La vital salvaguarda de las instalaciones esenciales

El panorama socioecon¨®mico y geopol¨ªtico ha presenciado un dr¨¢stico aumento en los riesgos de seguridad a escala mundial: desde el cambio clim¨¢tico hasta las pandemias o la creciente amenaza de las ciberguerras. En un mundo interconectado y dependiente de la tecnolog¨ªa, este contexto adquiere una dimensi¨®n crucial cuando se trata de salvaguardar las infraestructuras cr¨ªticas que sustentan el funcionamiento de un Estado.

Empresas de sectores esenc...

El panorama socioecon¨®mico y geopol¨ªtico ha presenciado un dr¨¢stico aumento en los riesgos de seguridad a escala mundial: desde el cambio clim¨¢tico hasta las pandemias o la creciente amenaza de las ciberguerras. En un mundo interconectado y dependiente de la tecnolog¨ªa, este contexto adquiere una dimensi¨®n crucial cuando se trata de salvaguardar las infraestructuras cr¨ªticas que sustentan el funcionamiento de un Estado.

Empresas de sectores esenciales ¡ªcomo pueden ser los de suministro el¨¦ctrico, agua, gas¡ª se ven obligadas a garantizar su funcionamiento en todo momento ante estos peligros. La ciberseguridad se convierte as¨ª en una prioridad ineludible, no solo para preservar la integridad de las operaciones sino tambi¨¦n para conservar la confianza p¨²blica.

La respuesta por parte de Europa se refleja en las normativas CER y NIS2, adoptadas en diciembre de 2022. Que suponen, como se?ala Jos¨¦ Luis P¨¦rez Pajuelo, director del Centro Nacional de Protecci¨®n de Infraestructuras Cr¨ªticas, ¡°el paso m¨¢s reciente de un largo recorrido iniciado en 2004, cuando la Comisi¨®n Europea decidi¨® priorizar la protecci¨®n de infraestructuras cr¨ªticas de los Estados miembros. Un concepto que ha evolucionado hacia la resiliencia, esto es, que las entidades cr¨ªticas tengan la capacidad de resistir, absorber, adaptarse y recuperarse ante los incidentes; y hacia promover una respuesta colectiva frente a los mismos, lo que est¨¢ relacionado con el objetivo de garantizar un nivel com¨²n en ciberseguridad dentro de toda la Uni¨®n Europea¡±.

Frente a esto, como apunta Marcos G¨®mez, director de Seguridad de la Informaci¨®n del Instituto Nacional de Ciberseguridad (INCIBE) y subdirector de INCIBE CERT, ¡°la digitalizaci¨®n ha hecho crecer el n¨²mero de empresas y administraciones conectadas, lo que requiere de un enfoque en ciberseguridad que abarque toda la cadena de suministro¡±.

Verificaci¨®n de identidad

Dentro de esas aspiraciones por fortalecer la ciberresiliencia de las instalaciones cr¨ªticas, la identificaci¨®n y la autenticaci¨®n destacan como elementos clave en su protecci¨®n. No en vano, como se?ala Pajuelo, ¡°garantizar que solo las personas autorizadas puedan acceder a ¨¢reas sensibles o sistemas esenciales se convierte en elemento troncal de cualquier sistema de seguridad y, por supuesto, de aquellos que tratan de evitar amenazas, incluso de car¨¢cter interno¡±.

Y a¨²n lo son m¨¢s teniendo en cuenta la propagaci¨®n del teletrabajo entre las organizaciones; e incluso ¡°dispositivos como los smartphones y los relojes inteligentes desempe?an un papel cada vez m¨¢s importante en el control de accesos¡±, explica Jos¨¦ Mar¨ªa Rico, jefe del departamento de Seguridad Corporativa de Redeia, para quien estamos ¡°en un contexto en plena evoluci¨®n donde la seguridad y la accesibilidad se entrelazan de manera cada vez m¨¢s din¨¢mica¡±. Un tr¨¢nsito que tiene doble sentido, y es que, como apunta Rico, ¡°la tecnolog¨ªa brinda novedosas herramientas para prevenir el fraude y la corrupci¨®n, pero tambi¨¦n proporciona nuevas formas de delinquir y alcanzar mayores niveles en la sofisticaci¨®n de los ataques cibern¨¦ticos¡±.

As¨ª, entre los instrumentos que deben formar parte de una estrategia integral de seguridad de la identidad, este experto incluye la protecci¨®n de accesos l¨®gicos y f¨ªsicos mediante monitorizaci¨®n, el uso de VPN, la aplicaci¨®n de pol¨ªticas que garanticen la seguridad de las contrase?as, as¨ª como sistemas de autenticaci¨®n de doble o triple factor para la vigilancia del correo electr¨®nico. Por otro lado, en l¨ªnea con la resiliencia, enfatiza la importancia de establecer unos procedimientos para afrontar la recuperaci¨®n de las operaciones, detallados en planes de continuidad de negocio, as¨ª como pol¨ªticas efectivas para la protecci¨®n contra vulnerabilidades.

Sin olvidar el cumplimiento de las obligaciones establecidas en las distintas regulaciones y de los est¨¢ndares de seguridad y de calidad espec¨ªficos, incluyendo asimismo las pol¨ªticas de privacidad. De cara al futuro, las miradas est¨¢n puestas ¡°en el uso de IA, de nuevo, tanto en las estrategias de ataque como de defensa, drones y las aplicaciones en la nube, ante una preocupante falta de profesionales en seguridad a escala mundial¡±, apunta Rico.

En la pr¨¢ctica, las herramientas disponibles en la actualidad cumplen sobradamente con las necesidades de cualquier sistema de verificaci¨®n; pero, como afirma David Corral, subdirector de Arquitectura de Ciberseguridad de Repsol, existe el problema de que ¡°en instalaciones cr¨ªticas es frecuente encontrar sistemas basados en tecnolog¨ªas antiguas, donde es dif¨ªcil implementar todas las medidas de seguridad que se utilizar¨ªan en entornos IT tradicionales¡±. Un ejemplo manifiesto lo encontramos en Estados Unidos, donde hasta 2019 los sistemas inform¨¢ticos de sus arsenales nucleares funcionaban con disquetes, una tecnolog¨ªa de los a?os setenta.