Ciberilatam 002

Monográfico Infraestructuras críticas Luis Bustamante BISO Latam de Equifax Helmuth Gabriel Cardozo Director de Ciberseguridad y Seguridad de la Información de Financiera de Desarrollo Nacional (FDN) En primer lugar, se debe mejorar la capacidad para recuperarse ante cualquier suceso disruptivo que cause una potencial falla del servicio. Esto quiere decir que se deben contemplar todas las medidas técnicas y logísticas necesarias para recuperar una infraestructura crítica o servicio esencial; sobre todo, probar mediante ejercicios de crisis cómo funcionan los planes de con- tinuidad de negocio y recuperación ante desastres, entendiendo que estos ejercicios prácticos permiten medir dicha capacidad de recuperación identificando áreas de mejora que apunten a mantener un sistema sano, capaz de responder a eventos que causen rupturas del servicio pero que no provoquen caídas o fallos prolongados y donde la pérdida sea coherente con el ape- tito de riesgo fijado por la organización o Gobierno. En segundo lugar, mantener el inventario de activos actuali- zado en dichas infraestructuras, con el objetivo de tener pleno conocimiento de los niveles de obsolescencia y actualización que requieren las infraestructuras y los servicios esenciales. Tercero, y no menos importante, crear canales de comunica- ción/colaboración entre las áreas que operan dichas infraestruc- turas y servicios para compartir conocimiento y expertise que ayude a mejorar de manera homogénea los niveles de madurez en ciberseguridad que requieren estas infraestructuras y servicios. Dado el rol de las infraestructuras críticas en la seguridad, eco- nomía y calidad de vida, es necesario considerar un entendi- miento adecuado y detallado de los activos tecnológicos y de información vinculados a ellas, así como de los riesgos que podrían afectar a tales activos y, por ende, al funcionamiento adecuado de la infraestructura crítica; incluyendo un conoci- miento suficiente de los mecanismos mediante los cuales los riesgos pueden suceder en tales ambientes, siguiendo lo esta- blecido a nivel regulatorio y en las normas técnicas especiali- zadas en cada tipo de infraestructura y a nivel general. Estos elementos deben ser el insumo para la definición de soluciones de control para proteger dichos activos frente a los riesgos planteados, manteniendo la continuidad y la resiliencia. Los activos tecnológicos involucrados en las infraestructuras críticas cubren varios dominios, entendiendo las diferencias estructurales entre ellos y, por ende, la no aplicabilidad gene- ral de herramientas de un dominio en los demás. A su vez, el conocimiento de riesgos debe considerar los dos aspectos de la seguridad: safety y security . Finalmente, es prudente aprender de casos (incidentes) de empresas externas y adoptar prácticas antes que tal suceso acontezca en la organización. “La capacidad para recuperarse ante un suceso disruptivo debe mejorar” “Es prudente aprender de casos (incidentes) de empresas externas” / Segundo semestre 2024 15