Así son las prácticas de protección a infraestructura crítica en Estados Unidos

Experto revela cómo trabajan desde el gobierno en Estados Unidos para proteger sus activos más críticos.

308

Cada país debe tener una estrategia personalizada de protección de su infraestructura crítica para evitar riesgos ante eventuales ataques, explicó Enrique E. Matheu, director Adjunto de la División de Programas y Extensión Sectorial de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos.

El experto detalló que en Estados Unidos han definido 16 sectores que fueron identificados como infraestructura crítica y que, dependiendo de su actividad, son supervisados por las secretarías o departamentos como el de Seguridad Nacional, de Defensa, Energía, por mencionar algunos.

Entre los 16 sectores definidos como infraestructura crítica están las Comunicaciones, los Servicios de Emergencia, Química, Energía, Servicios Financieros, Salud Pública, Reactores Nucleares, Sistemas de Transporte y Agua, por mencionar algunos.

“El número de sectores es un proceso dinámico, tiene que responder a la realidad de cada momento y a las necesidades de colaboración.

“Hay un número de agencias federales a nivel nacional que tienen la responsabilidad de abarcar un sector de administración de riesgos. El Departamento de Seguridad Nacional, por ejemplo, es responsable de ocho de los 16 sectores de infraestructura crítica. Nos organizamos así para responder a las amenazas”, detalló Enrique E. Matheu durante la conferencia Protección de Infraestructura Crítica, Respuesta de Incidentes y Ransomware, organizada por la Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. (Alapsi).

El experto destacó que se deben tener en cuenta para la protección de infraestructuras críticas el tipo de amenazas, coordinación múltiple, cooperación entre sector privado y público, información y administración de riesgos, y la colaboración internacional.

Insistió en que es importante la colaboración entre gobiernos y la iniciativa privada, y aseguró que el problema de inseguridad en infraestructura crítica no se puede resolver sin la colaboración internacional.

“En Estados Unidos tenemos regulaciones de infraestructura crítica y políticas, pero esencialmente estamos buscando abordaje voluntario, industrias trabajando juntas con consejos de coordinación para cada uno de los 16 sectores de infraestructura crítica.

“Basándonos en la realidad estadounidense, podemos decir que no se puede hacer solo por parte del gobierno, sino que necesitamos al sector privado”, agregó Matheu.

Por su parte, Enrique Vaamonde, cofundador de la firma Tekium, señaló las principales fallas en la protección de infraestructura crítica.

Dijo que estas son el hecho de que no existe inventario de activos, no hay un plan de respuestas a incidentes, falta visibilidad de actividades en la red y en hosts críticos, y los logs de seguridad son insuficientes.

“Simplemente no podemos identificar lo que no podemos ver. Sin visibilidad es más complicada la tarea. ¿Cómo detener a alguien que ni conocemos?, no sabemos quién es, el origen y cómo se metieron”, comentó.

Agregó que no es opcional tener un inventario activo de los sectores críticos, pero sí es necesario hacer un modelo de amenazas, poner en práctica al equipo defensor y pensar en resiliencia.