Antes de ocuparnos de la protección en infraestructura crítica en las telecomunicaciones, es preciso explicar qué son estas últimas de acuerdo a la Ley Federal de Telecomunicaciones y Radiodifusión de México: toda emisión, transmisión o recepción de signos, señales, datos, escritos, imágenes, voz, sonidos o información de cualquier naturaleza que se efectúa a través de hilos, radioelectricidad, medios ópticos, físicos u otros sistemas electromagnéticos, comercializado en una red pública o privada de telecomunicaciones, sin incluir la radiodifusión.
En México, los servicios de telecomunicaciones se refieren principalmente a telefonía local fija, televisión restringida (tv de pago), Internet fijo, Internet móvil y telefonía celular, así como a equipo terminal, en particular teléfono móvil.
Las telecomunicaciones permiten la transmisión y recepción de información, la cual se presenta en diferentes formas de contenidos como música, películas, documentos, fotos, vídeos, voz, etc., con la finalidad de ayudar y beneficiar la comunicación.
Infraestructura crítica
Se entiende como infraestructura crítica aquellas tecnologías, instalaciones, servicios, redes, información y equipos físicos esenciales para las funciones sociales vitales como la salud, la seguridad, el bienestar social y la economía de los ciudadanos de un país. Por lo que el Gobierno y las empresas tienen la obligación de implementar medidas que disminuyan cualquier tipo de riesgo, ya que su perturbación o destrucción afectaría gravemente diferentes ámbitos como el económico, el detrimento de la confianza como nación y algo más grave que pudiera ser la pérdida de vidas. La infraestructura crítica puede ser propiedad de particulares o del Estado.
Las medidas de prevención tienen que implementarse para gestionar los riesgos que generan las amenazas físicas y lógicas
Gama de servicios
Después de conocer las definiciones de infraestructura crítica y telecomunicaciones, adyacente con el conocimiento de la gama de servicios que se proporcionan en términos generales en este tipo de empresas o instituciones, podemos determinar la importancia de sus funciones y el impacto consecuencial de la afectación a una instalación que proporciona estos servicios. Incluso hoy en día es importante mencionar y tener presente que muchas de las tecnologías que permiten el adecuado funcionamiento de la mayoría de los equipos y procesos que se utilizan en otras instalaciones críticas y estratégicas dependen de los servicios básicos que ofrecen las empresas de telecomunicaciones, como pueden ser:
- Servicios de voz.
- Servicios de Internet.
- Servicios de datos.
- Servicios VoIP.
- Servicios de SMS.
- Cloud computing. Para los servicios de computación a través de Internet.
- Routing manager. Permite actualizar la configuración del servicio a tiempo real y de forma automática.
- Call conference. Facilita la realización de audioconferencias o reuniones virtuales.
- Grabación de voz.
- Contact center virtual.
- Numeración para la recepción masiva de llamadas.
- Servicio de GPS.
- Servicio de streaming.
Medidas de seguridad
Es importante mencionar que, normalmente, los concesionarios de redes públicas o privadas de telecomunicaciones tienen dentro de sus títulos la obligación general de contar con un plan de acciones para prevenir la interrupción de los servicios y proporcionar servicios de emergencia en casos fortuitos o de fuerza mayor, por lo que las medidas de seguridad para garantizar la continuidad de las operaciones son fundamentales.
Afortunadamente, la incidencia de ataques físicos graves a este tipo de instalaciones en nuestro país es baja estadísticamente hablando. Sin embargo, las medidas de prevención tienen que estar implementadas para gestionar los riesgos que generan las amenazas tanto físicas como lógicas en las infraestructuras críticas. Principalmente, para esto se requiere identificar, determinar, detectar y prepararse para que las amenazas no se materialicen, reducir al máximo las vulnerabilidades de los activos y procesos críticos, los sistemas y las redes y mitigar en lo viable su impacto consecuencial.
En la actualidad, las mayores amenazas para las empresas de telecomunicaciones tienen que ver con la seguridad lógica
Es importante recalcar que el esquema de seguridad integral debe estar elaborado en función de medidas preventivas contemplando, en caso de ser necesario, la recuperación lo antes posible del servicio esencial que este tipo de instituciones o empresas presta.
Entre las principales medidas que se pueden adoptar para evitar, mitigar o reducir las consecuencias de estas amenazas podemos mencionar las siguientes:
1. Implementar y mantener una cultura de seguridad en todo el personal que conforma la empresa, incluido, desde luego, el cuerpo directivo.
2. Analizar los riesgos mediante una evaluación periódica que nos ayude a determinar el porcentaje de probabilidad de que una amenaza, tanto física como lógica, se materialice en los diferentes activos de la organización: personas, instalaciones, sistemas informáticos, redes de comunicaciones, etc.
3. Tomar como base normas o estándares de seguridad como los que tiene ASIS International o bien los ISO 27000, ISO 27002, ISO 27005, ISO 31000, etc.
4. Implementar medidas de seguridad física como las que a continuación enuncio:
- Estricto control de accesos de personas y materiales.
- Instalación de cerraduras electrónicas mancomunadas en áreas críticas.
- Contar con diferentes tipos de detectores y equipo de alarmas conectados a una central externa y centro de monitoreo propio.
