daños a poblaciones y ecosistemas cercanos a las instalaciones con enorme repercusión mediática.
• El carácter estratégico y global de la industria de O&G hace que cualquier perturbación en las operaciones pueda tener graves consecuencias sobre la economía mundial.
• La identificación de las grandes compañías petroleras con los grandes ejes de poder e influencia mundial.

Los riesgos de ataques a las infraestructuras petroleras y gasistas varían según el área de la cadena de valor que consideremos: exploración y producción, tratamiento, refino, transporte por tubería, transporte marítimo, distribución y marketing.

En la actualidad la mayor amenaza para las infraestructuras críticas proviene de los “conflictos asimétricos”  que utilizan tácticas de ataque no-convencionales. En efecto, los departamentos de Seguridad Corporativa de las petroleras se enfrentan hoy a “oponentes poco convencionales”: terroristas nacionales e internacionales, activistas, grupos de presión, fanáticos de causas concretas, empleados descontentos y hackers informáticos (ya sea organizados u oportunistas). Estos oponentes pueden utilizar ataques de diferentes tipos e intensidad que pueden ser complejos y coordinados con el objeto de explotar cualquier vulnerabilidad: física, lógica (IT), organizativa, ambiental e incluso, humana. 

Infraestructuras Críticas en Oil &Gas

El término “Infraestructura Crítica” se utiliza de manera habitual, especialmente desde los ataques terroristas del 11 de septiembre de 2001. Una primera versión del “Plan Nacional de Infraestructuras Críticas de Estados Unidos (también conocido como PDD-63)”  definía  las infraestructuras críticas nacionales como “aquellos activos y sistemas –ya sea físicos ó lógicos- tan vitales para la nación que su destrucción ó incapacidad de operación tendrían un impacto debilitador importante en la seguridad nacional, la economía,  la salud pública y seguridad de los ciudadanos e, incluso sobre la moral nacional”.
Esta amplia definición engloba infraestructuras de muy diferentes sectores: alimentario, agua, energético, transporte, financiero, militar ó logístico.

Los “Planes nacionales de Protección de infraestructuras críticas” en cada país tienen como objetivo el identificar dichas infraestructuras (catálogo nacional de infraestructuras críticas) y establecer las medidas necesarias para su protección. 
Adicionalmente a los planes nacionales, se añaden y superponen los planes supranacionales ya que, con gran probabilidad, la afectación a una infraestructura crítica puede tener consecuencias en otros países diferentes de aquel donde reside ó se produce el ataque. Por ejemplo, la Comunidad Europea ha puesto en marcha en 2006 un “Programa Europeo para Protección de Infraestructuras Críticas” en coordinación con los diferentes estados miembros.

Si nos circunscribimos al sector de Oil&Gas, podríamos considerar la siguiente propuesta de categorización de “infraestructuras críticas”:

• Instalaciones industriales en la Cadena de Valor: yacimientos, pozos, instalaciones de producción off-shore y on-shore, instalaciones de almacenamientomasivo, refinerías y plantas de procesamiento.

• Edificios: Cuarteles generales de las compañías petroleras y de servicios, oficinas dentro y fuera de las instalaciones industriales, cuartos de control.

• Equipos: Unidades de proceso, instrumentación y control asociados a las unidades, tanques, tuberías, intercambiadores de calor, calderas, reactores, equipo rotativo (bombas y turbinas).

• Sistemas auxiliares: líneas eléctricas, líneas de gas, plantas de energía y cogeneración, unidades de alimentación ininterrumpida, suministro de agua, plantas de tratamiento de agua auxiliares. 

• Sistemas de transporte: Líneas de ferrocarril, material rodante de transporte, terminales de carga y descarga marinos y terrestres, pantalanes, muelles, camiones, almacenamiento off-site, oleoductos y gasoductos con sus estaciones de compresión y bombeo.

• Sistemas informáticos: Sistemas de Control Distribuido, SCADAs, sistemas de Control Avanzado, redes, ordenadores, portátiles, PDAs, etc…

Como podemos apreciar, la casuística es vasta, heterogénea y compleja. La industria petrolera debe adoptar medidas de seguridad y protección acordes al nivel de amenaza y sus posibles consecuencias. Todo ello en un entorno de optimización y reducción de costes. Para ello se hace necesario un programa corporativo de Valoración de Riesgos de seguridad que tenga como fin último la definición y priorización de las inversiones que una compañía petrolera debe realizar para proteger su base de activos críticos.

