No vamos a descubrir nada nuevo si hablamos de la importancia de los planes de continuidad de negocio y contingencias informáticas en las grandes organizaciones a día de hoy. Hasta ahora, cuando se hacía un ejercicio de reflexión sobre las amenazas que pueden provocar una contingencia, éste solía centrarse en situaciones más o menos visibles: inundaciones, cortes de suministros, huelgas, incendios, vandalismo, etc.
De forma paralela a esos planes y procedimientos, en "seguridad", se intentaba evitar que la información crítica dejara de ser confidencial, que fuera coherente y que estuviera disponible.
Sin embargo, el escenario ha cambiado. Desde hace tiempo ya no hablamos de un intruso más o menos organizado, generalmente motivado por fines económicos, que compromete la seguridad de un sistema. En la actualidad, los nuevos atacantes responden a grupos organizados, que comparten conocimientos y experiencia e incluso se coordinan entre ellos para planificar acciones o ataques conjuntos.
Estos nuevos ciberatacantes suponen una amenaza real sobre lo que se conoce como infraestructuras críticas, es decir, servicios básicos que de una u otra forma son vitales para los ciudadanos. La víctima ya no es una entidad financiera o un ciudadano de a pie objeto de un delito de phising. Ahora la víctima es un servicio que puede afectar a decenas de miles de personas.
¿Son válidos nuestros planteamientos de prevención en materia de seguridad ante este nuevo escenario?
Potencialmente no. La prevención, siendo necesaria, no es garantía de absoluta tranquilidad. Hay grandes organizaciones que destinan buena parte de su presupuesto anual al establecimiento de marcos de control y, sin embargo, se ven obligados a asumir un margen de incertidumbre en lo que a su seguridad se refiere. Los crecientes vectores de ataques y nuevas formas de ciberactivismos, como el mostrado por Anonymous este mismo sábado, reflejan la necesidad de plantear una nueva reflexión.
¿Qué impacto puede tener una escaramuza cibernética?
Siendo muy difícil de determinar, tengamos en cuenta los siguientes datos:
- En 1998 la defensa aérea serbia se vio paralizada antes de los bombardeos aliados.
- Se estima que el virus Stuxnet hizo retroceder varios meses, incluso algún año, el programa nuclear iraní.
- El ataque a Sony Playstation Network causó unas pérdidas que rondan los 200 millones de dólares.
Imaginemos que los atacantes canalizan sus conocimientos y medios para hacerse con el mando del sistema de control de tráfico aéreo, ferroviario o circulatorio de un país.
¿Cuál es el antídoto adecuado ante este planteamiento?
Prevención – Detección – Reacción
Siendo conscientes de que la seguridad del sistema va a verse comprometida hemos de plantearnos la siguiente línea de actuación:
Prevención
- Mantener la prevención y aumentar la importancia de auditorias externas, tanto de cumplimiento de las propias normas de seguridad como auditorias de vulnerabilidades.
Este hecho no es trivial. Las auditorías técnicas efectuadas por personal especializado arrojan resultados sorprendentes a aquellos que consideran que su sistema es seguro.
Detección
- Aumentar los esfuerzos de detección:
- Sistemas IDS
- Sistemas de correlación de eventos de seguridad
- Cooperación internacional de información, medios, tecnologías.
Reacción
- Gestión de incidentes de seguridad
- Comités de crisis muy ágiles.
- Planes alternativos de continuidad de actividades o parada de servicios.
¿Qué lecciones debemos aprender de todo esto?
El ataque desde el ciberespacio plantea tres diferencias fundamentales frente las guerras clásicas desarrolladas desde tierra, mar y aire:
- Es relativamente económica en comparación con los tres escenarios.
- Es extremadamente efectiva y rápida.
- No existen fronteras ni desplazamientos de efectivos. Por extensión, es más segura.
Una de las lecciones es que debemos ser conscientes de que un ataque desde internet puede tener un doble impacto: pérdidas materiales y pérdida de control de un servicio lo cual supone enfrentarnos a la incertidumbre absoluta donde los planes de seguridad reducen su eficacia.
Otra lección es que para recuperar el control sobre el servicio en cuestión hace falta un plan bien diseñado y probado, siempre sobre la base de la máxima conciencia posible de las vulnerabilidades que los medios a nuestro alcance nos permitan identificar. Es decir, planes de protección vivos, revisados en breves periodos de tiempo y retroalimentado con los resultados de pruebas reales.
En nuestro país estamos en un momento crítico en este sentido con el nacimiento de Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Es el momento que se aúnen los esfuerzos del sector público y privado en aras de garantizar unos razonables niveles de prevención y sobre todo una alta capacidad de reacción y recuperación de servicios.
