Los asesores y especialistas que diseñan e implementan soluciones de vigilancia y seguridad para la industria y las infraestructuras críticas se enfrentan a presiones únicas. La protección física de estas «entidades esenciales» (tal como se denominan cada vez con más frecuencia en la normativa) es obviamente primordial, pero hoy en día también se enfrentan a la necesidad de respaldar la protección contra ataques en el ámbito digital.
Además, para mantener la conformidad, todos los miembros de la cadena de valor deben enfrentarse a un entorno normativo cambiante. Después de todo, la ciberseguridad es una responsabilidad compartida por todas las personas involucradas en el diseño, la especificación, el suministro y el uso de una solución de vigilancia. Aquí exploramos algunos de los problemas.
Un mundo en el que casi toda la industria es crítica
La interrupción de los servicios esenciales de una nación, incluido el suministro de energía y agua, la provisión de atención sanitaria, la interferencia con la fabricación y mucho más, ha sido el objetivo de los agresores en los conflictos a lo largo de la historia.
Antes de la era digital, por supuesto, los ataques eran exclusivamente físicos. Pero la aplicación universal de las tecnologías conectadas en todas las áreas de nuestra vida durante las últimas décadas ha creado la oportunidad para que los delincuentes utilicen tanto medios físicos como digitales para interrumpir los servicios esenciales para la sociedad.
No es ningún secreto que los ciberataques están aumentando en número y sofisticación, y que son llevados a cabo por una gama más amplia de atacantes. Tanto si se trata de simples travesuras de hackers aficionados, ciberdelincuentes bien organizados en busca de un beneficio económico o agentes respaldados por otros estados que tratan de socavar la sociedad de un país rival, los ciberataques tienen numerosas formas y orígenes.
Debido a la naturaleza altamente conectada de las cadenas de suministro globales, el alcance de esos sectores industriales ahora definidos como entidades esenciales también ha crecido. Hace solo dos o tres años, muchas personas no consideraban crítica la producción y el suministro de semiconductores. Pero los problemas de suministro durante la pandemia demostraron lo esenciales que son los chips para muchos, si no la mayoría, de los procesos industriales actuales.
El «efecto mariposa», en el que una pequeña interrupción en un sistema puede tener un gran impacto en otro en el futuro, ha demostrado ser cierto para la cadena de suministro tecnológica integrada globalmente.
Los reguladores se enfrentan a retos en materia de ciberseguridad
Ante un entorno de ciberseguridad en constante cambio, no sorprende que los gobiernos y los reguladores tengan dificultades para mantenerse al día. Cada vez más, su reacción es cambiar la forma en que regulan la ciberseguridad.
En términos generales, en lugar de definir lo que los proveedores de servicios esenciales deben implementar en relación con la ciberseguridad, la tendencia en la normativa es poner la responsabilidad en los proveedores de demostrar que cuentan con las medidas necesarias para mantenerse ciberseguros.
Este cambio tiene importantes implicaciones no solo para los propios proveedores, sino para cualquier parte que proporcione conocimientos y soluciones dentro de la cadena de suministro esencial de la entidad. Se examinará toda la cadena de valor, anterior y posterior.
NIS2 como ejemplo del entorno normativo en evolución
Las normativas sobre ciberseguridad difieren en todo el mundo. Desde el marco de ciberseguridad NIST en EE. UU. hasta la propuesta de Ley de Ciberresiliencia en la UE, los reguladores regionales y nacionales están definiendo lo que consideran el enfoque más eficaz para proteger los servicios esenciales de los ciberataques.
La Directiva NIS2, que entró en vigor en enero de este año, cuya promulgación en los Estados miembros de la UE se deber realizar antes de octubre de 2024, proporciona un ejemplo útil para destacar las implicaciones de la nueva regulación para las entidades esenciales.
La NIS2 es una respuesta a un panorama de amenazas en constante evolución, tiene como objetivo mejorar el nivel general de ciberseguridad en la UE y solucionar las deficiencias observadas en la Directiva NIS original. La Directiva pretende crear «una cultura de seguridad en todos los sectores que son vitales para nuestra economía y sociedad, y que dependen en gran medida de las tecnologías de la información y las comunicaciones (TIC), como la energía, el transporte, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad y las infraestructuras digitales».
Es claramente un ejemplo del reconocimiento por parte de los reguladores de la dependencia de todos estos sectores respecto a la tecnología y de cómo los ciberdelincuentes buscan y explotan constantemente cualquier vulnerabilidad.
En virtud de lo establecido en la Directiva, los Estados miembros de la UE identificarán a aquellas empresas y organizaciones que sean operadores de servicios esenciales, y esas organizaciones tendrán que tomar las medidas de seguridad adecuadas y notificar a las autoridades nacionales pertinentes cualquier incidente grave relacionado con la ciberseguridad.
Además, los principales proveedores de servicios digitales, como los servicios informáticos en la nube, también tendrán que cumplir con los requisitos de seguridad y notificación establecidos en la Directiva. La extensión más allá de los proveedores de servicios esenciales y en toda la cadena de suministro de tecnología está clara.
