La importancia de ser Infraestructura Crítica

Por Elena Maestre, Socia responsable de Riesgos y Ciberseguridad en el área de Consultoría de EY

  • Compartir

Publicado en Red Seguridad, 13 de diciembre 2019

Desde hace más de diez años estamos oyendo hablar del despliegue de la legislación concerniente a la Protección de las Infraestructuras Críticas y siendo partícipes, de una u otra manera, de la importante evolución que ha provocado esta planificación estratégica en la ciberseguridad de las principales organizaciones del país. De la misma manera, se ha hecho necesario articular la contribución de agentes externos a las organizaciones, como son los cada vez más demandados centros de operación de seguridad (SOC, en sus siglas en inglés), los organismos reguladores de referencia (CNPIC, INCIBE, entre otros) o las propias Fuerzas y Cuerpos de Seguridad del Estado que contribuyen, de forma certera, en los ámbitos en los que las propias organizaciones no son capaces de llegar.

No obstante, tener conciencia de esta positiva evolución no implica tener también la certeza de que todavía no ha terminado el trabajo. En un mundo digital, el avance de las amenazas en materia de ciberseguridad evidencia la necesidad de mejorar la protección de las infraestructuras desde las que se prestan los servicios críticos a la ciudadanía.

Conforme avanzamos en la materia nos damos cuenta y somos más conscientes de la dificultad a la que nos enfrentamos. Por un lado, el desarrollo de los planes estratégicos sectoriales nos arroja cada vez nuevos operadores e infraestructuras críticas. Por otro lado, si profundizamos en los niveles de protección de dichos operadores nos damos cuenta de que los riesgos avanzan mucho más rápido que las medidas de protección, comprobando que las amenazas mutan, en ocasiones, hacia vectores de ataque no considerados o que presentan matices no contemplados ni considerados. Todo ello sin considerar la dificultad de articular mecanismos de colaboración entre tantos actores involucrados.

En los operadores críticos aparecen nuevos actores y, por lo tanto, se hace necesario definir nuevos roles que deben velar por la ciberseguridad en entornos como los que manejan los sistemas industriales y productivos. En este contexto, la protección de estos sistemas toma una importante relevancia en ciberseguridad, no considerada hasta la fecha, y alguien debe tomar responsabilidad sobre ello.

Además, a lo largo de estos años, y fruto de trabajar en este ámbito, nos damos cuenta de que la seguridad de una infraestructura crítica es una responsabilidad compartida entre diferentes áreas, pero que necesitan trabajar de forma más coordinada y constructiva que nunca.

La opinión pública constata que se producen ataques de ciberseguridad que ponen “en jaque” a muchas organizaciones y con los que todas ellas tiemblan ante los impactos y consecuencias que pueden provocar, dejando en evidencia riesgos cuya solución, en ocasiones, es difícil abordar por el coste que representa. No obstante, la responsabilidad de la ciberseguridad es informar a los órganos de gobierno de nuestras organizaciones sobre los riesgos que nos acechan y que se afronten los planes de acción de forma consensuada.

La eficiencia en procesos lleva a las organizaciones a maximizar el uso de proveedores de servicios, e incluso robotizar procesos críticos, pero se hace necesario analizar y definir las medidas de seguridad que precisan estas externalizaciones y automatizaciones para que se realicen con el adecuado nivel de rigor.

Día a día se perfilan nuevos procedimientos que mejoran la comunicación de los incidentes de seguridad y también la contención de las consecuencias y los procesos de alerta a otras organizaciones, pero es necesario continuar trabajando y entrenando los procesos de gestión de situaciones de crisis.

Los nuevos desafíos de la innovación en nuestras organizaciones, unido a los procesos de transformación digital, nos han permitido impulsar y emprender revolucionarios modelos de negocio y cambiar significativamente la forma en la que realizamos los procesos productivos y de negocio. No obstante, debemos mejorar y aumentar la incorporación de los aspectos de seguridad desde las etapas de diseño de las soluciones.

La gestión de las identidades se perfila de forma extraordinaria, apoyándonos en soluciones que permiten definir con granularidad las necesidades de acceso de los usuarios, pero debemos poner más énfasis en el control de los accesos que realizan las áreas técnicas a través de cuentas con acceso privilegiado.

Por otro lado, cada vez somos más conscientes de la imaginación que desarrollan los atacantes valiéndose de técnicas de ingeniería social para robar información o producir actuaciones no deseadas, pero debemos seguir protegiéndonos de ello.

Ante éstas y otras situaciones de riesgos de ciberseguridad debemos seguir actuando y mejorando nuestros enfoques. En este trabajo cada sector y cada organización tiene que adaptar sus procesos, puesto que no existen fórmulas mágicas. En esencia, el enfoque a contemplar debe considerar, al menos, las siguientes tres premisas básicas:

  • Incorporación y adopción de un sistema de gestión de riesgos continuo, que nos permita actuar de forma dinámica frente a la actualización periódica de los riesgos, valorando y observando los nuevos riesgos emergentes y los nuevos vectores de ataque que se potencian.
  • Trabajo en equipo, tanto en nuestra propia organización como con otros integrantes de nuestro sector, agentes y demás intervinientes. Esta colaboración pública-privada debe articularse para contribuir a mejorar los niveles de seguridad de la organización de una forma eficiente y eficaz.
  • Mejora en las actividades de formación y concienciación en materia de ciberseguridad para sensibilizar al personal que trabaja en este tipo de instalación y avanzar en los niveles de anticipación y prevención.

En cualquier caso, debemos seguir trabajando juntos en el despliegue y afianzamiento de este modelo, que, sin duda, es una responsabilidad compartida, pero que nos hace menos vulnerables a las amenazas de la ciberseguridad.

Sobre la autora

EY - Elena Maestre  Elena Maestre  

Socia responsable de Riesgos y Ciberseguridad en el área de Consultoría de EY
Tel. +34 917 493 699