¿Qué tienen en común los hospitales, las plantas de tratamiento de agua, los servicios energéticos, etcétera? Que se trata de servicios esenciales, las actividades consideradas fundamentales para el bienestar y funcionamiento de una sociedad. Por tanto, son vitales para el día a día de las personas y para el funcionamiento básico de la población. De ahí que el nivel de ciberseguridad en este tipo de servicios sea una prioridad crítica.
Aquí nos encontramos con retos interesantes, ya que muchas veces han de convivir sistemas y maquinaria legacy con un entorno en el que la digitalización se ha implantado, en multitud de casos, de manera no siempre ordenada. Por ejemplo, en el teletrabajo a causa de la pandemia.
Esto, unido a la interconexión de sistemas en sectores vitales como energía, suministro de agua, atención médica o finanzas, entre otros, nos plantea un panorama complejo en el que hay que tener en cuenta muchas variables para llegar a componer una arquitectura de ciberseguridad confiable y que se contemple en todas y cada una de las estructuras de estas organizaciones.
Objetivo
Los ciberataques a estos servicios esenciales y sus infraestructuras críticas pueden tener una motivación económica. Sin embargo, en muchas ocasiones, tal y como hemos visto recientemente en los ataques que se han producido en los diferentes conflictos armados a los que el mundo se está enfrentando, tienen como objetivo producir una disrupción totalmente inesperada y que lleve a situaciones complejas, devastadoras y de difícil solución en un espacio breve de tiempo.
Con ello nos metemos de lleno en un campo como es el de la ciberguerra, del que estamos empezando a ver las nefastas consecuencias que pueden derivarse para la población general.
Los Estados, de manera conjunta e individual, intentan adelantarse a este tipo de amenazas cibernéticas implementado normativas y regulaciones específicas y estableciendo en ellas estándares de ciberseguridad para cada sector, así como la necesidad de reportar cualquier incidente que se produzca con la máxima celeridad y para poder prevenir que se reproduzca en otras infraestructuras.
El enfoque de la ciberseguridad en estas infraestructuras debe ser preventivo y proactivo
En definitiva, el enfoque de la ciberseguridad en estas infraestructuras debe ser preventivo y proactivo. Lo que se persigue es que la disrupción no llegue a producirse. Y para cumplir con este enfoque, la identificación de todas las vulnerabilidades de manera precoz es una prioridad. Pero es importante que esta identificación se lleve a cabo de manera exhaustiva y por medio de un actor que no pertenezca a la propia organización, ya que, de lo contrario, podría desvirtuarse la importancia vital de este proceso.
Es esta identificación la que debe llevar al planteamiento de una arquitectura de ciberseguridad específicamente diseñada y que tenga como punto fuerte la visibilidad en tiempo real de todo lo que esté ocurriendo a todos los niveles y que, en sus sistemas más críticos, se establezcan medidas de detección y protección, así como políticas estrictas que impidan conductas que puedan ser nocivas.
Inversión en servicios esenciales
Sin embargo, aun poniendo todas las medidas al alcance de la infraestructura, a veces no se puede evitar que se produzca un ciberataque disruptivo. En este caso debemos tener muy claro que lo primordial es que exista una comunicación inmediata del mismo a las autoridades pertinentes para que se pueda alertar a otras de lo que está sucediendo. Debemos tener un plan de actuación que nos permita, cuanto antes y con los medios disponibles, poner en marcha un plan de continuidad de negocio.
Hemos visto en los últimos ataques a infraestructuras esenciales cómo se ha tenido que volver al lápiz y al papel. En este sentido, es esencial tener una política de backup realizados en tiempo y forma adecuados y almacenados en elementos externos a la estructura principal.
Eso sí, un factor clave en el establecimiento de una ciberseguridad robusta dentro de los servicios esenciales es, por supuesto, el factor humano. La educación continua en ciberseguridad para todo el personal es una prioridad que se debe tomar como norma. De igual forma que el personal, a todos los niveles (incluidos los miembros del staff directivo), tiene que pasar por procesos de reciclaje en otras materias, la formación en un aspecto tan importante como la ciberseguridad debe tener su planificación y ejecución. Esto, indudablemente, no ha de ser tomado como una pérdida de tiempo o de horas, sino como una inversión que se está haciendo para evitar un mal mayor.