Las Infraestructuras Críticas son, como define en nuestro país el Plan Nacional de Protección de Infraestructuras Criticas,“aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas".

Esta definición comprende una docena de sectores estratégicos –Administración, Alimentación, Energía, Sistema Financiero y Tributario, Agua, Industria Nuclear, Industria Química, Instalaciones de Investigación, Salud, Tecnologías de la Información y las Comunicaciones y Transporte- que por su importancia, si sus redes informáticas se atacaran con éxito y se inhabilitaran, supondría una amenaza real a la seguridad nacional.

 Tal y como muestra el estudio de 2011 sobre Protección de Infraestructuras Críticas (2011 Critical Infrastructure Protection (CIP) Survey) de Symantec, durante este año se ha producido una disminución en el conocimiento y en la participación a nivel mundial en este tipo de iniciativas.

En comparación con 2010, las compañías encuestadas muestran un Índice de Participación CIP del 82% en los programas de protección gubernamentales y marcan un descenso de 18 puntos respecto al año pasado. En cuanto a la participación de las compañías en programas CIP gubernamental, también se ha registrado un descenso del 19%, al pasar del 56% del pasado año, al 37% en el actual.

“En 2011”, según explica Miguel Suárez, Presales Security Leader de Symantec,“el alineamiento entre empresas y Gobierno ha disminuido. Las empresas se han involucrado menos que el año pasado y la colaboración con el Gobierno no está tan clara”. Desde su punto de vista, “las conclusiones de esta encuesta son algo alarmantes, si tenemos en cuenta ataques recientes como, por ejemplo, los de Nitro y Duqu, que han tenido como objetivo los proveedores de infraestructuras críticas”.

Las limitaciones sobre el personal y los recursos, entiende Sanz son las causas que ayudan a explicar por qué los proveedores de infraestructuras críticas han tenido que priorizar y centrar sus esfuerzos en las amenazas informáticas del día a día. “Sin embargo, pensamos que los ataques dirigidos a objetivos específicos contra proveedores de infraestructuras críticas como, por ejemplo, los realizados por Stuxnet, Nitro y Duqu, van a seguir llevándose a cabo. Las empresas y los Gobiernos de todo el mundo deberían poner en marcha unas acciones más agresivas para promover y coordinar la protección de las redes informáticas de sectores críticos. Es probable que estos últimos ataques sean sólo el principio de unos ataques más centrados en objetivos específicos dirigidos a infraestructuras críticas”.

Datos clave del estudio

• Un menor conocimiento y una menor participación en programas CIP gubernamentales. Este año, las compañías tienen, en general, un menor conocimiento de sus programas CIP gubernamentales. El 36% de los encuestados tenían algo de conocimiento o un conocimiento pleno de los planes sobre infraestructuras críticas gubernamentales de sus países, en comparación con el 55% del año anterior. En 2011, el 37% de las compañías participaron completamente o en gran medida en estas iniciativas, en comparación con el 56% en 2010.
• Ligeramente más ambivalencia sobre los programas CIP gubernamentales. La encuesta también mostró que las compañías mostraron una mayor ambivalencia en 2011 sobre los programas CIP gubernamentales en comparación con el año 2010. Por ejemplo, cuando se les solicita que den a conocer su opinión sobre este tipo de programas, el 42% no tenía ninguna opinión o mostró un punto de vista neutral. Asimismo, las compañías se muestran ligeramente menos dispuestas a cooperar con los programas CIP en comparación con su postura al respecto hace un año (57% frente al 66%).
• Las organizaciones mundiales afirman estar menos preparadas. No resulta sorprendente que, a medida que disminuye la valoración de las amenazas por parte de una organización, también disminuye su nivel de preparación en este campo. La preparación general a nivel mundial cayó una media de ocho puntos (del 60% al 63% en 2011, en comparación con en 68% al 70% en 2010).

Principales medidas contra los ataques a Infraestructuras Críticas

• Desarrolle y haga cumplir las políticas de TI y automatice los procesos de cumplimientos de políticas y normativas establecidas. Priorizando riesgos y definiendo políticas implementadas de todos los lugares, las organizaciones pueden hacer cumplir las políticas mediante la automatización y los flujos de trabajo incorporados para no sólo limitarse a identificar amenazas, sino también a remediar los incidentes cuando ocurren o anticiparse a ellos antes de que tengan lugar.
• Proteja proactivamente los datos adoptando un enfoque centrado en la información, para salvaguardar así la información y las interacciones. La adopción de un enfoque consciente del contenido para proteger la información resulta clave a la hora de saber quién es el propietario de la información, dónde reside la información confidencial, quién tiene acceso a ella y cómo entra o sale de su organización.
• Gestione los sistemas con la implementación de entornos operativos seguros, distribuyendo y haciendo cumplir los niveles de parches, automatizando los procesos para facilitar la eficiencia y monitorizando y elaborando informes sobre el estado de los sistemas.
• Proteja la infraestructura garantizando la seguridad de los endpoints, de la mensajería y de los entornos Web. Asimismo, la defensa de servidores internos críticos y la mejora de la capacidad para realizar copias de seguridad y para recuperar datos deberían ser prioridades. Las organizaciones también necesitan tener la visibilidad y la inteligencia sobre seguridad necesarias para responder con rapidez a las amenazas.
• Garantice una disponibilidad permanente. Las organizaciones deberían implementar métodos de pruebas que no causan interrupciones en las actividades y que pueden reducir la complejidad con la automatización de los sistemas de tolerancia a fallos. Los entornos virtuales deberían ser tratados de la misma forma que los entornos físicos, lo que muestra la necesidad que existe para que las organizaciones adopten unas herramientas para todos los entornos y para todas las plataformas, o para estandarizarse en un menor número de plataformas.
• Desarrolle una estrategia para gestionar la información que incluya planes y políticas para retención de la información. Las organizaciones necesitan dejar de usar copias de seguridad para archivado y para conservar datos por motivos legales, implementando la deduplicación en todos los lugares para disponer de más recursos, utilizando un sistema de archivado con todas las prestaciones e instalando tecnologías para prevenir la pérdida de datos.