La dinámica actual de la sociedad de la información ha puesto en evidencia que existen riesgos que pueden afectar de forma grave la infraestructura crítica poniendo en peligro la economía y la seguridad nacional de un país. A continuación presentamos un resumen de los planes que los gobiernos de la Unión Europea y Estados Unidos han planteado para enfrentar estas amenazas.

La infraestructura crítica proporciona servicios esenciales para los países y su funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Dentro de estas se encuentran los servicios de energía, se destacan las plantas nucleares por su criticidad (en la imagen, a modo de ejemplo, una central nuclear española), las carreteras, los servicios de agua, salud e higiene e incluso los servicios de información que sostienen la economía.

Los gobiernos de las naciones europeas y de Estados Unidos comparten una serie de preocupaciones acerca de lo vulnerables que pueden llegar a ser sus infraestructuras críticas ya que reconocen que las amenazas y los ataques cibernéticos están aumentando y por lo tanto estas vulnerabilidades representan un riesgo para el normal desarrollo de la vida de sus habitantes.

En el caso de Estados Unidos consideran que la seguridad nacional y económica del país depende en gran medida del funcionamiento fiable de su infraestructura crítica, por tal razón, mediante un decreto firmado por su presidente, ordena implementar una estrategia que permita la defensa de la infraestructura crítica del país contra ataques cibernéticos.

Por su parte el plan presentado por la Comisión Europea es un poco más amplio pues no se centra exclusivamente en la protección de su infraestructura crítica. Este plan tiene como objetivos aumentar la seguridad de la información, garantizar la seguridad de las redes y proteger las comunidades electrónicas. El desarrollo del plan de la Unión Europea está alrededor de cinco estrategias prioritarias de seguridad: la capacidad de recuperarse ante ataques cibernéticos, reducir drásticamente el cibercrimen, desarrollar una política para la ciberdefensa, contar con los recursos tecnológicos para la ciberseguridad y establecer una política de colaboración entre los estados miembros de la Unión Europea.

En general ambas propuestas presentan lineamientos para prevenir y disipar los ciberataques y perturbaciones en las redes que soportan las funciones consideradas críticas. Comparten como estrategias el mejoramiento en la prevención, detección y respuesta a los incidentes cibernéticos de tal forma que la información sobre los ataques pueda aprovecharse para la defensa.

Particularmente, en el caso del plan presentado por la Unión Europea destaca la solicitud a los estados miembros designar autoridades que se encarguen de la seguridad de los sistemas de información, y que a través de los Equipos de Respuesta a Incidentes de Seguridad de la Información (CERT) permitan mantener y restaurar la operatividad sus redes y sistemas de información.

Otro punto que cabe destacar del plan europeo es orientar a los estados miembros hacia la adopción de prácticas para la gestión de riesgos en las administraciones públicas y para los operadores de servicios financieros, de transportes, servicios de energía y para los prestadores de servicios que operen con información sensible de los usuarios, como son los servicios de pagos y comercio electrónico, servicios de computación en la nube o redes sociales.

Ya desde ESET Latinoamérica en el informe de tendencias 2013 en materia de seguridad de la información destacábamos la  fuga de información y el ciberespionaje como casos que podrían llegar a tener más relevancia en la región durante este año. Como vemos ya en otras partes del mundo, los gobiernos se han empezado a preparar para enfrentar este tipo de amenazas. Por lo tanto en Latinoamérica mientras se da el salto a que la seguridad de la información sea una política pública es responsabilidad de la empresas proteger sus activos de información adecuadamente.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research