La vital salvaguarda de las instalaciones esenciales
Nuevas leyes marcan las pautas para preparar, proteger y responder ante el alza de los ciberataques o desastres naturales que afectan a las obras
El panorama socioecon¨®mico y geopol¨ªtico ha presenciado un dr¨¢stico aumento en los riesgos de seguridad a escala mundial: desde el cambio clim¨¢tico hasta las pandemias o la creciente amenaza de las ciberguerras. En un mundo interconectado y dependiente de la tecnolog¨ªa, este contexto adquiere una dimensi¨®n crucial cuando se trata de salvaguardar las infraestructuras cr¨ªticas que sustentan el funcionamiento de un Estado.
Empresas de sectores esenciales ¡ªcomo pueden ser los de suministro el¨¦ctrico, agua, gas¡ª se ven obligadas a garantizar su funcionamiento en todo momento ante estos peligros. La ciberseguridad se convierte as¨ª en una prioridad ineludible, no solo para preservar la integridad de las operaciones sino tambi¨¦n para conservar la confianza p¨²blica.
La respuesta por parte de Europa se refleja en las normativas CER y NIS2, adoptadas en diciembre de 2022. Que suponen, como se?ala Jos¨¦ Luis P¨¦rez Pajuelo, director del Centro Nacional de Protecci¨®n de Infraestructuras Cr¨ªticas, ¡°el paso m¨¢s reciente de un largo recorrido iniciado en 2004, cuando la Comisi¨®n Europea decidi¨® priorizar la protecci¨®n de infraestructuras cr¨ªticas de los Estados miembros. Un concepto que ha evolucionado hacia la resiliencia, esto es, que las entidades cr¨ªticas tengan la capacidad de resistir, absorber, adaptarse y recuperarse ante los incidentes; y hacia promover una respuesta colectiva frente a los mismos, lo que est¨¢ relacionado con el objetivo de garantizar un nivel com¨²n en ciberseguridad dentro de toda la Uni¨®n Europea¡±.
Frente a esto, como apunta Marcos G¨®mez, director de Seguridad de la Informaci¨®n del Instituto Nacional de Ciberseguridad (INCIBE) y subdirector de INCIBE CERT, ¡°la digitalizaci¨®n ha hecho crecer el n¨²mero de empresas y administraciones conectadas, lo que requiere de un enfoque en ciberseguridad que abarque toda la cadena de suministro¡±.
Verificaci¨®n de identidad
Dentro de esas aspiraciones por fortalecer la ciberresiliencia de las instalaciones cr¨ªticas, la identificaci¨®n y la autenticaci¨®n destacan como elementos clave en su protecci¨®n. No en vano, como se?ala Pajuelo, ¡°garantizar que solo las personas autorizadas puedan acceder a ¨¢reas sensibles o sistemas esenciales se convierte en elemento troncal de cualquier sistema de seguridad y, por supuesto, de aquellos que tratan de evitar amenazas, incluso de car¨¢cter interno¡±.
Y a¨²n lo son m¨¢s teniendo en cuenta la propagaci¨®n del teletrabajo entre las organizaciones; e incluso ¡°dispositivos como los smartphones y los relojes inteligentes desempe?an un papel cada vez m¨¢s importante en el control de accesos¡±, explica Jos¨¦ Mar¨ªa Rico, jefe del departamento de Seguridad Corporativa de Redeia, para quien estamos ¡°en un contexto en plena evoluci¨®n donde la seguridad y la accesibilidad se entrelazan de manera cada vez m¨¢s din¨¢mica¡±. Un tr¨¢nsito que tiene doble sentido, y es que, como apunta Rico, ¡°la tecnolog¨ªa brinda novedosas herramientas para prevenir el fraude y la corrupci¨®n, pero tambi¨¦n proporciona nuevas formas de delinquir y alcanzar mayores niveles en la sofisticaci¨®n de los ataques cibern¨¦ticos¡±.
As¨ª, entre los instrumentos que deben formar parte de una estrategia integral de seguridad de la identidad, este experto incluye la protecci¨®n de accesos l¨®gicos y f¨ªsicos mediante monitorizaci¨®n, el uso de VPN, la aplicaci¨®n de pol¨ªticas que garanticen la seguridad de las contrase?as, as¨ª como sistemas de autenticaci¨®n de doble o triple factor para la vigilancia del correo electr¨®nico. Por otro lado, en l¨ªnea con la resiliencia, enfatiza la importancia de establecer unos procedimientos para afrontar la recuperaci¨®n de las operaciones, detallados en planes de continuidad de negocio, as¨ª como pol¨ªticas efectivas para la protecci¨®n contra vulnerabilidades.
Sin olvidar el cumplimiento de las obligaciones establecidas en las distintas regulaciones y de los est¨¢ndares de seguridad y de calidad espec¨ªficos, incluyendo asimismo las pol¨ªticas de privacidad. De cara al futuro, las miradas est¨¢n puestas ¡°en el uso de IA, de nuevo, tanto en las estrategias de ataque como de defensa, drones y las aplicaciones en la nube, ante una preocupante falta de profesionales en seguridad a escala mundial¡±, apunta Rico.
En la pr¨¢ctica, las herramientas disponibles en la actualidad cumplen sobradamente con las necesidades de cualquier sistema de verificaci¨®n; pero, como afirma David Corral, subdirector de Arquitectura de Ciberseguridad de Repsol, existe el problema de que ¡°en instalaciones cr¨ªticas es frecuente encontrar sistemas basados en tecnolog¨ªas antiguas, donde es dif¨ªcil implementar todas las medidas de seguridad que se utilizar¨ªan en entornos IT tradicionales¡±. Un ejemplo manifiesto lo encontramos en Estados Unidos, donde hasta 2019 los sistemas inform¨¢ticos de sus arsenales nucleares funcionaban con disquetes, una tecnolog¨ªa de los a?os setenta.
Espa?a, referente en resiliencia digital
En España, el fruto de la primera directiva establecida por la UE en esta materia fue la conocida como Ley PIC (Ley 8 de 2011), que estableció la base del Sistema Nacional de Protección de Infraestructuras Críticas. Un esfuerzo que ha seguido desarrollándose con posteriores avances y que ha posicionado al país “no ya en el vagón de cabeza, sino me atrevería a decir que liderando a Europa”, asegura Francisco Javier García Carmona, consultor y anteriormente responsable de seguridad de la información en empresas del sector energético como Iberdrola. García Carmona destaca como uno de los factores del éxito “la sólida convicción compartida por todas las partes involucradas”.
Opinión que comparte José María Rico, de Redeia, para quien “España es un referente para muchos otros países gracias a nuestra experiencia en la lucha antiterrorista. Pero no podemos relajarnos, ya que el contexto geopolítico actual, especialmente con las guerras Rusia-Ucrania y la de Oriente Próximo, ponen a Occidente en general y a Europa en particular en el punto de mira de potenciales ataques; sin obviar el crecimiento exponencial del cibercrimen dirigido a empresas, incluidas las pymes”.