Antes de implementar medidas de ciberseguridad avanzadas para proteger a los operadores de servicios esenciales es necesario asegurar los cimientos y construir una base sólida a nivel de ciberseguridad sobre la que sustentar otras medidas. Cumplir con las normativas del sector, tener capacidad de detección de incidentes y disponer de una buena monitorización y de una adecuada gestión de vulnerabilidades y de identidades es determinante.
De acuerdo con el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, los servicios esenciales son aquellos necesarios para el mantenimiento de funciones sociales básicas, como la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas. Los operadores de servicios esenciales, por su parte, son aquellas organizaciones públicas o privadas que prestan este tipo de servicios.
Hablamos de servicios de energía, comunicaciones, salud, transporte, suministros de agua, centros de producción de bienes y servicios de primera necesidad, entre muchos otros. Estos servicios dependen de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Estas últimas son infraestructuras estratégicas cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción generaría un grave impacto sobre los servicios esenciales.
‘Return to basics’
En un contexto de aumento de los incidentes de ciberseguridad en todos los sectores, ¿cómo garantizamos la ciberseguridad de las infraestructuras de los servicios esenciales? La respuesta se encuentra en volver a lo básico: return to basics. Centrarse en la seguridad esencial de los servicios esenciales.
Sin embargo, un error frecuente de los responsables de ciberseguridad de las compañías sigue siendo decantarse primero por novedosas y atractivas soluciones basadas en inteligencia artificial o en la detección basada en anomalías de comportamiento, entre otros, cuando aún no tienen resueltas cuestiones de base de manera eficaz y eficiente, como la gestión de vulnerabilidades, de identidades o de detección y respuesta. Tener una buena base nos hará más resilientes. Volver a lo esencial será lo determinante para garantizar una adecuada seguridad en los servicios esenciales.
Ciberseguridad esencial
Los pilares para garantizar una base sólida en ciberseguridad y proteger a los operadores de servicios esenciales son los siguientes:
1. Cumplimiento normativo. Los operadores de servicios esenciales deben atender a un conjunto de políticas, procedimientos y acciones a nivel normativo y de compliance para desarrollar su actividad con la más alta exigencia de seguridad. Por tanto, deben adecuarse a los estándares de seguridad aplicables a cada sector, como el Esquema Nacional de Ciberseguridad, la ISO 27001, el estándar PCI-SSS, la regulación europea sobre servicios de pagos electrónicos o PSD 2, el Reglamento de Resiliencia Operativa Digital o DORA y el Reglamento General de Protección de Datos, entre otros.
Es especialmente importante contar con una buena estrategia de respuesta a incidentes y con un plan adecuado. En caso de que se produzca una brecha de seguridad de datos, se requiere estar entrenados para comunicar en tiempo y forma a clientes y solventar adecuada y rápidamente cualquier crisis de comunicación.
2. Monitorización, detección y respuesta. La seguridad básica se sustenta también en la capacidad de detección y respuesta de incidentes de seguridad y en la monitorización continua, apoyada en el trabajo de los centros de operaciones de ciberseguridad (SOC). Es importante contar con un plan de respuesta a incidentes y entender que, más allá de los sistemas de prevención que se dispongan, los sistemas de detección son esenciales, puesto que los preventivos no cubren el cien por cien de la seguridad y suelen ser más costosos de implementar y mantener. Responder a tiempo ayuda a la continuidad del negocio y a generar mayor confianza en los clientes. Además, hace que la compañía sea más resiliente frente a los ataques.
A tal efecto, se recomienda que el SOC de estos operadores esenciales pertenezca a los grupos de CERT/CSIRT (Computer Emergency Response Team y Computer Security Incident Response Team) de referencia a nivel nacional (CSIRT.es, Red Nacional de SOC) e internacional (FIRST), equipos de respuesta a incidentes donde se comparte información sobre ciberamenazas. Están integrados por profesionales del ámbito TI y de la seguridad, del ámbito legal, de protección de datos o de colaboración con Fuerzas y Cuerpos de Seguridad del Estado.
3. Gestión de vulnerabilidades. Es importante gestionar los activos de tecnología y su estado de seguridad en cuanto a hardening (aplicación de los parámetros necesarios de seguridad en un sistema para reforzar su seguridad por defecto).
Se trata de mantener una configuración segura con adecuadas guías técnicas y controlar que la «hardenización» no experimente variaciones a lo largo del tiempo.
En cuanto a la gestión de vulnerabilidades, es importante suscribirse a boletines de fabricantes y compañías de seguridad para tener parcheado en el tiempo adecuado el mayor nivel posible de los sistemas tecnológicos, tanto equipos de usuario como servidores, desde los centros de proceso de datos in situ como en la nube.
4. Gestión de identidades. Es imprescindible establecer una correcta gestión de identidades tanto para usuarios corporativos como para usuarios privilegiados. Este punto es muy relevante, puesto que las nuevas arquitecturas como el SASE (Secure Access Service Edge) se basan fuertemente en una gestión de identidades robusta. Es relevante que una gran parte de ciberataques que se están produciendo actualmente se hacen contra la identidad del usuario y, concretamente, capturando estas credenciales o tokens de autenticación.
Mantener una gestión de identidades robusta implica, por un lado, fortalecer la autenticación con medidas como el doble factor; y por otro, tener una gestión del ciclo de vida de las credenciales adecuado y seguro. Esto se consigue haciendo un assesment (evaluación) del estado de la gestión de identidades, creando los proyectos necesarios para cubrir el gap identificado y dotándote de la tecnología adecuada para alcanzar el nivel de madurez deseado por la compañía.
Principales retos en servicios esenciales
La problemática actual a la hora de garantizar la seguridad básica de los servicios esenciales está relacionada con la complejidad de la tecnología. Son muchas las vulnerabilidades por cubrir y, aunque salen parches cada día, implementarlos supone un desafío para mantener el equilibrio con la disponibilidad.
Mantener parcheado y «hardenizado» todo un parque tecnológico diverso, a veces conviviendo nuevas tecnologías con infraestructuras heredadas y antiguas, es un verdadero reto. Volver a lo básico es esencial, aunque no sea tan sencillo como parece.