Empeora el conocimiento de los planes gubernamentales de infraestructuras críticas
Las infraestructuras críticas son aquellas cuya destrucción o interrupción provoca un daño muy grande en la sociedad, como pueden ser los servicios de agua, luz, y un largo etcétera. Según el estudio de 2011 sobre Protección de Infraestructuras Críticas (2011 Critical Infrastructure Protection (CIP) Survey), elaborado por Symantec, este año ha disminuido el conocimiento de los proveedores de este sector sobre los programas gubernamentales en estas áreas, así como su participación en los mismos. En concreto, en comparación con 2010, las compañías encuestadas este año muestran un Índice de Participación CIP del 82% en los programas de protección gubernamentales, un descenso de 18 puntos respecto al año pasado. Asimismo, el 36% de los encuestados tenían algo de conocimiento o un conocimiento pleno de los planes sobre infraestructuras críticas gubernamentales de sus países, en comparación con el 55% del año anterior. En 2011, el 37% de las compañías participaron completamente o en gran medida en estas iniciativas, en comparación con el 56% en 2010.
Este aspecto es preocupante, según Miguel Suárez, presales security leader de Symantec, ya que los proveedores de infraestructuras críticas provienen de sectores de tal relevancia que si sus redes informáticas fueran atacadas con éxito e inhabilitadas podría ocurrir como resultado una amenaza real a la seguridad nacional.
Suárez añade que estas conclusiones son “alarmantes”, sobre todo si echamos la vista atrás y recordamos los recientes ataques realizados por Nitro y Duqu, “que han tenido como objetivo los proveedores de infraestructuras críticas”, afirma. Suárez está convencido de que los ataques dirigidos a objetivos específicos contra proveedores de infraestructuras críticas como, por ejemplo, los realizados por Stuxnet, Nitro y Duqu, van a seguir llevándose a cabo. “Las empresas y los gobiernos de todo el mundo deberían poner en marcha unas acciones más agresivas para promover y coordinar la protección de las redes informáticas de sectores críticos. Es probable que estos últimos ataques sean sólo el principio de unos ataques más centrados en objetivos específicos dirigidos a infraestructuras críticas”.
Organizaciones menos preparadas
El estudio pone también de manifiesto que las organizaciones mundiales afirman estar menos preparadas. La preparación general a nivel mundial cayó una media de ocho puntos (del 60% al 63% en 2011, en comparación con en 68% al 70% en 2010).
¿Qué hacer entonces? Para garantizar la resistencia contra ataques informáticos a las infraestructuras críticas Symantec sugiere desarrollar y hacer cumplir las políticas de TI y automatizar los procesos de cumplimientos de políticas y normativas establecidas; proteger proactivamente los datos adoptando un enfoque centrado en la información, para salvaguardar así la información y las interacciones; gestionar los sistemas con la implementación de entornos operativos seguros, distribuyendo y haciendo cumplir los niveles de parches, automatizando los procesos para facilitar la eficiencia y monitorizando y elaborando informes sobre el estado de los sistemas; proteger la infraestructura garantizando la seguridad de los endpoints, de la mensajería y de los entornos Web, así como defendiendo los servidores internos críticos; garantizar una disponibilidad permanente y desarrollar una estrategia para gestionar la información que incluya planes y políticas para retención de la información.
De cara a los gobiernos, Symantec propone que estos sigan proporcionando recursos para establecer programas gubernamentales para infraestructuras críticas pero insiste en que éstos se alíen con las asociaciones industriales y con los grupos empresariales privados para difundir información para incrementar el conocimiento de las organizaciones y de los planes gubernamentales para CIP, centrándose específicamente en el funcionamiento de una respuesta en caso de sufrir un ataque informático a escala nacional, en el papel del gobierno en este caso, en los contactos determinados para los diferentes sectores a nivel regional y nacional y cómo podrían intercambiar información los gobiernos y las empresas privadas en caso de emergencia.
Y es que, según los datos del estudio de Symantec, los gobiernos deberían destacar que la seguridad no es suficiente para garantizar la resistencia en vista de los ataques informáticos actuales. Así, estos deberían enfatizar a los proveedores de infraestructuras críticas y a las empresas que la información se encuentra almacenada, en copias de seguridad, organizada y priorizada, y que cuentan con los procesos apropiados sobre identidad y control de acceso implementados.
Respecto a España en concreto, desde Symantec echan de menos una relación más activa por parte del Gobierno y, en concreto, de Inteco (Instituto Nacional de Tecnologías de la Comunicación) con los principales jugadores internacionales de seguridad de la información.
El estudio de Symantec sobre Protección de Infraestructuras Críticas se elaboró entre agosto y septiembre de 2011 tras encuestar a directivos, profesionales de TI y pymes y grandes empresas de 14 sectores de infraestructuras críticas.