Es necesario un enfoque de confianza cero y prevención primero para mantenernos seguros, ahora y en el futuro.
En la serie de televisión Sr. Robot, Elliot Alderson, un ingeniero de ciberseguridad talentoso durante el día, se destaca como un hacktivista vigilante para el grupo "fsociety", que conspira para derrocar a los Estados Unidos corporativos cancelando los registros de deuda de todos los ciudadanos.
En este escenario del fin del mundo, los ciberanarquistas tienen como objetivo interrumpir la infraestructura financiera que respalda la economía global como un medio para lograr sus objetivos políticos ideológicos. Más allá de esta dramática metáfora se encuentra una verdad aleccionadora: nuestro mundo está interconectado de tal manera que la noción de infraestructura crítica ha evolucionado más allá de lo que tradicionalmente hemos clasificado como tal.
Si bien las plantas de energía, las fábricas de productos químicos y las agencias gubernamentales merecen legítimamente la designación "crítica", hay muchas otras industrias en las que estas organizaciones de infraestructura crítica dejarían de funcionar correctamente si un ataque dirigido bien orquestado las dejara fuera de servicio.
Para reducir el riesgo y prosperar en esta era de ataques impredecibles y dirigidos, las organizaciones de infraestructura crítica deben tener una visión más expansiva del ecosistema de infraestructura crítica, comprometerse a hacer que la capacitación en ciberseguridad sea una prioridad para los empleados en todos los niveles de la organización y adoptar un cero holístico enfoque de confianza que prioriza las estrategias de prevención sobre los métodos de detección reactiva.
Mitigar el riesgo cibernético con capacitación y sensibilización
En febrero de 2019, los empleados de Fort Collins Loveland Water District y South Fort Collins Sanitation District en Colorado fueron atacados por un ataque de ransomware que los bloqueó fuera de sus computadoras - Por segunda vez en dos años. En septiembre de 2019, la central nuclear de Kudankulam, la planta nuclear más grande de la India, fue violada en un ataque de malware, y en noviembre de 2019, los delincuentes apague las computadoras en el gigante petrolero mexicano Pemex a cambio de un rescate de $ 5 millones. Los EE. UU. Experimentaron el primer ataque a una red eléctrica en marzo de 2019 cuando North American Electric Reliability Corp. (NERC) fue interrumpida en un "evento cibernético" que duró casi 12 horas.
A medida que las empresas públicas y privadas buscan nuevas soluciones de ciberseguridad para mitigar los riesgos, se espera que el gasto mundial en ciberseguridad aumente a $ 133.8 mil millones para 2022, de acuerdo con International Data Corporation. El presupuesto 2020 de la Casa Blanca solo incluye más de $ 17.4 mil millones para actividades relacionadas con la seguridad cibernética, un aumento del 5% con respecto a 2019. Sin embargo, tendremos que hacer más que arrojar dinero al tema.
El problema radica en el hecho de que los sectores críticos de infraestructura se han convertido en objetivos cada vez más atractivos, tanto para los estados-nación involucrados en campañas geopolíticas como para los sindicatos criminales motivados por las ganancias. Esto se debe en gran parte al hecho de que gran parte de la infraestructura crítica de nuestra nación se basa en una maraña de sistemas de control industrial heredados que se diseñaron intencionalmente como sistemas cerrados y sin aire.
Pero quizás la mayor vulnerabilidad es el elemento humano. Si bien muchas de estas empresas abordan los riesgos de la cadena de suministro al certificar las prácticas de seguridad cibernética de sus socios, la conciencia y la capacitación básica sobre seguridad a menudo van a la zaga de otras industrias. Los actores de la amenaza, independientemente de su motivación, son como el agua que fluye en el lecho de un río: siempre elegirán el camino de menor resistencia.
Un cambio de mentalidad: de la detección a la prevención
A medida que ingresamos en la próxima década, el liderazgo ejecutivo de las organizaciones de infraestructura crítica debe analizar detenidamente sus sistemas de TI existentes, sus prácticas de seguridad y, lo más importante, sus actitudes hacia la forma en que abordan la ciberseguridad.
Y dado que las amenazas ahora pueden venir de cualquier parte, cualquier pieza de tecnología conectada debe tratarse como potencialmente maliciosa. Esta es la esencia de una mentalidad de confianza cero, prevención primero, una en la que la confianza nunca está implícita y la legitimidad de cada archivo, cada dispositivo y cada conexión de red siempre se cuestiona.
Todos los empleados, ya sean ejecutivos, ingenieros o contadores, deben desarrollar una apreciación más profunda de que cualquier interacción con la tecnología puede abrir una puerta a un posible ciberataque. Es imperativo que las organizaciones de infraestructura crítica prioricen la capacitación en ciberseguridad para todos los empleados, enfatizando que cada persona que interactúa con la tecnología también juega un papel importante en la protección de la infraestructura de misión crítica.
Para prepararse para la creciente sofisticación y frecuencia de los ataques cibernéticos en sectores críticos de infraestructura, la carga recaerá sobre los hombros del liderazgo ejecutivo, que debe tomar la iniciativa para demostrar que todos los empleados, independientemente de su rol o responsabilidad, son conscientes de que cualquier interacción con La tecnología tiene el potencial de desatar el próximo Stuxnet, o algo peor.
A medida que avanzamos en esta nueva década, hay más incógnitas que conocimientos. Si bien los líderes de seguridad de infraestructura crítica no pueden predecir y prepararse para cada escenario de ataque, al menos deben reconocer que el panorama de amenazas ha cambiado y que es necesario un enfoque de prevención y confianza cero para mantenernos a todos seguros, este año y más allá .
Contenido relacionado:
Benny Czarny es el Fundador y CEO de OPSWAT, una empresa líder en seguridad cibernética con más de 1,000 clientes, 200 empleados y 8 oficinas en todo el mundo. Fundada con una inversión personal en 2002 para ofrecer un enfoque único y orientado al mercado para el diseño y desarrollo de aplicaciones de seguridad, ... Ver Biografía completa
Más Información
