Categories: Empresas

Así se deben proteger las infraestructuras críticas

Actualmente, nadie duda de la necesidad de proteger adecuadamente las infraestructuras críticas, base necesaria para el funcionamiento de diferentes sectores de una nación y, por tanto, para la propia seguridad nacional. Y esa protección debe realizarse de forma integral, cubriendo todas las posibles vulnerabilidades de las infraestructuras críticas y garantizando el máximo nivel de seguridad desde cualquier punto de vista.

Obviamente, garantizar unos niveles de protección adecuados no siempre es fácil. En primer lugar, en la protección de infraestructuras críticas participan muchos actores con a priori poca –o ninguna- relación, tanto del ámbito público como del privado (desde el propio Gobierno de la Nación hasta el operador de la infraestructura). Un primer reto a superar es, por tanto, garantizar una coordinación, una comunicación y una operación correctas entre todos estos agentes, estableciendo protocolos ágiles y seguros que permitan una adecuada protección de cada infraestructura. Es especialmente relevante conseguir la absoluta implicación de los operadores de infraestructuras críticas, en su mayor parte pertenecientes al sector privado y cuyos intereses de negocio no siempre estarán alineados con los requisitos de seguridad necesarios para la protección.

El segundo gran reto que presenta la protección de infraestructuras críticas es quizás el adjetivo “integral” que ahora tanto nos gusta utilizar –y con motivo- cuando hablamos de seguridad. Todo el mundo entiende como algo habitual las salvaguardas habituales ante problemas de seguridad en el ámbito físico, tanto intencionados como accidentales, y así a nadie se le pasa por la cabeza que una central nuclear o una planta de tratamiento de aguas no disponga de un servicio de vigilancia 24×7, un control de suministros básicos o un sistema de videovigilancia. Esto, que como decimos parece obvio en el mundo físico, no lo es tanto en el mundo virtual y por tanto una de las asignaturas pendientes en protección de infraestructuras críticas es la seguridad lógica de las mismas.

Actualmente, muchos sistemas informáticos que operan estas infraestructuras, incluyendo demasiados sistemas de control (los famosos SCADA) están expuestos completamente a Internet, con lo que eso implica: puede resultar más fácil un ciberataque contra la infraestructura que un ataque tradicional contra la misma. Y si a esto añadimos que los entornos de control industrial no suelen estar diseñados con la seguridad como requisito básico, tenemos una situación bastante grave: en ocasiones, un atacante puede llegar a alterar el funcionamiento de la infraestructura causando un impacto enorme, desde cualquier punto del mundo y sin correr ningún tipo de riesgo.

El primero de estos retos debe superarse potenciando enormemente la colaboración y el intercambio fluido de información entre los diferentes actores participantes en la protección de infraestructuras críticas, a todos los niveles y con la especial participación del sector privado. Esta comunicación, que como hemos indicado debe ser ágil y segura, debe venir liderada al más alto nivel estatal y contar con el apoyo –reflejado en hechos, no sólo en palabras- de todos los niveles de trabajo, desde el más estratégico al más operativo.

Para superar el segundo de los retos a los que hacíamos referencia –algo que tenemos que hacer en breve- debemos aplicar, a muy corto plazo, medidas que incrementen la seguridad tecnológica de los sistemas de control industrial, en dos grandes líneas: control de acceso y robustez de aplicaciones. En primer lugar, y tal y como se hizo con los entornos de propósito general a mediados de los años 90, debemos restringir convenientemente el acceso a estos sistemas mediante cortafuegos, listas de control de acceso o equivalentes, de forma que no sea posible conectar a un entorno de control de una infraestructura crítica desde cualquier parte del mundo sin más que un usuario y una clave –en muchos casos por defecto- o peor, sin ni siquiera esta autenticación básica.

Además, debemos exigir a los diferentes fabricantes entornos seguros, diseñados, desarrollados y explotados con la seguridad como requisito básico, que no introduzcan debilidades en una infraestructura (usuarios y contraseñas por defecto, tráfico no cifrado, vulnerabilidades lógicas…) y que garanticen el equilibrio adecuado entre funcionalidad y seguridad.

Al igual que sucedió con esos entornos de propósito general –a los que hacíamos referencia- hace un par de décadas, nos empezamos a encontrar ahora mismo con sistemas relativamente inseguros y completamente expuestos a Internet; en pocas palabras, una bomba de relojería que puede explotar en cualquier momento. Y al igual que sucedió entonces, probablemente nos encontremos a corto plazo con problemas de seguridad muy relevantes que motivarán que fabricantes y operadores aceleren el paso en su camino hacia la seguridad, aunque sólo sea por imagen o por posibles sanciones económicas. Pero hay una diferencia muy importante con lo que sucedió a mediados de los 90, y es que los sistemas de control de los que estamos hablando pueden, en muchos casos, causar impacto grave en las personas… ojalá nos podamos proteger a tiempo. En ello estamos (creo).

Firma invitada

Nombres destacados del sector TIC opinan sobre las principales tendencias de la industria.

Recent Posts

Tecnología inclusiva para impulsar capacidades diferentes

En España más de 260.000 personas sufren algún tipo de discapacidad intelectual. Tecnologías como la…

58 mins ago

Salesforce lanza Agentforce 2.0: la plataforma de trabajo digital impulsada por agentes de IA autónomos

Salesforce presenta Agentforce 2.0, la plataforma digital que transforma el trabajo empresarial con agentes de…

15 horas ago

@aslan prepara un plan de divulgación sobre tendencias tecnológicas para 2025

Estas tendencias giran en torno a la resiliencia de los datos, la ciberseguridad, el puesto…

15 horas ago

Linda, de Bewe software, una asistente de IA para optimizar pymes en LATAM y España

Linda, el innovador asistente de IA desarrollado por Bewe Software, ha sido galardonado como Caso…

16 horas ago

Sandisk renueva su identidad corporativa

Bajo el lema Mindset of Motion, defiende que las personas puedan experimentar el potencial de…

17 horas ago

El próximo smartphone de OnePlus ya tiene fecha de salida: el 7 de enero

Será el primer terminal OnePlus con doble certificación IP68 e IP69.

18 horas ago