Protección de las infraestructuras críticas

Contexto

business-discussions-2males-laptop-2

Las medidas de protección de las infraestructuras críticas (PIC) deben salvaguardar los sistemas, redes y activos interdependientes que forman la espina dorsal de los servicios esenciales para la sociedad. Carreteras, puentes, aeropuertos, instalaciones de comunicación y centrales eléctricas son ejemplos de infraestructuras físicas críticas. Las infraestructuras de sistemas de información hacen funcionar a las otras y están formadas por ordenadores y redes, especialmente sistemas SCADA, que operan de forma interconectada para poder intercambiar información y realizar análisis de funciones críticas. Los sistemas bancarios, la generación y distribución de energía eléctrica, los servicios médicos, los servicios de emergencia, y el transporte aéreo y terrestre son ejemplos de este tipo de infraestructuras.

Dado que el sector privado es el propietario y opera la mayor parte de las infraestructuras críticas de información de la mayoría de los países, se necesita un conjunto de soluciones dinámicas que tengan en cuenta que las amenazas nuevas, y la tecnología necesaria para detenerlas, suelen cambiar a mayor velocidad que los procesos regulatorios. Los rápidos y continuos cambios inherentes a Internet, así como su alcance global, exigen soluciones flexibles que puedan adaptarse rápidamente a circunstancias nuevas y cambiantes.

Por qué es importante para McAfee

La destrucción o los daños de las infraestructuras físicas y/o que dependen de sistemas de información a causa de desastres naturales, ciberataques u otros medios podrían ser fatales para la población, las empresas y los países. La protección de los sistemas de información y redes críticos es un asunto mundial. La infraestructura de sistemas de información de hoy día depende fundamentalmente de la conectividad y la interoperabilidad internacionales. Por tanto es fundamental que, para proteger las infraestructuras de sistemas información críticas, se adopten estrategias y soluciones eficaces que también sean internacionales.

En McAfee nos dedicamos a hacer que el mundo conectado sea más seguro. Estamos convencidos de que no hay persona, producto u organización que pueda luchar sola contra los ciberadversarios, en particular las organizaciones con infraestructuras críticas que son objeto de ataques diarios lanzados por países y bandas de delincuentes organizados. Hasta el momento, McAfee ha desarrollado soluciones de negocio robustas para sectores con infraestructuras críticas como la atención sanitaria, el sector público y el financiero. También estamos avanzando en otros sectores críticos como el de las comunicaciones y el energético. Para servir a los intereses de nuestros clientes debemos participar de forma activa e influir en los ámbitos de las políticas públicas en los que nuestros clientes y posibles clientes desarrollan sus actividades, como parte de una estrategia en la que todos ganamos.

Recomendaciones de la política

Cooperación voluntaria

Los Estados tienen un interés legítimo en proteger las infraestructuras críticas, en su mayor parte propiedad del sector privado. Por ello, McAfee opina que este debería jugar un papel dominante en su protección. Los Estados deberían permitir que el sector privado siga buscando de forma voluntaria formas innovadoras de protección de las infraestructuras críticas. Las regulaciones y exigencias son contraproducentes para el objetivo de proteger las infraestructuras críticas.

  • Si las regulaciones obligaran a los fabricantes a protegernos de las amenazas de hoy día, las de mañana podrían deslizarse entre las grietas.
  • Si los Estados impusieran exigencias tecnológicas, el resultado sería probablemente que solo se cumplieran las normativas en lugar de contar con una verdadera seguridad. Las regulaciones de un ámbito como la ciberseguridad son complejas y las consecuencias inesperadas podrían superar sus ventajas.

Actuaciones como la asociación voluntaria de los sectores público y privado que dio lugar al marco NIST son más productivas que las regulaciones estrictas. El NIST ha tenido éxito porque los responsables de la elaboración de políticas y el sector privado definieron una necesidad real: mejorar la seguridad de las infraestructuras críticas. El proceso es abierto, NIST escucha al sector privado y crea lazos de confianza con partes interesadas clave. El resultado es un marco flexible basado en la colaboración voluntaria, no en rígidas regulaciones. La colaboración permite que soluciones a procesos industriales integradas y validadas se desplieguen con mayor rapidez sin sacrificar la seguridad o la fiabilidad. Los responsables de la elaboración de políticas no deben perder de vista el marco NIST como una forma positiva para lograr los resultados deseados.

 

Incentivar la incorporación de la seguridad desde el principio

Los responsables de la elaboración de políticas deben incentivar la incorporación de la seguridad desde el principio para las nuevas instalaciones de las infraestructuras críticas. Introducir la seguridad al comienzo del proceso de desarrollo, integrándola en la infraestructura desde abajo, es una forma proactiva de hacer las cosas preferible con mucho a aplicar posteriormente parches, actualizaciones y modificaciones de los sistemas por seguridad.

  • Agregar características de seguridad a sistemas, redes o dispositivos que están en funcionamiento tiene debilidades inherentes y no es eficiente. Una muestra de ello es tener que desconectar los equipos mientras se actualizan, un requisito imposible de cumplir para la red eléctrica.
  • Los fabricantes deberían tener en cuenta la seguridad en los primeros pasos del desarrollo de cualquier dispositivo conectable a redes e incluir mecanismos para actualizar y aplicar parches a los productos de forma segura después de haberlos puesto en producción.

 

Incentivar más inversiones en ciberseguridad

Como organización de primera línea experta en ciberseguridad sabemos que se presiona a nuestros clientes para que hagan todas las inversiones necesarias con el objetivo de que sus organizaciones funcionen bien. Las inversiones en productos nuevos, ventas o marketing suelen tener prioridad sobre las inversiones en ciberseguridad. Dado el interés nacional que existe en proteger los sistemas de las infraestructuras críticas propiedad del sector privado y operadas por este, es razonable que los responsables de la elaboración de políticas pongan en marcha incentivos como los que apuntamos a continuación para ayudar a esas organizaciones a mejorar su ciberseguridad:

  • Incentivos fiscales : estimularían la inversión de las empresas en ciberdefensa. Podrían ser planes de depreciación acelerada o créditos fiscales por adoptar tecnologías de seguridad de eficacia demostrada.
  • Reformas de los seguros : la Administración podría mejorar el mercado de los seguros si le proporcionara un mecanismo de protección. Para ello, el Congreso de Estados Unidos debería evaluar la incorporación de los ciberataques a la ley Terrorism Reinsurance Program Reauthorization Act (TRIPRA).
  • Incentivos para resolver el problema del parasitismo en la información compartida : debemos reconocer la falta de incentivo que el problema del "parasitismo" de la información sobre amenazas supone para que los sectores público y privado compartan información. Todas las organizaciones se benefician de la información sobre amenazas, pero no obtienen ningún valor directo si la proporcionan, a no ser que se pongan en marcha la estructura organizativa y los incentivos adecuados para terminar con el problema del parasitismo.
  • Desclasificación de más información sobre amenazas: los Estados deben mejorar la calidad y la cantidad de información sobre amenazas que comparten con el sector privado para abordar la cuestión del parasitismo. Por tanto, deberían desclasificar más categorías de información sobre amenazas y compartirlas de forma activa con el sector privado. Los Estados deberían dar más acreditaciones de seguridad a representantes de empresas que cumplan los requisitos necesarios. De esta forma podrían acceder a tipos de información sobre amenazas más confidenciales y posiblemente más valiosos.