En la actualidad, la ciberseguridad se ha consolidado como un componente clave para todo tipo de organizaciones, sin importar el tamaño, y lo que está claro es que su importancia seguirá creciendo en los próximos años. Tanto es así que el Instituto Nacional de Estándares y Tecnología (NIST), dependiente del Departamento de Comercio de EE. UU.,ha introducido el Marco de Ciberseguridad (CSF) como recomendación para entidades que manejan infraestructuras críticas, de forma que puedan optimizar la resiliencia de su entorno informático y, por ende, la ciberseguridad.
Las infraestructuras críticas, entre ellas plantas de energía eléctrica o nucleares, sistemas de distribución de agua, redes de transporte ferroviario, el sector bancario, la tecnología satelital y los sistemas de telecomunicaciones o gubernamentales, brindan servicios fundamentales. Su correcto funcionamiento es esencial por lo que interrupciones o daños en estas infraestructuras provocarían un impacto significativo en servicios vitales. Dado que están sujetas a una amplia gama de riesgos y amenazas, estas infraestructuras requieren de medidas de protección avanzadas.
En este sentido, si nos centramos en el caso de Europa, con el fin de garantizar un alto nivel de ciberseguridad en el conjunto de la UE, se ha desarrollado la Directiva NIS 2. Su objetivo es mejorar la seguridad nacional de las redes y la información, fomentar una cultura de seguridad entre los sectores vitales y asegurar la cooperación entre los Estados miembros.
Ahora bien, en primer lugar, es importante destacar que una completa documentación y gestión de las infraestructuras y redes informáticas constituye el primer paso para lograr la eficiencia y la máxima seguridad de nuestros entornos. Sin embargo, en muchas organizaciones, los procesos considerados como “fiables” han permanecido inalterados durante años, pasando por alto revisiones periódicas o mejoras. Así, en lugar de contar con un sistema unificado de documentación accesible a toda la empresa y con permisos específicos, se utilizan hojas de Excel aisladas y sin conexión entre sí; en vez de centralizar la información en una fuente común, existe una tendencia a crear múltiples bases de datos o archivos locales independientes, lo que dificulta la cohesión y el acceso a la información. De esta forma, casi toda la documentación está incompleta, anticuada o simplemente ha dejado de ser comprensible. Las empresas y organizaciones deben darse cuenta de que no es solo ineficaz para sus operaciones, sino que también supone un grave riesgo para su seguridad.
Entendiendo los recursos clave que sostienen las operaciones esenciales, así como los riesgos asociados a la ciberseguridad, las empresas pueden centrar y priorizar sus esfuerzos, de acuerdo con su estrategia de gestión de riesgos y sus necesidades empresariales. Este proceso, imprescindible para cualquier organización, comienza con la identificación, catalogación y evaluación de datos, personas, dispositivos, sistemas y equipos. Así, los encargados de la infraestructura informática de cada empresa deben llevar a cabo tareas específicas como realizar inventarios de dispositivos, de sistemas físicos, así como de plataformas y aplicaciones informáticas; mapear los flujos de comunicación y datos, catalogar sistemas de información externos, y priorizar recursos que incluyen hardware, dispositivos, datos, tiempo, personal y software.
Aunque en un principio puede parecer un proceso complejo, una documentación exhaustiva de la infraestructura informática va de la mano de una rápida identificación y eliminación de vulnerabilidades. Y, si a pesar de todo se produce un error crítico, la documentación de la infraestructura informática permite a los responsables restaurar rápidamente los sistemas informáticos en caso de emergencia, garantizando al mismo tiempo el acceso a los datos críticos.
Una vez completada esta etapa inicial, deberán también establecerse las funciones y responsabilidades de ciberseguridad para toda la plantilla y terceras partes interesadas. Además, es importante identificar las dependencias y funciones críticas para la prestación de servicios, especialmente aquellos en los que puede llegar a comprometerse la seguridad. De este modo, las organizaciones pueden tomar medidas proactivas para minimizar los efectos negativos en las operaciones, en lugar de reaccionar solo ante los problemas existentes y limitarse a reparar los daños. No sólo se trata de proteger las líneas vitales digitales de las empresas, sino también la base de todos los procesos.
Por otro lado, una documentación completa y su transparencia asociada hace que las certificaciones y auditorías también puedan prepararse y llevarse a cabo con mayor eficacia, reforzando a su vez la reputación externa de las organizaciones y la confianza de los auditores.
En conclusión, lo que está claro es que, una documentación sin fisuras y una total transparencia constituyen las bases de la ciberseguridad. Solo conociendo en profundidad la infraestructura podemos identificar las dependencias y relaciones causa-efecto entre los componentes, facilitando la identificación de las áreas que corren el riesgo de verse afectadas por problemas, fallos y averías. En este sentido, El Marco de Seguridad Cibernética (CSF) de NIST, con su amplio catálogo de medidas, deja claro a muchas organizaciones la necesidad de reconsiderar sus estrategias de gestión de riesgos y sus necesidades empresariales. Para ello, una documentación clara será esencial, ya que, como suele decirse comúnmente “solamente puedes proteger aquello que conoces”.
