A pesar de los recientes ataques a las infraestructuras críticas de varios gobiernos por parte de Nitro y Duqu, el conocimiento de los programas de protección por parte de las empresas ha disminuido, revela la encuesta sobre Protección de Infraestructura Crítica de Symantec de 2011. Así, el nivel de conocimiento se ubica en 82%, 18 puntos respecto al sondeo del año anterior.
“Las conclusiones de esta encuesta llaman la atención, especialmente si consideramos ataques recientes como los de Nitro y Duqu, que han tenido como blanco proveedores de infraestructuras críticas”, señaló Dean Turner, director de la Red Global de Inteligencia de Symantec. Y agregó que se prevé que los ataques dirigidos contra los proveedores de infraestructura crítica van a continuar.
La encuesta sobre Protección de Infraestructura Crítica (PIC) reveló que existe una disminución en el conocimiento y la participación en este tipo de programas a escala global. En concreto, 82% de las compañías encuestadas en 2011 mostraron un índice de participación PIC, 18 puntos menos que en la edición del año anterior. En América Latina, el Índice de Participación es un poco más alto, 88 por ciento.
La encuesta también dejo ver que, en general, las compañías tienen un menor nivel de conocimiento sobre los programas PIC de sus gobiernos. En 2011, 36% de los encuestados tenían algo o total conocimiento de los planes gubernamentales sobre infraestructuras críticas de sus países, en comparación con 55 por ciento de 2010. En tanto, las empresas de América Latina fueron ligeramente superiores: 39% de las organizaciones indicaron tener alguna noción o un conocimiento total sobre los PIC. Por otra parte, en 2011, 37% de las compañías tanto a nivel global como en América Latina participaron completamente o en gran medida en este tipo de iniciativas, en comparación con el 56% registrado en 2010 (53% para América Latina).
Asimismo, al cuestionar a las empresas participantes en el estudio sobre su opinión acerca de los programas PIC gubernamentales, 42% dijo que no tenía ninguna opinión o eligió una opción neutral. Además, las empresas dijeron estar un poco menos dispuestas a cooperar con programas de PIC en comparación con la postura adoptada en 2010 (57% versus 66%, 59 por ciento en América Latina).
De igual modo, el sondeo dejó ver que las organizaciones globales se sienten menos preparadas. En general, a nivel mundial, la preparación cayó en promedio ocho puntos – en 2011 fue de entre 60 y 63%, y entre 68 y 70% en 2010. “No es una sorpresa que, a medida que el análisis o valoración de las amenazas por parte de las organizaciones es menor, también disminuye su nivel de preparación”, cita el informe.
Ante este panorama, Symantec hace una serie de recomendaciones para asegurar la resistencia contra ataques electrónicos a las infraestructuras críticas, entre las que destaca:
• Desarrollar y hacer cumplir políticas de TI y automatizar los procesos de cumplimiento. Al priorizar los riesgos y definir las políticas que se implementen a todo nivel, las organizaciones pueden hacer cumplir las políticas mediante la automatización y los flujos de trabajo para no sólo limitarse a identificar amenazas, sino también para remediar los incidentes y anticiparse a ellos antes de que ocurran.
• Proteger proactivamente los datos adoptando un enfoque centrado en la información para proteger tanto el contenido como las interacciones. La adopción de un enfoque centrado en el contenido para proteger los datos resulta clave a la hora de saber quién es el propietario de la información, dónde reside la información sensible, quién tiene acceso a ella y cómo ésta entra o sale de su organización.
• Administrar los sistemas al implementar entornos operativos seguros, distribuyendo y haciendo cumplir los niveles de control de fallas, automatizando los procesos para facilitar la eficiencia, además de monitorear y elaborar informes sobre el estado de los sistemas.
• Proteger la infraestructura garantizando la seguridad de los endpoints, la mensajería y los entornos Web. Asimismo, la protección de servidores internos críticos y la capacidad para realizar copias de seguridad y recuperar datos deberían ser prioridades. Las organizaciones también deben tener la visibilidad e inteligencia sobre seguridad necesarias para responder con rapidez ante las amenazas.
• Garantizar la disponibilidad 24×7. Las organizaciones deben implementar métodos de prueba que no causen interrupciones en las actividades y que puedan reducir la complejidad mediante la automatización de los sistemas de tolerancia a fallas. Los entornos virtuales deben ser tratados de la misma manera que los entornos físicos, lo que demuestra la necesidad de que las organizaciones adopten herramientas para todos los entornos y para todas las plataformas, o se estandaricen en un menor número de éstas.
• Desarrollar una estrategia para administrar la información que incluya planes y políticas de retención de la misma. Las organizaciones deben dejar de usar las copias de seguridad para archivar información y conservar datos por motivos legales e implementar la deduplicación en todos los niveles para disponer de más recursos, utilizando un sistema de archivo completo e instalando tecnologías para prevenir la pérdida de datos.
En cuanto a los gobiernos, Symantec les recomienda seguir dedicando recursos para establecer programas para infraestructura crítica; establecer alianzas con asociaciones industriales y grupos empresariales para difundir información para aumentar el conocimiento de las organizaciones sobre los planes PIC gubernamentales; y destacar que la seguridad no es suficiente para garantizar la resistencia frente a los ataques de hoy.
La Encuesta Protección de Infraestructura Crítica de Symantec fue realizada durante agosto y septiembre de 2011 por Applied Research, e incluyó a 3 mil 475 organizaciones de 37 países en Norteamérica, EMEA (Europa, Medio Oriente y África), Asia del Pacífico y América Latina, incluyendo países como Argentina, Brasil, Chile, Colombia y México.