Un modelo genérico para la Gestión de Riesgos de Seguridad

Si bien existen diferentes metodologías para llevar a cabo la Gestión de Riesgos de Seguridad, casi todas ellas comparten una serie de elementos y etapas. Todas pivotan alrededor de tres conceptos fundamentales: amenazas, vulnerabilidades y riesgos. El objetivo no es otro que identificar los recursos necesarios para reducir los riesgos a un nivel admisible y optimizando los costes de esta reducción. 
De una manera general, podríamos decir que la secuencia de elementos sería similar a la siguiente.

– Identificación de activos críticos.
– Clasificación de criticidad de los activos.
– Identificación y valoración de las amenazas.
– Valoración de la vulnerabilidad de los activos identificados frente a las amenazas específicas.
– Determinación del riesgo: posibles consecuencias de la ejecución de las amenazas sobre los activos, combinado con su probabilidad de ocurrencia.
– Identificación de medidas para mitigar el riesgo. 
– Adoptar una estrategia de reducción de riesgo que permita priorizar las actividades de mitigación.

Desde luego, un paso preliminar no mencionado es la constitución de una organización de seguridad adecuada que lidere y pilote todo el proceso de valoración y mitigación de riesgos.

Si bien una descripción detallada de la metodología está fuera del alcance de este artículo, sí realizaremos una breve consideración sobre cada etapa descrita:

a) Identificación de activos críticos: Este primer paso va a definir el alcance del programa. En un sentido amplio se pueden definir los activos como  actividades, operaciones, información, edificios e instalaciones, equipos y materiales. De cara a focalizar los recursos, deben considerarse únicamente aquellos juzgados como “más críticos”. Esta no es una tarea sencilla. Deben atenderse a múltiples factores como:
a. Posibles consecuencias de la pérdida del activo (vidas humanas, daños económicos, impactos medioambientales, pérdida de reputación, etc…)
b. Tiempo necesario para recuperar la capacidad del activo dañado. 
c. Posibles efectos cascada, no sólo dentro de la propia compañía, sino sobre otras infraestructuras de terceros. Por ejemplo, el daño sobre un oleducto operado por una tercera compañía puede afectar a las infraestructuras de producción y almacenamiento aguas arriba ó a la distribución aguas abajo. 
b) Clasificación de criticidad: Muy alta criticidad, alta, normal, baja; o variantes de esta escala. 
c) Identificación y Valoración de las amenazas. El API/NPRA   define el término “amenaza” como “cualquier indicación, circunstancia ó evento con el potencial de causar el daño ó la pérdida de un activo”. 
Un primer paso es la identificación y caracterización de las amenazas: tipo de amenaza (interna, terrorista, militar, natural), eventos desencadenantes, motivaciones, capacidades (ej.- conocimiento necesario, acceso a material ó equipos), métodos (ej.- asalto, coche bomba, ciber-ataque) y tendencias (eventos pasados que puedan anticipar nuevas tendencias). 
La información para caracterizar las amenazas puede provenir de especialistas, agencias de inteligencia, investigaciones u otras fuentes y con frecuencia debe asumirse que la información puede ser incompleta ó vaga. 
Una vez caracterizadas las amenazas es el turno de valorar su “probabilidad de ocurrencia”, para lo cual se tienen en cuenta varios parámetros. Esta valoración no debe ser “estática” en el tiempo y puede variar en función de las circunstancias.  
d) Valoración de la vulnerabilidad. De nuevo, el API/NPRA define el término “vulnerabilidad” como “una debilidad que puede ser explotada para ganar acceso a un activo con el subsecuente potencial de dañarlo ó destruirlo”. Las vulnerabilidades pueden ser categorizadas: físicas, técnicas, operacionales, organizativas, humanas, etc…
La valoración de las vulnerabilidades se realiza en función de determinadas circunstancias: disponibilidad del objetivo, accesibilidad del mismo, medidas de protección existentes, resistencia del activo para aguantar el ataque. En función de esto se obtiene una clasificación cualitativa y cuantitativa de vulnerabilidades.
e)  Determinación del riesgo: En este punto se valoran las posibles consecuencias en el caso de que alguna de las amenazas identificadas se tradujese en un ataque “con éxito” sobre alguno(s) de los activos considerados a través de la explotación de una vulnerabilidad. La medida de riesgos debe ser cualitativa y cuantitativa. 
f)  Identificación de medidas de mitigación del riesgo: Los riesgos pueden reducirse de varios modos (ó en combinación):
a. Reduciendo las amenazas (ej. Neutralizando la capacidad del enemigo antes del ataque).
b. Reduciendo las vulnerabilidades (ej.- implementando sistemas de seguridad en el activo amenazado).
c. Reduciendo el impacto y sus consecuencias (ej.- construyendo un activo de respaldo que pueda suplantar al dañado).
Para cada medida de mitigación debe determinarse el efecto en la reducción del riesgo, su viabilidad e, igualmente importante, su coste. No puede obviarse que, a pesar de su necesidad, los gastos en la protección de un activo representan costes de oportunidad, derivados de la imposibilidad de inversión en otros recursos.
g) Priorización y decisiones de inversión. En este punto caben numerosas aproximaciones que deben regirse por la  estrategia de riesgos adoptada. En general una opinión extendida sobre la gestión de riesgos es que su objetivo final es adoptar las mejoras en seguridad que permitan “un nivel aceptable de riesgo a un coste igualmente aceptable”.