- Contar con equipo de videovigilancia distribuido de manera estratégica en zonas vulnerables o críticas.
- Contar con software analítico de vídeo que coadyuve en la detección preventiva de irregularidades en los protocolos de seguridad establecidos por la empresa.
- Complementar con personal de seguridad debidamente capacitado y entrenado.
- Desarrollar normas, políticas y procedimientos de seguridad específicos para este tipo de industria.
- Contar con un centro de monitoreo propio que valide de manera permanente la aplicación de los protocolos de seguridad de todas las personas que ingresan a las instalaciones y que además coordine acciones en caso de emergencia.
- Evaluar periódicamente los sistemas y procesos de seguridad mediante la ejecución de simulacros y auditorías.
- Establecer un esquema de denuncia confidencial para que el personal pueda reportar cualquier tipo de irregularidades que detecte.
Ciberseguridad
Sin embargo, las mayores amenazas en este tipo de empresas están en la parte lógica. De acuerdo con los resultados del informe The Global State of Information Security Survey 2018 de PwC, en México el 78,6% de las empresas declaró haber detectado, al menos, un incidente de seguridad de la información en los últimos 12 meses.
En nuestro país existen 73,1 millones de usuarios de Internet, los cuales equivalen al 63,9% de la población. Sin embargo, a pesar del alto nivel de inserción de Internet, México se encuentra en los últimos lugares de América Latina y del mundo respecto a la seguridad cibernética.
La situación es preocupante si se toma en cuenta que en 2018 el comercio electrónico alcanzo 37 millones de consumidores, lo que significa que la economía nacional depende cada vez más del correcto funcionamiento de la red de redes.
Las medidas de seguridad tienen que ser dinámicas, deben cambiar permanentemente para que sigan siendo efectivas.
México es el país más ciberatacado a escala mundial. Prueba de ello es que el 82% de las empresas mexicanas afirmó haber sufrido una vulnerabilidad en 2018 de acuerdo con el informe The Impossible Puzzle of Cybersecurity de Sophos, elaborado tras encuestar a 200 compañías mexicanas que admitieron un panorama poco seguro.
Para entender esta situación necesitamos saber qué es un ciberataque. Se puede definir como una acción producida en el ciberespacio (infraestructuras de TI, redes de comunicaciones y sistemas de información) que compromete la disponibilidad, integridad y confidencialidad de la información mediante acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o incluso las infraestructuras que los soportan. En lo relativo a la seguridad lógica, estas son las medidas a implementar:
- Instaurar una cultura de ciberseguridad para todo el personal de la empresa, incluido el comité directivo.
- Determinar qué datos recauda la empresa y asegurarse de que la información sensible está debidamente protegida.
- Utilizar diversos métodos de autenticación.
- Habilitar el protocolo https en el sitio web.
- Actualizar de manera permanente todo el software.
- Realizar siempre un respaldo de seguridad de todos los datos.
- Contar siempre con un firewall para proteger la conexión a Internet.
- Desarrollar una estrategia de respuesta frente a incidentes.
- Certificar que los empleados buscan la S del protocolo https al navegar por Internet.
- Habilitar comunicaciones seguras a través de correo electrónico y ofrecer capacitación para mitigar los riesgos de sufrir ataques de phishing.
- Establecer pruebas de simulación de ataques de phishing para mantener alerta al personal.
- Formar un equipo de respuesta frente a incidentes.
- Elaborar periódicamente un análisis de amenazas internas y externas.
- Comunicar claramente a los empleados cómo responder frente a un incidente.
- Intercambiar información sobre buenas prácticas con otros colegas.
- Asumir en todo momento que existe una vulnerabilidad. No existe el riesgo cero.
- Asegurarse (mediante una póliza) de que la infraestructura de informática está cubierta frente a ciberataques.
- Comprobar que solamente es posible acceder a los sistemas tras un proceso de autenticación seguro.
- Contratar un servicio de hacking ético que verifique de manera preventiva las vulnerabilidades del sistema.
- Verificar las condiciones de seguridad del proveedor de servicios en la nube.
- Asegurarse de que la red está segmentada de forma que desde un sistema no sea posible acceder a otro.
- Mantenerse al día sobre las últimas normativas que rigen la industria.
- Continuar investigando las nuevas tecnologías y analizando nuevos proveedores.
Para que todas las medidas adoptadas sean efectivas y eficaces deberán apoyarse en planes de formación y concientización e integrarse en planes de contingencia y continuidad de negocio, de evacuación y gestión de emergencias, de recuperación y reconstrucción tras un ataque, planes de seguridad y salud, planes de prevención de riesgos, etc. Y de todo ello deberá hacerse un seguimiento con el fin de medir la efectividad de las medidas adoptadas en la reducción del riesgo que suponen dichas amenazas en la organización que gestiona el servicio esencialmente afectado.
Es importante mencionar que con la integración del Internet de las Cosas y una mayor información en tiempo real, la tendencia de la exposición al riesgo siempre irá en aumento, por lo que las medidas de seguridad también tienen que ser dinámicas, es decir, deben estar cambiando de manera permanente para que sigan siendo efectivas.