En el panel denominado “Desafíos de la ciberseguridad y la ciberdefensa” de Segurinfo Argentina 2016, donde participaron Diego Rubén Arias y Julio Ardita, se puso de manifiesto el aumento constante de actividades delictivas en el ciberespacio y la necesidad de coordinar esfuerzos entre el sector público y el privado para hacerles frente.
Desde la perspectiva de las instituciones de gobierno que se encargan de ofrecer servicios básicos para los ciudadanos, se hizo hincapié en la necesidad de preservar los activos industriales y la infraestructura crítica, así como prevenir actividades que puedan afectar el desarrollo normal de la actividad estratégica de las naciones.
Migrar las prácticas de seguridad en el ámbito privado al ámbito público
Los disertantes destacaron que las actividades de cibercriminales se vinculan con mayor frecuencia a los sistemas e información de infraestructura crítica de los países, por lo que las prácticas de seguridad de las empresas privadas comienzan (o deberían comenzar) a ser aplicadas en las empresas públicas o de gobiernos.
Los profesionales de seguridad del sector público deben revisar las operaciones para minimizar la exposición a amenazas o ataques
Es evidente que cada país tiene un nivel distinto en cuanto al desarrollo de la protección de los activos que, de verse dañados, podrían afectar a la población de manera directa: por ejemplo, ataques a los sistemas que controlan el suministro de electricidad como el caso de BlackEnergy, o el de agua, combustibles, transporte u otros elementos de la infraestructura crítica. Sin embargo, existen similitudes entre las condiciones actuales y los desafíos en materia de seguridad y protección, tanto de la información como de los mismos sistemas.
Por lo tanto, una tarea para los profesionales de seguridad del sector público consiste en revisar y mejorar las operaciones con el propósito de minimizar la exposición a algún tipo de amenazas informática o ataque cibernético. Por ello, destacó la importancia de proteger los Sistemas de Control Industrial (ICS por sus siglas en inglés).
De la misma forma, se mencionó que los ataques cibernéticos podrían ser similares, pero existen marcadas características que permiten diferenciar el sector público del privado, así como las consecuencias que podrían representar un ataque o amenazas informáticas para uno u otro sector.
Por ejemplo, para los sistemas de las empresas públicas de misión crítica, la disponibilidad suele ser la característica más importante a proteger, tanto de la información como de los sistemas; en esto se diferencia de otros sectores, donde quizá la confidencialidad puede resultar de mayor importancia.
Para los sistemas de empresas públicas de misión crítica, la disponibilidad es lo más importante a proteger
Otra característica importante es el hecho de que suelen operar con software que en ocasiones ya no cuenta con soporte de sus desarrolladores, y sistemas que han sido diseñados de manera específica para cumplir operaciones.
Por eso, por un lado, no pueden recibir actualizaciones ni parches de seguridad debido a que alguna modificación podría afectar su operación; y por el otro, porque deben operar con alta disponibilidad.
Los verdaderos desafíos que se presentan
Los panelistas destacan que en comparación con otros países, en Argentina todavía falta mucho camino por recorrer. En una situación ideal se busca operar bajo regulaciones, pero mientras se llega a ese estado, es posible comenzar a utilizar estándares que pueden orientar y guiar sobre la manera de proteger las redes y sistemas industriales.
Por ello, citan estándares que han sido desarrollados de forma específica para estos ambientes, por ejemplo, la Guía para la seguridad para Sistemas de Control Industrial (ICS) de NIST o el estándar ISA99 para los sistemas de control y automatización industrial.
La industria enfrenta importantes desafíos relacionados con comenzar a gestionar los riesgos de seguridad, iniciar campañas de concientización del nivel ejecutivo de la industria, comenzar a incorporar los temas de seguridad y utilizar un lenguaje en común para transmitir la problemática y al mismo tiempo, brindar soluciones. El desafío crece al pensar en el desarrollo y la aplicación de regulaciones, así como las limitantes de presupuesto.
En este sentido, las acciones a considerar son:
- Comenzar a adoptar estándares de seguridad para este sector
- Definir políticas de seguridad
- Implementar metodologías
- Comenzar a concientizar sobre los riesgos de seguridad, al tiempo que se capacita al personal
- Monitorear desde el punto de vista de la seguridad y crear inteligencia que permita compartir conocimiento y experiencias
Por ello, aunque resulta un desafío importante, los panelistas concluyen que se trata de un proceso en el cual resulta relevante el nivel de madurez de las empresas, utilizar estándares desarrollados especialmente para este tema y posteriormente contar con regulaciones en la materia.