Fruto del proceso anteriormente descrito debe derivarse el “Plan Maestro de Seguridad” con los proyectos y soluciones de Seguridad conducentes a lograr el nivel de riesgo admisible del que hemos hablado.

Soluciones para protección de infraestructuras críticas

En un sentido amplio, las “soluciones para protección de infraestructuras críticas” comprenden una combinación de tecnología, procesos y personal. Como ocurre en muchos otros campos, soluciones tecnológicas de primer nivel pueden fracasar en su implementación si no van acompañadas de las medidas organizativas adecuadas ó de los cambios organizativos necesarios. Aún conscientes de este aspecto, vamos a tratar de describir brevemente un proyecto de protección de una infraestructura crítica de Oil&Gas desde un punto de vista estrictamente tecnológico.

La siguiente figura ilustra de manera esquemática los diferentes subsistemas y  tecnologías que pueden encapsularse dentro de un proyecto de este tipo.

 

 

Proyecto Protección O&G 1

Como principio fundamental en el diseño de un sistema de Protección debe tenerse en cuenta que el mismo debe funcionar como un “todo integrado y coordinado”. No obstante, el sistema global de Protección se compone a partir de numerosos subsistemas heterogéneos y de diferentes fabricantes lo cual supone un importante reto a la hora de la integración y limita notablemente el número de proveedores con capacidad para llevar a cabo un proyecto de cierta dimensión.

Entre los principales subsistemas que conforman un sistema global de protección cabría destacar:

