En el punto de mira: las infraestructuras críticas - Belt Ibérica SA

Introducción y contexto del estudio
En un mundo cada vez más interconectado, las cibervulnerabilidades de
infraestructuras críticas plantean nuevos retos tanto a gobiernos como a
propietarios y operadores de todos los sectores y en el mundo entero.
Con la situación económica mundial aún frágil tras
la crisis financiera, la integridad y la disponibilidad
de las industrias nacionales clave pueden pasar a un
segundo plano en las prioridades de los gobiernos;
sin embargo, siguen siendo determinantes para la
vulnerabilidad estratégica.
Seiscientos responsables de TI y seguridad procedentes
de empresas de administración de infraestructuras
críticas de siete sectores en 14 países de todo el
mundo han contestado de manera anónima a un
completo cuestionario con preguntas detalladas
sobre sus hábitos, actitudes y políticas de seguridad;
el impacto de las normativas, su relación con la
Administración, las medidas de seguridad concretas
que emplean en sus redes y los tipos de ataques
que sufren.
Los propietarios y operadores de estas infraestructuras
críticas afirman que sus redes de TI sufren continuos
ciberataques, a menudo procedentes de adversarios
de gran envergadura. Las consecuencias de estos
ataques suelen ser graves, su coste es alto y sus
efectos, generalizados.
Aunque, por lo general, los directivos se muestran
satisfechos con los recursos destinados a la
seguridad, los recortes aplicados como resultado de
la recesión son amplios y, en ocasiones, significativos.
Además, hay dudas sobre si la preparación de las
infraestructuras críticas es suficiente para responder a
los ataques a gran escala.
Mediante la recopilación de detalles sobre las medidas
de seguridad concretas adoptadas por las empresas,
hemos podido realizar una comparación objetiva de la
seguridad en los distintos sectores de infraestructuras
críticas y entre distintos países. También se plantearon
a los directivos con responsabilidades en los sistemas
de control operativos o industriales preguntas
especiales sobre las medidas de seguridad empleadas
en dichos sistemas.
Según los resultados de la encuesta, China muestra,
con diferencia, las mayores tasas de adopción de
medidas de seguridad, incluidas las técnicas de cifrado
y autenticación robusta de usuarios. Si se comparan
los distintos sectores, el sector del agua/saneamiento
está a la cola en adopción de medidas de seguridad.
Divididos por sector y por país, los datos de la
encuesta revelan variaciones significativas en cuanto a
percepción e informes de normativas y otras iniciativas
a nivel estatal. En India, los directivos indicaron el
mayor nivel de regulación, seguidos de cerca por
China y Alemania. En el otro extremo, los directivos
de Estados Unidos mostraron los niveles más bajos.
Las opiniones sobre el impacto y la efectividad de las
normas eran muy variadas, aunque, en general, la
mayoría coincidían en que mejoran la seguridad.
Una mayoría de los ejecutivos creían que ya había
gobiernos extranjeros implicados en ataques a
través de la red contra infraestructuras críticas de
su país. Estados Unidos y China se perciben como
los principales ciberagresores potenciales, pero la
dificultad para atribuir la autoría en el ciberespacio
otorga a todos los agresores la posibilidad de negar
su culpa.
Metodología
Los datos de la encuesta recogidos para este informe
dibujan por primera vez un esquema detallado de las
medidas aplicadas por los responsables de la defensa
de las redes de TI de importancia crítica para responder
a los ciberataques, en un intento de proteger sus
sistemas y colaborar con los gobiernos. Un equipo
del programa sobre tecnología Technology and Public
Policy Program del CSIS (Center for Strategic and
International Studies) en Washington DC ha analizado
los datos, los ha completado con otras investigaciones
y entrevistas y ha elaborado este informe.
Los encuestados son responsables de TI, seguridad o
sistemas de control operativo en sus empresas. Cerca
de la mitad manifestaron tener responsabilidad en
dichos ámbitos a nivel de unidad empresarial y un
cuarto dijeron ser responsables a nivel global.
La encuesta no se había diseñado para ser un sondeo
de opinión estadísticamente válido con muestreo y
márgenes de error, sino más bien como una medida
aproximada de la opinión de los directivos, una visión
instantánea de las opiniones de un grupo significativo
de los encargados de la toma de decisiones 1 .
El equipo del CSIS utilizó las entrevistas para
establecer el contexto y los antecedentes, y para
verificar los datos de la encuesta, añadiendo detalles
a la representación de los entornos de regulación
y los niveles de amenazas/vulnerabilidades en los
siete sectores en cada país, así como para discutir las
mejores prácticas. Muchos de los entrevistados se
negaron a que se mencionara su nombre y algunos
mostraron su rechazo a ser citados o nombrados de
cualquier forma. En la sección de reconocimientos
agradecemos su colaboración a todos los que
accedieron a ser identificados.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
1