Global Energy México estuvo en la Conferencia sobre Seguridad Cibernética para el Sector Público Mexicano, impartida y organizada por Tenable México y la Embajada de Estados Unidos con el propósito de abrir un espacio de diálogo para encontrar soluciones competitivas en materia y, según lo señalado por Braeden Young, Líder del Servicio Comercial de los Estados Unidos en México, contribuir a concientizar sobre los riesgos y tendencias que ayudan a enfrentar las amenazas de alto impacto.
En este contexto, Jamieson Brown, Director Global de Asuntos de Gobierno de Tenable, afirmó que la industria debe comprometerse a trabajar con los gobiernos en el desarrollo de políticas que den lugar a prácticas de higiene cibernética y de promoción de la misma. Esto durante su ponencia “Gestión de riesgos y entorno global de políticas de ciberseguridad en el sector público”.
Sostuvo que las organizaciones están llevando a cabo una transformación digital que, si bien ha generado un gran número de oportunidades, eficiencias y mejores servicios, también han dado paso a vulnerabilidades y desafíos: “como resultado de todos los nuevos dispositivos conectados a la red, hay un nuevo ambiente dinámico en el que éstos han sobrepasado la seguridad, por lo que los gobiernos han implementado políticas de ciberseguridad global para cubrir a los sectores públicos.
Sin embargo, según manifestó, aún existen áreas de mejora en cuanto al desarrollo de certificaciones para los dispositivos IoT, gestión de riesgo y concientización. “Para Tenable, hay un conjunto de principios que los hacedores de políticas deben de seguir. Lo primero es preguntarse si dichas políticas mejoran la ciberseguridad de forma efectiva sin el desperdicio de recursos y si son suficientemente flexibles para permitir la innovación tecnológica continua, con el fin de no caer en la obsolescencia ante amenazas o ataques futuros.
Asimismo, Roberto Hernández, Presidente de ISACA Capítulo Ciudad de México, abordó la ciberseguridad en el sector público mexicano y destacó que es fundamental adecuar la regulación a las circunstancias de cada entidad, pero sobre todo, que IP y gobierno trabajen y caminen juntos hacia la construcción de una ciber resiliencia.
“La ciberseguridad es la protección de los bienes, particularmente, de la información que circula a través de sistemas interconectados, mientras que la ciber resiliencia es la capacidad de anticiparse, mantenerse, recuperarse y adaptarse ante circunstancias adversas y ataques que comprometen el uso de recursos. La ciber resiliencia asegura que la misión de las empresas, organizaciones o institutos se cumpla pese a los ataques”, explicó.
Detalló una arquitectura ciber resiliente, como la Ciber Resiliencia NIST 800-160, se basa en un diseño cuyas técnicas responden de forma adaptativa, con base en principios de segmentación como el monitoreo analítico, la protección coordinada, el posicionamiento dinámico, representación dinámica, realineamiento, etcétera, para tener la capacidad de moverse, esconderse y transformarse.
Enfatizó que es más complejo ser ciber resiliente, pues ello demanda el cubrir las deficiencias a nivel de personal, por lo que recomendó establecer un centro de desarrollo profesional de ciberseguridad para el sector, implantar prácticas de Ciber Resiliencia NIST SP 800-160 y principios de diseño de Ciber Resiliencia Mitre, incrementar medidas de control de ciberseguridad (NIST SP 800 – 53), establecer modelos de medición de estatus a nivel comité, incrementar la comunicación entre reguladores y compartir información sobre mejores prácticas, amenazas e incidentes, además de asegurar el cumplimiento de la normatividad actual.
Por su parte, Luis Isselin, Director General de Tenable México, indicó que la seguridad debe basarse en tres ejes:
1) Protección todo el tiempo, es decir, hacer diagnósticos frecuentes en las dependencias para identificar problemas de vulnerabilidad que deben ser atendidos antes de que llegue el ataque, con herramientas de monitoreo continuo del riesgo tecnológico, tales como sensores, analítica y otras innovaciones de última generación.
2) Protección de toda la superficie. La transformación digital ha impulsado activos que hace diez años no existían: móviles, centros de datos, SCADA, etc. Generalmente el análisis se ejecuta en los que se consideran críticos, sin embargo, hay que evaluar toda la superficie susceptible, para lo cual es imprescindible hacer inventarios de hardware, es decir, de todo lo que se conecta; de software y de controles de acceso.
3) Priorización predictiva. Es previa a la llegada del ataque y recae en el grado de criticidad de la vulnerabilidad; en el tipo de amenaza, de acuerdo con su impacto y fuente; y, finalmente, en la importancia del activo en cuestión para la organización, de acuerdo con su función y propósito. Se responde con cuatro preguntas clave: en dónde se está expuesto, en dónde hay que enfocarse primero, cómo se reduce la exposición en el tiempo y cómo es el comportamiento con respecto al promedio de la respectiva industria.
“Verizon sostiene que el 99 por ciento de las vulnerabilidades explotadas fueron atacadas a más de un año de haber sido conocidas. El 80 por ciento de los esfuerzos se destinan a protección y detección, pero pocas veces hay una estrategia para prevenir y responder. Es muy importante tener una estrategia amplia y basada en las mejores prácticas”, finalizó.
