Según el Department of Homeland Security, las infraestructuras críticas (IC) describen los activos y sistemas físicos y cibernéticos vitales para los países. Su incapacidad o destrucción tendrían un impacto debilitante en nuestra seguridad física o económica, o en nuestra salud o seguridad pública. Asimismo, están incluidos la vasta red de carreteras, puentes y túneles de conexión, ferrocarriles, servicios públicos y edificios necesarios para mantener la normalidad en la vida diaria. El transporte, servicio financiero, el comercio, el agua potable y la electricidad también dependen de estos sistemas vitales.
Debido a su importancia, son altamente susceptibles a las amenazas cibernéticas: de acuerdo al estudio Estado del riesgo cibernético en Latinoamérica en tiempos del COVID-19, realizado por Marsh y Microsoft, el 31 % de empresas latinoamericanas percibió un aumento de ataques de esta índole a raíz de la pandemia.
Para protegerlas en el nuevo contexto en el que vivimos, es necesario implementar una serie de medidas necesarias para garantizar la continuidad de las operaciones. De acuerdo a las "Lecciones de Ciberseguridad de la Pandemia" elaborado por el Cyberspace Solarium Commission, la pandemia de la COVID-19 representa un desafío para la continuidad de las operaciones de las Infraestructuras criticas y servicios esenciales de los países, haciendo una analogía de la pandemia con un ataque cibernético:
Asimismo, es importante establecer soluciones tecnológicas innovadoras que ayuden a monitorear, analizar y detectar -en tiempo real- posibles incidencias, con el objetivo de establecer los protocolos de respuesta adecuadas ante la señal de alarma. Pero, ¿qué otras tareas se pueden realizar para resguardar las IC? Entre las más destacadas podemos mencionar las siguientes:
Liderazgo y coordinación del Poder Ejecutivo
Para hacerle frente a la COVID-19 u otras catástrofes, es imperativo que el Poder Ejecutivo se guíe por un fuerte liderazgo, incluyendo expertos en la materia que estén suficientemente capacitados para coordinar, planificar y preparar una respuesta a la crisis con mucha antelación a los acontecimientos perturbadores. Una respuesta nacional a un ciberataque significativo depende de un gobierno capaz y experimentado.
Disponibilidad y seguridad de los recursos críticos
La crisis producto de la pandemia ha reforzado la importancia de comprender y mitigar las dependencias de la cadena de suministro y las deficiencias de la capacidad de producción nacional, con el objetivo de proteger a las empresas de las crisis y perturbaciones que interrumpen la entrega de bienes y servicios.
Una robusta fuerza laboral de ciberseguridad
La COVID-19 ha puesto de relieve la importancia de crear una fuerza de trabajo capaz de gestionar el estallido de una crisis en las infraestructuras críticas. Tras un importante ataque cibernético, los países tendrán que depender de una fuerza laboral capacitada en materia de seguridad cibernética para mitigarla y mantener niveles de ciberresiliencia aceptables para garantizar el bienestar de la población.
Evaluación y gestión nacional sostenida de los riesgos cibernéticos
La pandemia ha puesto en vitrina la importancia de evaluar continuamente el riesgo y dar prioridad a los esfuerzos de prevención. Los sectores de infraestructuras críticas tienden a ser interdependientes. Un ataque o interrupción de uno puede caer en cascada y perturbar rápidamente los elementos centrales de un país.
Defensa en capas
Esta práctica consiste en crear sistemas de protección en capas; es decir, la nube, los dispositivos tecnológicos de la empresa, los firewalls y los correos electrónicos corporativos son protegidos por separado. Esto tiene como finalidad robustecer el sistema de seguridad de la organización.
Segmentación de la red
Segmentar el funcionamiento de la red, particularmente las relacionadas a las tecnologías de la información (TI) y las tecnologías de operaciones (OT), es crucial para no ser víctima de un ciberataque. Para ello, es importante implementar sensores de red dentro de los sistemas informáticos internos, pues estos son los encargados de detectar movimientos sospechosos que puedan generar riesgos. De esta manera, se evita que todo el sistema de seguridad de una empresa se vea afectado o comprometido al sufrir un ataque.
Establecer un marco de seguridad
Las empresas operadoras de servicios críticos deben dotarse de políticas y herramientas informáticas seguras, y que garanticen el correcto funcionamiento de los servicios básicos del país. Para ello, deben contar con un marco de seguridad establecido, como el eslabón de su estrategia de seguridad, como por ejemplo el Cybersecurity Framework del NIXT v1.1.
De acuerdo al reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe realizado por el Banco Interamericano de Desarrollo (BID), Perú aún no cuenta con una estrategia nacional de seguridad cibernética; sin embargo, ya ha puesto en marcha una política nacional de ciberseguridad, emitiendo una serie de normativas, como el DS 106-2017-PCM que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales. A pesar de estos avances, nuestro país no mejora sus indicadores de Protección de la Infraestructura Crítica en comparación con el informe del 2016.
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?