 |
Proteger las infraestructuras críticas de las ciberamenazas nunca ha sido tan importante. Con el informe de Fortinet de que 9 de cada 10 organizaciones experimentaron algún tipo de incidente cibernético en el último año, el problema no va a desaparecer. |
Ataques como el perpetrado contra la planta de tratamiento de agua de Oldsmar en 2021 han puesto al descubierto la susceptibilidad de la tecnología operativa (OT) a quienes buscan perturbar la economía, obtener un rescate o provocar el caos. Los reguladores gubernamentales han tomado medidas para regular la ciberseguridad de los operadores de infraestructuras críticas, pero eso no será suficiente para protegerse de la creciente amenaza de los entornos OT comprometidos. Desgraciadamente, las normativas impuestas por el gobierno conducen a un enfoque de la seguridad basado en el cumplimiento, y el mero cumplimiento no será suficiente contra los adversarios altamente motivados y tecnológicamente avanzados a los que se enfrenta ahora el sector.
El hecho de que los organismos gubernamentales se ocupen de la necesidad de normas de ciberseguridad es positivo, sin embargo, las regulaciones que se han introducido a menudo se quedan cortas en el mercado. Muchas de estas normativas se crean sin la aportación de la industria y se centran en fomentar únicamente las normas de ciberhigiene más básicas. Y no es para menos. Estas normativas fomentan las prácticas con menos barreras de entrada, permitiendo que el mayor número posible de organizaciones se ponga al día.
Los requisitos de la TSA de julio de 2021 para los propietarios de oleoductos y gasoductos son un ejemplo perfecto del problema de este enfoque. La Administración de Seguridad en el Transporte (TSA) elaboró un conjunto de requisitos de ciberseguridad para los operadores de oleoductos y gasoductos junto con las aportaciones de la industria y los socios federales. Estas normas, que algunos creen que crearon más confusión que seguridad, no tenían en cuenta plenamente la distinción entre los entornos de tecnología de la información (TI) y OT. En la práctica, estas normas podrían perturbar el sector más que protegerlo de un ataque.
¿Qué tiene de malo el compliance?
El cumplimiento se basa en marcar casillas. Una vez que se cumplen las directrices básicas, hay poca motivación para ir más allá de esa norma; al fin y al cabo, si una empresa cumple la normativa, está protegida de un ataque, ¿no? No tanto. No existe un enfoque único para las prácticas de ciber higiene. Lo que funciona para una empresa puede no funcionar para otra, y las regulaciones basadas en el cumplimiento pueden a menudo pasar por alto ese matiz. El enfoque basado en el cumplimiento puede crear una falsa sensación de seguridad. Permite a los operadores creer que el cumplimiento de la normativa significa que no necesitan buscar los agujeros que pueden ser explotados por los atacantes, pero eso no podría estar más lejos de la realidad.
Los hackers evolucionan rápidamente. Cuando ataques como el de Oldsmar tienen éxito, pueden servir de faro para los atacantes que buscan nuevas formas de interrumpir las operaciones. La mejor manera de combatir este tipo de amenaza avanzada es que la industria se una para demostrar su compromiso con la resistencia cibernética mediante la adhesión a las mejores prácticas de ciberseguridad en el núcleo mismo de su negocio. Debería existir una motivación impulsada por el mercado para seguir el ritmo de los atacantes y salvaguardar nuestras infraestructuras críticas.
Modelos de madurez: Una forma de evaluar la ciberseguridad
Un sistema de calificación -en el que los que han invertido y se han comprometido con prácticas sólidas de ciberseguridad tienen prioridad sobre los que no lo hacen- podría ofrecer a las empresas una motivación financiera para mejorar sus procesos de ciberseguridad. La calificación podría ayudar a las organizaciones a evaluar con precisión el riesgo de asociarse con fabricantes, contratistas o proveedores. En lugar de marcar las casillas reglamentarias, este enfoque anima a las empresas a ir más allá para demostrar su compromiso con la seguridad. Si no lo hacen, sus contratos podrían estar en peligro. Como resultado, los programas cibernéticos tendrían que moverse a la velocidad de las empresas - no del gobierno - cuando se abordan los problemas cibernéticos. Ese es un ritmo muy diferente.
Un sistema de calificación exitoso debería ser creado por una organización independiente con un profundo conocimiento de las prácticas cibernéticas en OT. En lugar de una lista de comprobación externa, las calificaciones deberían basarse en evaluaciones internas exhaustivas realizadas junto a los operadores. La idea es adoptar un punto de vista más matizado, mirando más allá de si una empresa tiene una política específica en el lugar a la eficacia de esa política se está aplicando.
Las empresas que demuestren su compromiso con una buena ciberhigiene se verán recompensadas con mejores calificaciones, lo que puede hacerlas más competitivas a la hora de licitar. Las organizaciones podrían utilizarlo a la hora de elegir proveedores y para ayudar a las compañías de seguros a fijar las tarifas de los seguros de ciberseguridad. Las organizaciones comprometidas con las buenas prácticas cibernéticas tendrían una forma de mostrar su capacidad para mantenerse a sí mismas y a sus socios en la cadena de suministro a salvo, y demostrarían que están ayudando a salvaguardar a las comunidades de los eventos catastróficos que pueden resultar de los fallos en los sistemas OT.
Un sistema de clasificación que califique a las empresas por sus esfuerzos en materia de ciberseguridad podría dar paso a una nueva era de seguridad y responsabilidad en las infraestructuras críticas. Al adoptar un enfoque integrado e impulsado por el mercado, un sistema de calificación podría llevar a las empresas más allá del cumplimiento. La integración de un sistema de calificación de la cibermadurez en el día a día de las organizaciones industriales crearía un panorama competitivo para aquellos que buscan proteger nuestras infraestructuras críticas y motivaría a las empresas a intensificar sus prácticas de ciberseguridad.
Con los atacantes avanzando en sus operaciones cada día, es hora de que los operadores de infraestructuras críticas hagan lo mismo. La industria debería unirse para crear una solución impulsada por el mercado que pueda empujar a las organizaciones a moverse a la velocidad de la ciberseguridad, en lugar de al cumplimiento.
Fuente: https://www.securitymagazine.com/articles/98457-a-case-for-market-driven-cybersecurity-in-critical-infrastructure