La conexión entre ciberseguridad y NFPA 72®, Código Nacional de Alarmas de Incendio y Señalización, existe debido a que todos los nuevos sistemas de alarma de incendio y notificación masiva (SNM) dependen de la tecnología informática. Como resultado, estos sistemas pueden presentar vulnerabilidades similares a las de un ataque cibernético. Es por ese motivo que el Comité Técnico de NFPA 72 ha iniciado una propuesta para la redacción de un nuevo Capítulo 11, Ciberseguridad, para la edición 2022 del código. El capítulo establece que “donde mediante un análisis de riesgo, la reglamentación federal, estatal o local, o la autoridad competente requieran de ciberseguridad, los sistemas deben cumplir con este capítulo”.
Si bien en muchas otras áreas se ha aplicado el concepto del análisis de riesgos, se mantiene relativamente nuevo para aquellos involucrados en el diseño, instalación y aprobación de un sistema de notificación masiva (SNM). En la edición 2019 del código, la sección sobre análisis de riesgos del Capítulo 24 se amplió específicamente para incluir la planificación del diseño e instalación de un SNM. El código define el análisis de riesgos como un proceso para “caracterizar la probabilidad, vulnerabilidad y magnitud de incidentes asociados con desastres naturales, tecnológicos y provocados por el hombre y otras emergencias que plantean inquietantes escenarios, su probabilidad y sus potenciales consecuencias”.
Asimismo, el código colabora con el proceso mediante una lista de verificación del análisis de riesgos en el formulario del Anexo A.7.3.6. Si bien el código no obliga al uso de la lista de verificación, los interesados pueden usarla para iniciar el estudiado proceso para la identificación de peligros en una instalación. Uno de los ítems de la lista de verificación, por ejemplo, abarca “eventos intencionales provocados por el hombre”. Esta categoría se subdivide e incluye “terrorismo (explosivo, químico, biológico, radiológico, nuclear, cibernético)”.
Puede ser la última de esa lista, pero la ciberseguridad ha crecido exponencialmente en importancia durante los últimos años. Hoy, las cuestiones de ciberseguridad suceden con tanta rapidez que el Departamento de Seguridad Nacional publica el Boletín semanal de vulnerabilidades para Auditores certificados en sistemas de información, que se elabora empleando la información proveniente de la Base de Datos Nacional de Vulnerabilidad del NIST. El Servicio de Impuestos Internos (Internal Revenue Service) lanzó recientemente su página web “Central de robo de identidad” (Identity Theft Central) a la que puede accederse las 24 horas durante los 7 días de la semana para obtener información online sobre robo de identidad tributaria y protección de la seguridad de los datos. El robo de identidad tributaria tiene lugar cuando alguien roba información personal para cometer una defraudación fiscal.
Estos problemas continúan aumentando en su alcance y complejidad, y es probable que la ciberseguridad sea parte activa del código en muchas de las ediciones futuras. El nuevo capítulo propuesto para NFPA 72 incluye secciones sobre normas, cumplimiento, documentación, y operaciones y mantenimiento. Al momento, es un capítulo de corta extensión. Sin embargo, su intención es que todas las personas relacionadas con alarmas de incendio, comunicaciones de emergencia y sistemas de notificación masiva tomen conciencia de la amenaza de un ataque cibernético, y garantizar que piratas informáticos o cualquier otro delincuente cibernético no puedan usar estos sistemas como puntos de entrada a sistemas de redes de edificios.
Wayne D. Moore es vicepresidente de Jensen Hughes. Los miembros de NFPA y autoridades competentes pueden usar la pestaña de preguntas técnicas para enviar consultas sobre NFPA 72 en nfpa.org/72.
