Los proveedores de infraestructuras críticas nacionales (CNI) del Reino Unido están en alerta. El Centro Nacional de Ciberseguridad (NCSC) ha intensificado su discurso en los últimos meses, advirtiendo de un ataque inminente que podría tener graves consecuencias para la sociedad. Según el NCSC, existe una brecha cada vez mayor entre la amenaza a estos sistemas y la capacidad de los proveedores de CNI para defenderlos.
Recientemente, Jonathan Ellison, director de resiliencia nacional, utilizó LinkedIn para instar una vez más al desarrollo de "sólidas defensas cibernéticas y resiliencia" en el sector. "Los operadores de infraestructuras críticas nacionales (CNI) del Reino Unido no solo deben tomar nota, sino que, como ya hemos dicho, deben actuar de inmediato", afirmó.
Pero en este contexto, ¿qué significa exactamente “actuar ahora”? ¿Y cómo se puede actuar de forma reflexiva y coordinada?
Un escenario en el peor de los casos
La misiva de Ellison fue precipitada por un ciberataque sin precedentes contra la infraestructura energética polaca por parte de una presunta unidad de inteligencia del ejército ruso conocida como Sandworm. Unos 30 emplazamientos, incluidos parques eólicos, instalaciones solares y plantas de cogeneración, fueron el objetivo de una campaña coordinada. Aunque fue frustrado antes de que causara un apagón importante, los piratas informáticos consiguieron acceder a sistemas de tecnología operativa (OT) "críticos para el funcionamiento de la red e inutilizaron equipos clave de forma irreparable en el lugar", según Dragos.
El uso de malware destructivo para borrar datos debería infundir temor en los responsables de seguridad de la información del Reino Unido que trabajan en sectores de infraestructura crítica. Como firmes aliados de Ucrania, tanto Polonia como el Reino Unido están expuestos a posibles ataques rusos, algo que el NCSC tiene muy presente. Las probabilidades de que una campaña similar se dirija a instalaciones más cercanas a su territorio acaban de aumentar.
Todos deberíamos saber lo que está en juego. Los ataques contra la infraestructura crítica de seguridad (CNI) amenazan no solo pérdidas financieras, sino también la seguridad pública y la seguridad nacional. Y cada vez son más frecuentes. El NCSC grabado El año pasado se registró un aumento del 50 % en los incidentes de gran gravedad que gestionó, siendo este el tercer año consecutivo en que la cifra aumenta. La combinación de tensiones geopolíticas, rápidos cambios tecnológicos y una sofisticada economía del cibercrimen sigue incrementando el riesgo de un incidente grave.
¿A dónde ir desde aquí?
La buena noticia es que ya existen varios recursos para ayudar a los CISO a elaborar una respuesta. Ellison citó el NCSC. Marco de evaluación cibernética (CAF) y una más reciente Guía de CNI para hacer frente a amenazas graves. También ha producido documentación sobre principios de conectividad segura para OT y Recomendaciones para el desarrollo de una arquitectura OT seguraLa cuestión radica en cómo asimilar todas estas recomendaciones de forma integral y complementaria.
No se trata de desechar los planes existentes, sino de centrarse en las amenazas más graves y planificar partiendo de la base de que habrá concesiones, la recuperación puede llevar tiempo y los adversarios podrían intentar destruir en lugar de simplemente interrumpir. Si bien las CAF se inclinan más por los controles preventivos, el valor de las directrices de la CNI reside en el diseño de sistemas resilientes, para garantizar que sigan funcionando y apoyen la recuperación durante largos períodos de interrupción.
Se espera diseñar sistemas que puedan segmentarse, aislarse o funcionar rápidamente en modos degradados en caso de ataque.
Convertir la teoría en práctica
Para Matt Conlon, cofundador y director ejecutivo de Cytidel, el desafío reside en cómo poner en práctica los diversos marcos de trabajo que los CISO tienen a su disposición, con el fin de alejarse de un enfoque reactivo de "control e implementación".
«Con demasiada frecuencia, los equipos de seguridad caen en un círculo vicioso: responden a alertas, corrigen vulnerabilidades e implementan controles técnicos puntuales de forma aislada», explica a IO (antes ISMS.online). «Si bien es necesario, este enfoque no integra la gobernanza, el riesgo operativo y las medidas de seguridad técnicas en un sistema de gestión unificado».
Para lograr una postura de seguridad sólida, los CISO deberían integrar la inteligencia sobre amenazas directamente en los procesos de riesgo y gobernanza, argumenta. Esto implica monitorear el panorama de amenazas, identificar qué vulnerabilidades se están explotando, incorporar esa información en la toma de decisiones de seguridad y priorizar las amenazas con mayor probabilidad de causar un impacto significativo, añade.
“Este enfoque garantiza que los equipos de seguridad se centren en lo que realmente importa, en lugar de intentar solucionarlo todo a la vez y esperar abordar los riesgos más críticos a tiempo. Fundamentalmente, esto debe adoptarse culturalmente en todas las unidades de negocio, no solo dentro del área de seguridad”, argumenta Conlon.
Las funciones de gobernanza, operaciones, riesgo y auditoría deben alinearse en torno a una priorización dinámica del riesgo. Esto puede resultar incómodo, ya que la repriorización continua del riesgo no siempre se ajusta a los ciclos de revisión anual tradicionales ni a las políticas estáticas. Sin embargo, en el entorno actual, especialmente en CNI, las evaluaciones anuales de riesgo por sí solas no solo son insuficientes, sino que cada vez se consideran más negligentes.
Dar los siguientes pasos con la norma ISO 27001
Conlon afirma que este enfoque creará un «sistema de gestión dinámico» que conecta la estrategia, la gobernanza, los controles técnicos y la mejora continua. Sin embargo, los CISO pueden y deben ir más allá, abordando la gestión de riesgos de la cadena de suministro, el fortalecimiento de la red, la resiliencia y la recuperación, entre otras áreas. Es aquí donde la norma ISO 27001 puede aportar valor.
«Normas como la ISO/IEC 27001 desempeñan un papel importante», afirma Conlon. «Proporcionan estructura, disciplina de gobernanza y la garantía de que los controles y procesos de seguridad están documentados formalmente y se aplican de forma coherente».
Estas buenas prácticas ayudarán, en última instancia, a los CISO a desarrollar su estrategia con un enfoque proactivo, estructurado y transparente para la gestión de riesgos. Además, con el proyecto de ley de Ciberseguridad y Resiliencia en trámite parlamentario, ofrecen una oportunidad invaluable para preparar las operaciones para el futuro en un mundo donde la ciberresiliencia es fundamental.
Amplíe su conocimiento
Blog - Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas
