Las empresas y los gobiernos deberían implementar acciones más agresivas enfocadas a promover y coordinar la protección de las redes informáticas de los sectores críticos.
A nivel mundial existe una disminución en el conocimiento y la participación en programas de Protección de Infraestructura Crítica (CIP); en comparación con el 2010, en el pasado 2011 las compañías mostraron un Índice de Participación CIP en programas gubernamentales de protección de 82%, con una baja de 18% respecto a la edición previa. En tanto, en América Latina, el Índice de Participación es de 88%, según la encuesta de Symantec sobre CIP.
En el 2011, 36% de las empresas tenía algo o total conocimiento de los planes gubernamentales sobre infraestructuras críticas de sus países, en comparación con 55% del 2010. Por otra parte, en 2011, 37% de las compañías tanto en nivel global como en América Latina participaron completamente o en gran medida en este tipo de iniciativas, en comparación con 56% del 2010.
Symantec indica que las compañías tuvieron mayor ambivalencia en 2011 sobre los programas CIP gubernamentales en comparación con el año 2010. En nivel global y en América Latina, 42% no tiene ninguna opinión acerca de los programas CIP gubernamentales. Además, las compañías señalan estar un poco menos dispuestas a cooperar con programas CIP, con 57% contra 66%, 59% en América Latina.
Dean Turner, director de la Red Global de Inteligencia de Symantec, comentó que las limitaciones sobre el personal y los recursos explican por qué los proveedores de infraestructuras críticas han tenido que priorizar y centrar sus esfuerzos en las amenazas informáticas diarias. “Creemos que los ataques específicos dirigidos contra este tipo de proveedores van a continuar. Las empresas y los gobiernos deberían implementar acciones más agresivas enfocadas a promover y coordinar la protección de las redes informáticas de los sectores críticos. Es probable que estos últimos ataques sean sólo el comienzo de otros más específicos hacia dichos sectores”.
El estudio también reveló que las organizaciones globales se sienten menos preparadas; es decir, en nivel mundial, la preparación cayó en promedio ocho puntos.
Para asegurar la resistencia contra ataques cibernéticas a las infraestructuras críticas, se recomienda lo siguiente:
- Desarrollar y cumplir con las políticas de TI y automatice los procesos de cumplimiento, mediante la priorización de riesgos y definiendo políticas que se implementen a todo nivel.
- Proteja proactivamente los datos adoptando un enfoque centrado en la información para proteger tanto el contenido como las interacciones. La adopción de un enfoque centrado en el contenido para proteger los datos resulta clave a la hora de saber quién es el propietario de la información, dónde reside la información sensible, quién tiene acceso a ella y cómo entra o sale de su organización.
- Administre los sistemas al implementar entornos operativos seguros, distribuyendo y haciendo cumplir los niveles de control de fallas, automatizando los procesos para facilitar la eficiencia, además de monitorear y elaborar informes sobre el estado de los sistemas.
- Proteja la infraestructura garantizando la seguridad de los endpoints, la mensajería y los entornos Web. La protección de servidores internos críticos y la capacidad para realizar copias de seguridad y recuperar datos deberían ser prioridades.
- Garantice la disponibilidad 24x7. Los entornos virtuales deben ser tratados de la misma manera que los entornos físicos.
- Desarrolle una estrategia para gestionar la información que incluya planes y políticas de retención de la misma. Las organizaciones deben dejar de usar las copias de seguridad para archivar información y conservar datos por motivos legales e implementar la deduplicación en todos los niveles para disponer de más recursos, utilizando un sistema de archivo completo e instalando tecnologías para prevenir la pérdida de datos.
Mientras que Symantec emite las siguientes recomendaciones para los gobiernos:
- Los gobiernos deben continuar dedicando recursos para establecer programas gubernamentales para infraestructura crítica.
- La mayoría de los proveedores de infraestructuras críticas afirmaron que conocen los programas gubernamentales de infraestructura crítica.
- Asimismo, la mayor parte de los proveedores de infraestructura crítica apoyan los esfuerzos de los gobiernos para la elaboración de programas de protección.
- Los gobiernos deben establecer alianzas con asociaciones industriales y grupos empresariales privados para difundir información enfocada a incrementar el conocimiento de las organizaciones sobre los planes gubernamentales CIP, centrándose específicamente en el manejo de una respuesta en caso de sufrir un ataque informático a nivel nacional, el papel que tendrá el gobierno en este caso, quiénes serán los contactos específicos para los diferentes sectores a nivel regional y nacional y cómo podrían intercambiar información los gobiernos y las empresas privadas en caso de emergencia.
- Los gobiernos deberían destacar que la seguridad no es suficiente para garantizar la resistencia frente a los ataques informáticos de hoy. Los gobiernos deben exaltar a los proveedores de infraestructura crítica y a las empresas a que la información se almacene, en copias de seguridad, organizada y priorizada, y que cuenten con los procesos apropiados sobre identidad y control de acceso.