– Videovigilancia: con frecuencia se distingue entre videovigilancia de seguridad y de proceso, dados los diferentes objetivos de ambas. En los últimos tiempos se están extendiendo las soluciones de CCTV basadas en IP por su mejor coste, facilidad de integración, creciente fiabilidad y disponibilidad de soluciones inteligentes de análisis de vídeo. Las instalaciones petroleras imponen en CCTV (y en otros susbsistemas), severas restricciones según las zonas clasificadas (ej. Eex Proof) que encarecen notablemente el equipamiento a utilizar. 
– Control de accesos: Sistemas para controlar el acceso a las instalaciones -y dependencias de las mismas- a vehículos y personas. Estos sistemas cuentan con sistemas de identificación robusta para aumentar su fiabilidad y rendimiento. Una tendencia es complementarlos con soluciones de localización que permiten un seguimiento en tiempo real de activos críticos dentro de las instalaciones. 
– Detección de Intrusiones: Sistemas de protección perimetral de la instalación para detectar accesos no deseados a las mismas. La tecnología empleada es muy diversa: sensores microfónicos, alambre tensado, sensores de fibra óptica, barreras de infrarrojos o microondas, etc. 
– Megafonía de aviso y emergencia (Public Address /  General Alarm (PA/GA)). Sistema fundamental en toda Planta e instalación para la retransmisión de mensajes de aviso en eventos especiales como puede ser la necesidad de evacuación de la instalación. 
– Interfonía: Intercomunicación de voz entre personal de planta y Centro de Control a través de  terminales fijos. 
– Radio: Comunicación de voz entre personal de planta y Centro de Control a través de  radioterminales portátiles. 
– Seguridad en Control y comunicaciones: Sistemas para detectar y prevenir el acceso inadecuado a las redes de control o a las comunicaciones a través de diferentes medidas de protección (IDS/IPS, encriptación de comunicaciones, etc).
– Sonares y radares: Para detecciones submarinas ó de larga distancia en circunstancias concretas pueden emplearse sonares y radares de medio-largo alcance. Este subsistema suele combinarse con videovigilancia por medio de cámaras especiales (infrarojas, largo alcance), para la verificación visual de las detecciones reportadas por los radares.
– Red de comunicaciones multiservicio: Es la auténtica “columna vertebral” de la solución que permite la intercomunicación de los diferentes subsistemas no sólo de seguridad sino también de comunicaciones y control. En los últimos tiempos se está extendiendo el estándar Gigabit Ethernet sobre fibra optica.  
Dada su criticidad la red multiservicio se dota de elementos de redundancia. Además es usual utilizar un respaldo de comunicaciones para el caso de indisponibilidad de la red de fibra, que bien puede ser comunicaciones satelitales mediante tecnología VSAT.
– Centro de Control y Comando: El “cerebro” del sistema de Protección. Desde la Sala de Control, los operadores de seguridad monitorizan el sistema de manera global,  y llevan a cabo, de manera coordinada, la gestión de operaciones rutinarias y la gestión de situaciones de crisis.  Los sistemas de soporte permiten una visión integral  de la seguridad del complejo, constituyendo una parte fundamental en la ayuda a la toma de decisiones.

La implementación de estas soluciones se traduce en proyectos complejos que exigen una importante capacidad de Gestión de proyecto y servicios que abarcan desde la propia ingeniería de detalle de la solución, identificación de las interfases, compra, documentación, entrenamiento, Test de fabricación, embalaje y transporte de las mismas, instalación, test on-site y puesta en servicio de la solución; junto con unas necesidades de soporte tras la puesta en marcha. Por todas estas razones es más que conveniente contar con un integrador especializado, conocedor del equipamiento y la tecnología, con capacidad de ingeniería, experiencia y operaciones a nivel mundial.

Mejores prácticas en Gestión de Seguridad

Para concluir este artículo y con las décadas de experiencia atesoradas por Thales en la implementación de sistemas de Seguridad en Infraestructuras Críticas de Oil&Gas, a continuación se citan una serie de “mejores prácticas” para tener en cuenta:

– Organización de Seguridad: toda compañía de Oil&Gas debe contar con un grupo multidisciplinar de Seguridad Corporativa. El Comité de Seguridad debe contar con la visibilidad y respaldo de la Dirección.
– Gestión de Riesgos de Seguridad: Este proceso debe integrarse en la Gestión de Riesgos Corporativos de la Compañía.
– Coordinación: La Seguridad no puede concebirse de manera aislada. Es necesaria una intensa coordinación con todos los actores implicados: gobierno, clientes, proveedores, especialistas en seguridad, etc.
– El Plan Maestro de Seguridad: Es la “pieza clave” que define la estrategia de seguridad de la compañía y los procesos que permiten alcanzar el nivel de riesgo admisible.
– Gestión de Continuidad: Pese a todas las medidas preventivas, las incidencias suceden. Por ello deben existir Planes de contingencia y continuidad de operaciones actualizados y probados periódicamente. 
– Recursos Humanos: Es necesario imbuir una cultura de seguridad inherente al comportamiento de todos los empleados y socios.
– La Seguridad no es sólo tecnología. Deben prestarse atención a los factores humanos y organizativos asociados. 
– Los proyectos de Seguridad de las infraestructuras críticas deben ser asumidos por el operador como proyectos complejos, relevantes para el propio negocio y que deben ser acometidos por socios integradores de plena garantía.

Julian Flores Garcia

Director de Consultoria de seguridad internacional

de Latinoamerica

director@siseguridad.es   https://www.siseguridad.es

@juliansafety

fuente: thalesgroup