Soluciones de vigilancia como parte de la cadena de valor esencial de la entidad
Como se ha mencionado anteriormente, la protección de los servicios esenciales siempre ha sido una prioridad. Las medidas físicas (vallas perimetrales, control de accesos y guardias de seguridad) se han mejorado mediante la tecnología, con soluciones avanzadas de videovigilancia en cada instalación de servicio esencial. La naturaleza cada vez más conectada de estas soluciones también las ha colocado, por supuesto, en la primera línea de los ciberataques y bajo el escrutinio de la normativa en evolución.
Los arquitectos, ingenieros y asesores que diseñan y especifican soluciones de vigilancia se enfrentan a una importante responsabilidad. Garantizar que las soluciones de vigilancia estén diseñadas no solo para los requisitos físicos y de ciberseguridad actuales, sino que se adapten a los desafíos en constante evolución es esencial para mantener la conformidad normativa.
Esto requiere «repensar los sistemas». Los asesores deben ver la solución de seguridad como un todo en lugar de una selección de dispositivos independientes, y considerar las relaciones entre el hardware y el software de la propia solución, junto con su integración en la infraestructura más amplia del proveedor de servicios esenciales. El diseño, la implementación, la integración y el mantenimiento de las soluciones desempeñan un papel esencial en la ciberseguridad y en el reconocimiento de que cualquier solución evolucionará con el paso del tiempo. Una solución que permanezca estática quedará expuesta a vulnerabilidades.
¿Qué significa que haya un panorama cambiante para los diseñadores de soluciones de vigilancia?
Aquellos que diseñan y especifican soluciones tienen la obligación de tener en cuenta los riesgos potenciales más amplios que plantea la oferta técnica que recomiendan. Si bien el enfoque principal de las soluciones debería ser abordar los requisitos operativos definidos, ahora también son esenciales las disposiciones en materia de TI y ciberseguridad. Las especificaciones actuales deben estar alineadas con normativas como la Directiva NIS2 para respaldar la conformidad de una organización.
Como tales, los asesores deben estar seguros de que los productos de cualquier proveedor cumplen con las políticas de seguridad de cada cliente, incluidas todas las regulaciones relevantes aplicables a la organización del cliente. Es fundamental llevar a cabo la diligencia debida adecuada en el enfoque de ciberseguridad de cualquier proveedor que recomienden.
Los asesores también deben especificar políticas y procesos para los proveedores de tecnologías que recomiendan, así como las características técnicas que proporcionan. Se deben especificar características como el arranque seguro, el firmware firmado, los componentes de seguridad que habilitan la identificación automática y segura de los dispositivos y un módulo de plataforma de confianza (TPM) para abordar los riesgos actuales.
Las especificaciones también deben incluir certificaciones importantes de terceros, como ISO 27001, y políticas de vulnerabilidades, notificaciones de asesoramiento en materia de seguridad y un modelo de desarrollo de seguridad claramente definido.
Por último, debe incluirse un enfoque de gestión del ciclo de vida. El uso de herramientas de gestión de dispositivos y soluciones y una estrategia de firmware documentada mitiga el riesgo futuro de un ataque y protege a los clientes en el futuro. Estas características permiten a los clientes utilizar su sistema y sus dispositivos de la forma más segura posible durante todo su ciclo de vida.
En conjunto, estas políticas y procesos demuestran la madurez de la ciberseguridad de una organización y su capacidad para adaptarse a un panorama de amenazas en constante evolución.
Cambio de roles en un entorno de ciberseguridad cambiante
Para cada nación, la importancia de minimizar la posible interrupción de los servicios esenciales es obvia y no puede sobreestimarse. Como mínimo, las interrupciones tendrán un impacto económico casi inmediato. Esto puede convertirse rápidamente en problemas sociales importantes y en un riesgo potencial para la salud y la vida humana.
Sea cual sea el origen de la amenaza, la protección de los servicios esenciales y las entidades que los proporcionan es, por lo tanto, vital. Los organismos reguladores de todo el mundo han reconocido esto y que las amenazas provienen tanto del ámbito físico como del digital.
Y también han reconocido que las amenazas de los ciberataques evolucionan tan rápidamente que cualquier intento por definir medidas de ciberseguridad quedará obsoleto antes de su publicación. Por lo tanto, el enfoque normativo ha cambiado, lo que requiere que los proveedores de servicios esenciales demuestren que cuentan con la tecnología, los procesos y los recursos necesarios para hacer frente al panorama de amenazas.
El efecto es que cualquier persona involucrada en la cadena de valor esencial de la entidad debe responder a este desafío, incluidos aquellos que diseñan y especifican las soluciones de vigilancia. Mitigar los riesgos de las ciberamenazas es una responsabilidad compartida. Nuestros negocios dependen de este trabajo, pero las consecuencias para la sociedad podrían ser mucho mayores.