Segurilatam 026

/ Tercer cuatrimestre 2023 52 artículo técnico Infraestructuras críticas tareas de mantenimiento o para compar- tir información con entes reguladores, tiene como contrapartida que aumenta su exposición a las ciberamenazas. Esto se debe a que, muchas veces, se extien- de la superficie de ataque hasta límites que resultan verdaderas zonas oscuras incluso para los mismos responsables de su mantenimiento. Entonces, ¿cómo podemos proteger lo que desconoce- mos o no vemos? Capacidades de monitoreo Las medidas de protección son impres- cindibles para robustecer la cibersegu- ridad de estas tecnologías, pero nunca serán suficientes. Siempre existirá la posibilidad de que un ciberincidente se produzca, con lo cual tendremos que conformarnos con implementar medidas que nos permitan operar las infraestruc- turas criticas dentro de un nivel de riesgo tolerable. Es por ello que debemos trabajar muy fuertemente en las capacidades de monitoreo para poder tener visibilidad de toda nuestra infraestructura tecno- lógica, y así detectar cuándo estamos frente a un ciberataque para intentar bloquearlo o responder si se convierte en un ciberincidente. Al tratarse de infraestructuras críti- cas, y debido a la existencia de inter- dependencias entre muchas de ellas, responder a un ciberincidente no es tarea sencilla: requiere la orquestación de múltiples actores para detectar, con- tener y erradicar la amenaza con el objetivo de restaurar los sistemas a un modo seguro. Tener visibilidad no es suficiente sin un adecuado método de monitoreo. Esto implica no sólo poder ver lo que está sucediendo, sino también tener identificados cada uno de los ciberac- tivos, su función y características. Y, principalmente, también desarrollar los playbooks necesarios para saber cómo proceder exactamente ante cada even- to. Esto permitirá responder de forma eficiente y no reactiva. Ahora bien, elegir qué monitorear es una tarea de vital importancia para no gastar tiempo y esfuerzos en ciberactivos o escenarios no prioritarios. El estándar IEC 62443, de ciberseguridad industrial en la empresa, establece como métrica para esta selección los resultados de los estudios de riesgos cibernéticos con- templados en la fase de evaluación de su ciclo de vida. Esto permitirá identificar cuáles son aquellos eventos o ciberacti- vos que están asociados a los niveles de impacto más altos y, en función de ello, enfocar nuestros esfuerzos de monito- reo en la dirección correcta. Simulacros periódicos Desarrollar las capacidades de visualiza- ción y monitoreo adecuadas resulta de suma importancia. Pero esto implica no sólo saber frente a qué eventos actuar y cómo, sino también el poder realizarlo de manera organizada y eficiente. Por ello, es necesario realizar simula- cros de ciberincidentes periódicamente para cada uno de los eventos monito- reados con el fin de asegurar la correc- ta articulación de los diferentes actores que deben intervenir. Estos simulacros servirán para poner a prueba los equipos técnicos, comités de crisis y áreas de co- municación institucional con el propósito de asegurar que los servicios esenciales no se vean afectados o bien sean recu- perados en el menor tiempo posible. Es necesario realizar simulacros de ciberincidentes periódicamente para cada uno de los eventos monitoreados