21 de noviembre de 2024

Tres de cada cuatro instituciones consideran vulnerables las infraestructuras OT de los servicios esenciales

Check Point Software Technologies y el Centro de Ciberseguridad Industrial (CCI) han presentado el informe “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, que analiza el grado de protección en los entornos industriales críticos. Entre las principales conclusiones del estudio, en el que han participado 18 operadores de cinco sectores estratégicos, destaca que casi el 75% de los entrevistados considera que el grado de vulnerabilidad de las infraestructuras OT de los servicios esenciales es alto. Estos datos son alarmantes, dado que, según el Centro Criptológico Nacional, en 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España, lo que supone un 25% más que el año anterior. En este sentido, la capacidad de respuesta frente a ciberamenazas se mantiene como la asignatura pendiente para garantizar la seguridad de las infraestructuras críticas. Precisamente, el estudio indica la necesidad de trabajar en este aspecto, puesto que tan solo un 20% de los encuestados califica la capacidad de respuesta en entornos OT como alta. En este contexto, el sector del gas y el petróleo es el único que declara estar bien preparado en ambos entornos.

Por otra parte, en cuanto a las consecuencias derivadas de los ataques sufridos, casi un 30% de los profesionales señala que la pérdida de un servicio esencial es uno de los principales ciberincidentes a los que hacen frente. Esto es debido, principalmente, a que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad. Por el contrario, el documento destaca la falta de concienciación sobre las consecuencias físicas que pueden tener las vulnerabilidades en sectores como el del agua o la salud, donde solo un 10% de los encuestados lo consideran como una consecuencia a tener en cuenta.

En palabras de Mario García, director general de Check Point para España y Portugal, “este estudio demuestra que todavía las organizaciones que operan servicios esenciales no están suficientemente preparadas para dar respuesta a los incidentes de ciberseguridad”, señala. Sin embargo, continúa, “hay razones para el optimismo, ya que las empresas que se dedican a este tipo de actividades muestran cada vez un mayor grado de concienciación y, por tanto, están realizando grandes esfuerzos para optimizar sus niveles de protección”.

La gestión de las ciberamenazas

Precisamente, el primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en dilucidar si la gestión de los recursos y soluciones de protección se realizará de forma interna o si, por el contrario, se externalizará. En el estudio la mitad de los encuestados indican que la gestión es propia y la otra mitad que es externa. Asimismo, tampoco existe una respuesta determinante entre gestión IT y OT integrada o independiente, siendo ligeramente en más casos la gestión independiente. Sin embargo, por sectores sí se vislumbran claras diferencias, puesto que la estructura organizativa del de salud y eléctrico renuncian a la gestión propia, mientras que otros como el del agua y el del gas y petróleo apuestan por ella. El sector de transportes, por el contrario, es el único que mantiene el equilibrio entre ambas estrategias.

Por otra parte, el estudio también pregunta sobre el futuro en materia de ciberseguridad aplicada a las infraestructuras físicas. En ese sentido, un 41% de las organizaciones se muestran convencidas de que la principal ciberamenaza serán los incidentes que comprometan la seguridad de los dispositivos IoT. Analizando la información por sectores, podemos resaltar que tanto salud (60%) como gas y petróleo (50%) son los modelos de negocio que se ven más afectados por este tipo de amenazas; mientras que el del agua, con un 33%, es el que muestra un mejor comportamiento en términos de protección.

Ante esta situación, la mayoría de las organizaciones industriales empiezan a contemplar, al menos, requisitos básicos de ciberseguridad industrial en sus nuevos proyectos, siendo los correspondientes a las infraestructuras de comunicaciones donde se contempla mayor exigencia, tanto en las redes WAN (conexiones y accesos a redes remotas) y LAN (redes locales).

Cortesía: Redseguridad.com

Please follow and like us:@cumbrenews

About Author

Suscribete a Nuestra Pagina