Los servicios esenciales necesarios para el funcionamiento de una sociedad dan lugar a lo que todos conocemos como infraestructuras críticas. La energía, el transporte, las comunicaciones, el agua y la salud, entre otros, son servicios primordiales y deben ser gestionados como tales. Garantizar su disponibilidad debe ser mandatorio y realizarse mediante el esfuerzo conjunto de las siguientes partes:
- Gobiernos. Son los principales interesados en la generación e implementación de iniciativas de protección de infraestructuras críticas (PIC) para garantizar que los servicios esenciales funcionen de manera adecuada.
- Organismos competentes. Es muy común que los gobiernos deleguen las tareas de difusión, elaboración y gestión de iniciativas PIC en organismos públicos, privados o una combinación de ambos. Se encargan de garantizar que la industria adopte las medidas de seguridad establecidas por las leyes de protección.
- Operadores de infraestructuras críticas. Son los que tienen más interés en que sus infraestructuras sean seguras, funcionen de manera adecuada y no sufran daños, interrupciones ni ataques. No obstante, en ocasiones, los requerimientos de las normativas PIC pueden entrar en conflicto con sus estrategias empresariales.
- Terceras partes. No se ven afectadas de manera directa por las exigencias legales, pero sí de manera indirecta. Un ejemplo de ello son las empresas en que los operadores de las infraestructuras críticas hayan delegado la gestión de las mismas. La forma en que se verán afectadas variará en función de los acuerdos establecidos con el operador.
Infraestructuras críticas: proteger lo que no vemos
Las infraestructuras críticas se encuentran conformadas por una red compleja de tecnologías y sistemas interconectados. Necesidades de accesos remotos sumadas a la utilización cada vez más frecuente de soluciones cloud o híbridas producen una ampliación del perímetro que resulta difícil de delimitar con exactitud.
Si bien esto se traduce en beneficios económicos por reducción de costes en tareas de mantenimiento o para compartir información con entes reguladores, tiene como contrapartida que aumenta su exposición a las ciberamenazas. Esto se debe a que, muchas veces, se extiende la superficie de ataque hasta límites que resultan verdaderas zonas oscuras incluso para los mismos responsables de su mantenimiento. Entonces, ¿cómo podemos proteger lo que desconocemos o no vemos?
¡Sigue leyendo!
El artículo completo de Javier F. Castillo, experto en Ciberseguridad Industrial del sector Oil & Gas y Energía Eléctrica, lo encontrarás en el número 26 de la revista ‘Segurilatam’.