En el punto de mira: las infraestructuras críticas - Belt Ibérica SA
En el punto de mira: las infraestructuras críticas - Belt Ibérica SA
En el punto de mira: las infraestructuras críticas - Belt Ibérica SA
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Introducción y contexto d<strong>el</strong> estudio<br />
<strong>En</strong> un mundo cada vez más interconectado, <strong>las</strong> cibervulnerabilida<strong>de</strong>s <strong>de</strong><br />
<strong>infraestructuras</strong> <strong>críticas</strong> plantean nuevos retos tanto a gobiernos como a<br />
propietarios y operadores <strong>de</strong> todos los sectores y en <strong>el</strong> mundo entero.<br />
Con la situación económica mundial aún frágil tras<br />
la crisis financiera, la integridad y la disponibilidad<br />
<strong>de</strong> <strong>las</strong> industrias nacionales clave pue<strong>de</strong>n pasar a un<br />
segundo plano en <strong>las</strong> priorida<strong>de</strong>s <strong>de</strong> los gobiernos;<br />
sin embargo, siguen siendo <strong>de</strong>terminantes para la<br />
vulnerabilidad estratégica.<br />
Seiscientos responsables <strong>de</strong> TI y seguridad proce<strong>de</strong>ntes<br />
<strong>de</strong> empresas <strong>de</strong> administración <strong>de</strong> <strong>infraestructuras</strong><br />
<strong>críticas</strong> <strong>de</strong> siete sectores en 14 países <strong>de</strong> todo <strong>el</strong><br />
mundo han contestado <strong>de</strong> manera anónima a un<br />
completo cuestionario con preguntas <strong>de</strong>talladas<br />
sobre sus hábitos, actitu<strong>de</strong>s y políticas <strong>de</strong> seguridad;<br />
<strong>el</strong> impacto <strong>de</strong> <strong>las</strong> normativas, su r<strong>el</strong>ación con la<br />
Administración, <strong>las</strong> medidas <strong>de</strong> seguridad concretas<br />
que emplean en sus re<strong>de</strong>s y los tipos <strong>de</strong> ataques<br />
que sufren.<br />
Los propietarios y operadores <strong>de</strong> estas <strong>infraestructuras</strong><br />
<strong>críticas</strong> afirman que sus re<strong>de</strong>s <strong>de</strong> TI sufren continuos<br />
ciberataques, a menudo proce<strong>de</strong>ntes <strong>de</strong> adversarios<br />
<strong>de</strong> gran envergadura. Las consecuencias <strong>de</strong> estos<br />
ataques su<strong>el</strong>en ser graves, su coste es alto y sus<br />
efectos, generalizados.<br />
Aunque, por lo general, los directivos se muestran<br />
satisfechos con los recursos <strong>de</strong>stinados a la<br />
seguridad, los recortes aplicados como resultado <strong>de</strong><br />
la recesión son amplios y, en ocasiones, significativos.<br />
A<strong>de</strong>más, hay dudas sobre si la preparación <strong>de</strong> <strong>las</strong><br />
<strong>infraestructuras</strong> <strong>críticas</strong> es suficiente para respon<strong>de</strong>r a<br />
los ataques a gran escala.<br />
Mediante la recopilación <strong>de</strong> <strong>de</strong>talles sobre <strong>las</strong> medidas<br />
<strong>de</strong> seguridad concretas adoptadas por <strong>las</strong> empresas,<br />
hemos podido realizar una comparación objetiva <strong>de</strong> la<br />
seguridad en los distintos sectores <strong>de</strong> <strong>infraestructuras</strong><br />
<strong>críticas</strong> y entre distintos países. También se plantearon<br />
a los directivos con responsabilida<strong>de</strong>s en los sistemas<br />
<strong>de</strong> control operativos o industriales preguntas<br />
especiales sobre <strong>las</strong> medidas <strong>de</strong> seguridad empleadas<br />
en dichos sistemas.<br />
Según los resultados <strong>de</strong> la encuesta, China muestra,<br />
con diferencia, <strong>las</strong> mayores tasas <strong>de</strong> adopción <strong>de</strong><br />
medidas <strong>de</strong> seguridad, incluidas <strong>las</strong> técnicas <strong>de</strong> cifrado<br />
y autenticación robusta <strong>de</strong> usuarios. Si se comparan<br />
los distintos sectores, <strong>el</strong> sector d<strong>el</strong> agua/saneamiento<br />
está a la cola en adopción <strong>de</strong> medidas <strong>de</strong> seguridad.<br />
Divididos por sector y por país, los datos <strong>de</strong> la<br />
