Pablo Municio Socio de Risk Advisory-Cyber Deloitte
Pablo Álvarez Gerente de Risk Advisory-Cyber Deloitte

Hacia la detección y respuesta en servicios esenciales

Existe una sensación, cada vez más frecuente, sobre si la estrategia que estamos siguiendo en materia de ciberseguridad y servicios esenciales es suficiente para hacer frente al entorno creciente de amenazas y a la sofisticación de estas; sumado a aceleradores o factores externos como la pandemia o el conflicto bélico que nos ha obligado a reevaluar radicalmente nuestra estrategia.

Hace unos años, la estrategia estaba basada en la protección y aislamiento de entornos corporativos (IT) y operacionales (OT) mediante una segregación perimetral exterior e interior, despliegue de tecnologías, control de accesos, etc. Esta estrategia cambiante hacia un modelo de confianza se precipitó con un acelerador para el que muchas organizaciones no estaban preparadas: la deslocalización del talento, la transformación de la cadena de suministro o la digitalización de los procesos operacionales nos forzaron a abrir nuestro «castillo» para comenzar a conectarnos a nuestra infraestructura, incluyendo los entornos industriales, que no se diseñaron para esta necesidad. Pero si no era suficiente con esto, la operación y mantenimiento de servicios esenciales debía seguir realizándose, ahora de forma remota sin tener las medidas adecuadas de ciberseguridad.

Esto confirmó la idea de abandonar el «castillo» y dar paso a una estrategia basada en la necesidad de controlar quién y a qué se accede dentro de nuestras organizaciones. Por ello, era imprescindible disponer de una visibilidad completa de los activos a los que se conectan, así como tener capacidades de detección y respuesta no solo en los entornos tradicionales, sino en los operacionales típicamente aislados.

Servicios esenciales y resiliencia

Si esto se presumía complicado, hay que sumar la importancia de la cadena de suministro en nuestros servicios esenciales. Cada vez es más frecuente la idea de que, en algún momento, habrá un incidente de ciberseguridad, ya sea directamente en nuestra infraestructura o en la de los terceros que tengan acceso a nuestro entorno. En ese instante, una adecuada estrategia de detección y respuesta puede resultar clave para la continuidad del servicio esencial; en definitiva, para la resiliencia.

Cada vez es más frecuente la idea de que, en algún momento, habrá un incidente de ciberseguridad, ya sea directamente en nuestra infraestructura o en la de los terceros con acceso a nuestro entorno

En este sentido, observamos cómo la regulación ha visto necesaria la incorporación de estos conceptos, como vemos en la nueva Directiva NIS 2, junto con la Directiva de Resiliencia en Entidades Críticas. La estrategia de certificación bajo estándares de seguridad que provea a las organizaciones de un adecuado gobierno de la ciberseguridad, así como un sistema de gestión de seguridad de la información documentado, debe complementarse con una estrategia robusta basada en seguridad en el diseño y en revisiones de seguridad periódicas, ciberinteligencia y detección y respuesta ante posibles incidentes de ciberseguridad que pongan en peligro la continuidad de estos servicios esenciales.

Nuevas estrategias

Sin embargo, el último informe publicado por la Agencia de la Unión Europea para la ciberseguridad (ENISA), NIS Investments 2022, afirmaba, para una muestra de 1.080 operadores de servicios esenciales de 27 estados miembros, que un 37 por ciento de los mismos aún no dispone de un SOC dedicado. Esto nos confirma la necesidad de reevaluar nuestras estrategias de seguridad y de ampliar el alcance de monitorización hacia el entorno industrial, crítico para la prestación de servicios esenciales.

Queda mucho camino por recorrer, y la colaboración público-privada se antoja indispensable para entender las necesidades y retos a los que se enfrentan las organizaciones. Es clave que estas normativas se unifiquen entre todos los estados miembros para que el esfuerzo de adecuación se realice en base a una estrategia que haga frente a las nuevas amenazas y fomente la comunicación y compartición de información entre operadores de servicios esenciales.

Esto permitirá a las organizaciones entender la adecuación ante estas nuevas directivas como algo útil y alineado a su estrategia de ciberseguridad, y no como un nuevo requerimiento a cumplir; otro más.