La importancia de la ciberseguridad en las infraestructuras críticas nacionales

La importancia de la ciberseguridad en las infraestructuras críticas nacionales

Las infraestructuras críticas garantizan el óptimo funcionamiento de los servicios prestados por el Estado y las empresas privadas. ¿Cuál es su importancia y cómo prevenir ataques cibernéticos que impacten la disponibilidad de los servicios ofrecidos?

Por: Gianncarlo Gustavo Gómez Morales el 27 Mayo 2021

Compartir en: FACEBOOK LINKEDIN TWITTER WHATSAPP

Según el Department of Homeland Security, las infraestructuras críticas (IC) describen los activos y sistemas físicos y cibernéticos vitales para los países. Su incapacidad o destrucción tendrían un impacto debilitante en nuestra seguridad física o económica, o en nuestra salud o seguridad pública. Asimismo, están incluidos la vasta red de carreteras, puentes y túneles de conexión, ferrocarriles, servicios públicos y edificios necesarios para mantener la normalidad en la vida diaria. El transporte, servicio financiero, el comercio, el agua potable y la electricidad también dependen de estos sistemas vitales.

Debido a su importancia, son altamente susceptibles a las amenazas cibernéticas: de acuerdo al estudio Estado del riesgo cibernético en Latinoamérica en tiempos del COVID-19, realizado por Marsh y Microsoft, el 31 % de empresas latinoamericanas percibió un aumento de ataques de esta índole a raíz de la pandemia.

Para protegerlas en el nuevo contexto en el que vivimos, es necesario implementar una serie de medidas necesarias para garantizar la continuidad de las operaciones. De acuerdo a las "Lecciones de Ciberseguridad de la Pandemia" elaborado por el Cyberspace Solarium Commission, la pandemia de la COVID-19 representa un desafío para la continuidad de las operaciones de las Infraestructuras criticas y servicios esenciales de los países, haciendo una analogía de la pandemia con un ataque cibernético:

  • En primer lugar, ambos pueden ser de carácter mundial, lo que exige a las naciones mirar simultáneamente hacia adentro para gestionar una crisis y trabajar a través de las fronteras para contener su propagación. 
  • En segundo lugar, requieren de una respuesta de toda la nación, por lo que es muy probable que reten la gestión de incidentes y los mecanismos de coordinación existentes. 
  • En tercer lugar, cuando no se disponen de terapias o vacunas inmediatas, y las pruebas y los tratamientos surgen lentamente; es importante construir sistemas ágiles, resistentes y que permitan la coordinación entre el gobierno y el sector privado. 
  • Por último, y tal vez la más importante, la prevención es mucho más barata y las relaciones preestablecidas mucho más eficaces que una estrategia basada únicamente en la detección y la respuesta. En concordancia con un eslogan del Instituto Nacional de Defensa Civil (INDECI), "¡La seguridad (en este caso la ciberseguridad) es tarea de todos!".

Asimismo, es importante establecer soluciones tecnológicas innovadoras que ayuden a monitorear, analizar y detectar -en tiempo real- posibles incidencias, con el objetivo de establecer los protocolos de respuesta adecuadas ante la señal de alarma. Pero, ¿qué otras tareas se pueden realizar para resguardar las IC? Entre las más destacadas podemos mencionar las siguientes: 

Liderazgo y coordinación del Poder Ejecutivo

Para hacerle frente a la COVID-19 u otras catástrofes, es imperativo que el Poder Ejecutivo se guíe por un fuerte liderazgo, incluyendo expertos en la materia que estén suficientemente capacitados para coordinar, planificar y preparar una respuesta a la crisis con mucha antelación a los acontecimientos perturbadores. Una respuesta nacional a un ciberataque significativo depende de un gobierno capaz y experimentado. 

Disponibilidad y seguridad de los recursos críticos

La crisis producto de la pandemia ha reforzado la importancia de comprender y mitigar las dependencias de la cadena de suministro y las deficiencias de la capacidad de producción nacional, con el objetivo de proteger a las empresas de las crisis y perturbaciones que interrumpen la entrega de bienes y servicios.

Una robusta fuerza laboral de ciberseguridad

La COVID-19 ha puesto de relieve la importancia de crear una fuerza de trabajo capaz de gestionar el estallido de una crisis en las infraestructuras críticas. Tras un importante ataque cibernético, los países tendrán que depender de una fuerza laboral capacitada en materia de seguridad cibernética para mitigarla y mantener niveles de ciberresiliencia aceptables para garantizar el bienestar de la población.

Evaluación y gestión nacional sostenida de los riesgos cibernéticos

La pandemia ha puesto en vitrina la importancia de evaluar continuamente el riesgo y dar prioridad a los esfuerzos de prevención. Los sectores de infraestructuras críticas tienden a ser interdependientes. Un ataque o interrupción de uno puede caer en cascada y perturbar rápidamente los elementos centrales de un país.

Defensa en capas

Esta práctica consiste en crear sistemas de protección en capas; es decir, la nube, los dispositivos tecnológicos de la empresa, los firewalls y los correos electrónicos corporativos son protegidos por separado. Esto tiene como finalidad robustecer el sistema de seguridad de la organización.

Segmentación de la red

Segmentar el funcionamiento de la red, particularmente las relacionadas a las tecnologías de la información (TI) y las tecnologías de operaciones (OT), es crucial para no ser víctima de un ciberataque. Para ello, es importante implementar sensores de red dentro de los sistemas informáticos internos, pues estos son los encargados de detectar movimientos sospechosos que puedan generar riesgos. De esta manera, se evita que todo el sistema de seguridad de una empresa se vea afectado o comprometido al sufrir un ataque.

Establecer un marco de seguridad

Las empresas operadoras de servicios críticos deben dotarse de políticas y herramientas informáticas seguras, y que garanticen el correcto funcionamiento de los servicios básicos del país. Para ello, deben contar con un marco de seguridad establecido, como el eslabón de su estrategia de seguridad, como por ejemplo el Cybersecurity Framework del NIXT v1.1.

De acuerdo al reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe realizado por el Banco Interamericano de Desarrollo (BID), Perú aún no cuenta con una estrategia nacional de seguridad cibernética; sin embargo, ya ha puesto en marcha una política nacional de ciberseguridad, emitiendo una serie de normativas, como el DS 106-2017-PCM que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales. A pesar de estos avances, nuestro país no mejora sus indicadores de Protección de la Infraestructura Crítica en comparación con el informe del 2016.

Gianncarlo Gustavo Gómez Morales

Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.

Otros artículos del autor

Acciones clave para la protección de datos personales en las organizaciones

26 Febrero 2024
Las empresas deben contar con un área especializada en protección de datos y trabajar de la mano con expertos en derecho corporativo para asegurarse de cumplir las normativas nacionales e internacionales.
  • Actualidad
  • Tecnología

Técnicas criptográficas para proteger la información de las empresas

29 Enero 2024
La criptografía, pese a ser utilizada desde hace miles de años, sigue siendo clave para proteger la información privada de las empresas y sus clientes. Por ello, es importante conocer las principales herramientas y aplicaciones de esta tecnología.
  • Actualidad
  • Tecnología

¿Cómo avanza la lucha de las empresas contra el ransomware?

11 Abril 2023

El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?

  • Actualidad
  • Tecnologías de Información