Según el Department of Homeland Security, las infraestructuras críticas (IC) describen los activos y sistemas físicos y cibernéticos vitales para los países. Su incapacidad o destrucción tendrían un impacto debilitante en nuestra seguridad física o económica, o en nuestra salud o seguridad pública. Asimismo, están incluidos la vasta red de carreteras, puentes y túneles de conexión, ferrocarriles, servicios públicos y edificios necesarios para mantener la normalidad en la vida diaria. El transporte, servicio financiero, el comercio, el agua potable y la electricidad también dependen de estos sistemas vitales.

Debido a su importancia, son altamente susceptibles a las amenazas cibernéticas: de acuerdo al estudio Estado del riesgo cibernético en Latinoamérica en tiempos del COVID-19, realizado por Marsh y Microsoft, el 31 % de empresas latinoamericanas percibió un aumento de ataques de esta índole a raíz de la pandemia.

Para protegerlas en el nuevo contexto en el que vivimos, es necesario implementar una serie de medidas necesarias para garantizar la continuidad de las operaciones. De acuerdo a las "Lecciones de Ciberseguridad de la Pandemia" elaborado por el Cyberspace Solarium Commission, la pandemia de la COVID-19 representa un desafío para la continuidad de las operaciones de las Infraestructuras criticas y servicios esenciales de los países, haciendo una analogía de la pandemia con un ataque cibernético:

• En primer lugar, ambos pueden ser de carácter mundial, lo que exige a las naciones mirar simultáneamente hacia adentro para gestionar una crisis y trabajar a través de las fronteras para contener su propagación. 
• En segundo lugar, requieren de una respuesta de toda la nación, por lo que es muy probable que reten la gestión de incidentes y los mecanismos de coordinación existentes. 
• En tercer lugar, cuando no se disponen de terapias o vacunas inmediatas, y las pruebas y los tratamientos surgen lentamente; es importante construir sistemas ágiles, resistentes y que permitan la coordinación entre el gobierno y el sector privado. 
• Por último, y tal vez la más importante, la prevención es mucho más barata y las relaciones preestablecidas mucho más eficaces que una estrategia basada únicamente en la detección y la respuesta. En concordancia con un eslogan del Instituto Nacional de Defensa Civil (INDECI), "¡La seguridad (en este caso la ciberseguridad) es tarea de todos!".

Asimismo, es importante establecer soluciones tecnológicas innovadoras que ayuden a monitorear, analizar y detectar -en tiempo real- posibles incidencias, con el objetivo de establecer los protocolos de respuesta adecuadas ante la señal de alarma. Pero, ¿qué otras tareas se pueden realizar para resguardar las IC? Entre las más destacadas podemos mencionar las siguientes: 

Liderazgo y coordinación del Poder Ejecutivo

Para hacerle frente a la COVID-19 u otras catástrofes, es imperativo que el Poder Ejecutivo se guíe por un fuerte liderazgo, incluyendo expertos en la materia que estén suficientemente capacitados para coordinar, planificar y preparar una respuesta a la crisis con mucha antelación a los acontecimientos perturbadores. Una respuesta nacional a un ciberataque significativo depende de un gobierno capaz y experimentado. 

Disponibilidad y seguridad de los recursos críticos

La crisis producto de la pandemia ha reforzado la importancia de comprender y mitigar las dependencias de la cadena de suministro y las deficiencias de la capacidad de producción nacional, con el objetivo de proteger a las empresas de las crisis y perturbaciones que interrumpen la entrega de bienes y servicios.

Una robusta fuerza laboral de ciberseguridad

La COVID-19 ha puesto de relieve la importancia de crear una fuerza de trabajo capaz de gestionar el estallido de una crisis en las infraestructuras críticas. Tras un importante ataque cibernético, los países tendrán que depender de una fuerza laboral capacitada en materia de seguridad cibernética para mitigarla y mantener niveles de ciberresiliencia aceptables para garantizar el bienestar de la población.

Evaluación y gestión nacional sostenida de los riesgos cibernéticos

La pandemia ha puesto en vitrina la importancia de evaluar continuamente el riesgo y dar prioridad a los esfuerzos de prevención. Los sectores de infraestructuras críticas tienden a ser interdependientes. Un ataque o interrupción de uno puede caer en cascada y perturbar rápidamente los elementos centrales de un país.

Defensa en capas

Esta práctica consiste en crear sistemas de protección en capas; es decir, la nube, los dispositivos tecnológicos de la empresa, los firewalls y los correos electrónicos corporativos son protegidos por separado. Esto tiene como finalidad robustecer el sistema de seguridad de la organización.

Segmentación de la red

Segmentar el funcionamiento de la red, particularmente las relacionadas a las tecnologías de la información (TI) y las tecnologías de operaciones (OT), es crucial para no ser víctima de un ciberataque. Para ello, es importante implementar sensores de red dentro de los sistemas informáticos internos, pues estos son los encargados de detectar movimientos sospechosos que puedan generar riesgos. De esta manera, se evita que todo el sistema de seguridad de una empresa se vea afectado o comprometido al sufrir un ataque.

Establecer un marco de seguridad

Las empresas operadoras de servicios críticos deben dotarse de políticas y herramientas informáticas seguras, y que garanticen el correcto funcionamiento de los servicios básicos del país. Para ello, deben contar con un marco de seguridad establecido, como el eslabón de su estrategia de seguridad, como por ejemplo el Cybersecurity Framework del NIXT v1.1.

De acuerdo al reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe realizado por el Banco Interamericano de Desarrollo (BID), Perú aún no cuenta con una estrategia nacional de seguridad cibernética; sin embargo, ya ha puesto en marcha una política nacional de ciberseguridad, emitiendo una serie de normativas, como el DS 106-2017-PCM que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales. A pesar de estos avances, nuestro país no mejora sus indicadores de Protección de la Infraestructura Crítica en comparación con el informe del 2016.