encuesta rev<strong>el</strong>an variaciones significativas en cuanto a<br />
percepción e informes <strong>de</strong> normativas y otras iniciativas<br />
a niv<strong>el</strong> estatal. <strong>En</strong> India, los directivos indicaron <strong>el</strong><br />
mayor niv<strong>el</strong> <strong>de</strong> regulación, seguidos <strong>de</strong> cerca por<br />
China y Alemania. <strong>En</strong> <strong>el</strong> otro extremo, los directivos<br />
<strong>de</strong> Estados Unidos mostraron los niv<strong>el</strong>es más bajos.<br />
Las opiniones sobre <strong>el</strong> impacto y la efectividad <strong>de</strong> <strong>las</strong><br />
normas eran muy variadas, aunque, en general, la<br />
mayoría coincidían en que mejoran la seguridad.<br />
Una mayoría <strong>de</strong> los ejecutivos creían que ya había<br />
gobiernos extranjeros implicados en ataques a<br />
través <strong>de</strong> la red contra <strong>infraestructuras</strong> <strong>críticas</strong> <strong>de</strong><br />
su país. Estados Unidos y China se perciben como<br />
los principales ciberagresores potenciales, pero la<br />
dificultad para atribuir la autoría en <strong>el</strong> ciberespacio<br />
otorga a todos los agresores la posibilidad <strong>de</strong> negar<br />
su culpa.<br />
Metodología<br />
Los datos <strong>de</strong> la encuesta recogidos para este informe<br />
dibujan por primera vez un esquema <strong>de</strong>tallado <strong>de</strong> <strong>las</strong><br />
medidas aplicadas por los responsables <strong>de</strong> la <strong>de</strong>fensa<br />
<strong>de</strong> <strong>las</strong> re<strong>de</strong>s <strong>de</strong> TI <strong>de</strong> importancia crítica para respon<strong>de</strong>r<br />
a los ciberataques, en un intento <strong>de</strong> proteger sus<br />
sistemas y colaborar con los gobiernos. Un equipo<br />
d<strong>el</strong> programa sobre tecnología Technology and Public<br />
Policy Program d<strong>el</strong> CSIS (Center for Strategic and<br />
International Studies) en Washington DC ha analizado<br />
los datos, los ha completado con otras investigaciones<br />
y entrevistas y ha <strong>el</strong>aborado este informe.<br />
Los encuestados son responsables <strong>de</strong> TI, seguridad o<br />
sistemas <strong>de</strong> control operativo en sus empresas. Cerca<br />
<strong>de</strong> la mitad manifestaron tener responsabilidad en<br />
dichos ámbitos a niv<strong>el</strong> <strong>de</strong> unidad empresarial y un<br />
cuarto dijeron ser responsables a niv<strong>el</strong> global.<br />
La encuesta no se había diseñado para ser un son<strong>de</strong>o<br />
<strong>de</strong> opinión estadísticamente válido con muestreo y<br />
márgenes <strong>de</strong> error, sino más bien como una medida<br />
aproximada <strong>de</strong> la opinión <strong>de</strong> los directivos, una visión<br />
instantánea <strong>de</strong> <strong>las</strong> opiniones <strong>de</strong> un grupo significativo<br />
<strong>de</strong> los encargados <strong>de</strong> la toma <strong>de</strong> <strong>de</strong>cisiones 1 .<br />
El equipo d<strong>el</strong> CSIS utilizó <strong>las</strong> entrevistas para<br />
establecer <strong>el</strong> contexto y los antece<strong>de</strong>ntes, y para<br />
verificar los datos <strong>de</strong> la encuesta, añadiendo <strong>de</strong>talles<br />
a la representación <strong>de</strong> los entornos <strong>de</strong> regulación<br />
y los niv<strong>el</strong>es <strong>de</strong> amenazas/vulnerabilida<strong>de</strong>s en los<br />
siete sectores en cada país, así como para discutir <strong>las</strong><br />
mejores prácticas. Muchos <strong>de</strong> los entrevistados se<br />
negaron a que se mencionara su nombre y algunos<br />
mostraron su rechazo a ser citados o nombrados <strong>de</strong><br />
cualquier forma. <strong>En</strong> la sección <strong>de</strong> reconocimientos<br />
agra<strong>de</strong>cemos su colaboración a todos los que<br />
accedieron a ser i<strong>de</strong>ntificados.<br />
<strong>En</strong> <strong>el</strong> <strong>punto</strong> <strong>de</strong> <strong>mira</strong>: <strong>las</strong> <strong>infraestructuras</strong> <strong>críticas</strong> en la era <strong>de</strong> la ciberguerra<br />
1