Seguridad

Los datos que ponen en entredicho la ciberseguridad de las infraestructuras críticas de España

Una enorme falta de sensibilización sobre los riesgos cibernéticos ponen en jaque a las infraestructuras críticas de nuestro país, especialmente las relacionadas con el agua.

En España existen más de 3.500 infraestructuras consideradas como críticasSon aquellas instalaciones de las que no existe reemplazo en caso de fallo o error y que cumplen una función vital para la economía, la sociedad y la propia existencia del país. Hablamos de centrales eléctricas, almacenes nucleares, sistemas de gestión de aguas, transportes, canalizaciones de gas o refinerías y reservas de petróleo.

Su cuidado es siempre una obsesión por parte de las autoridades y la máxima prioridad para las entidades que las gestionan, ya sea de forma directa o indirecta. Y cuando hablamos de la ciberseguridad, la preocupación se vuelve una alarmante realidadlas infraestructuras críticas españolas recibieron 134 ataques tan sólo en 2015, una cifra que no ha dejado de crecer en los últimos cursos.

Si bien hasta el momento ninguno de estos incidentes ha tenido repercusión directa sobre el funcionamiento de nuestras infraestructuras críticas ni ha comprometido la continuidad del servicio que prestan, nunca está de más asegurarse de que estamos haciendo todo lo posible por evitar un susto mayor en el futuro. Entran en juego las auditorías de seguridad y evaluación del riesgo que, curiosamente, es un elemento olvidado por el 20% de los operadores de estas infraestructuras críticas.

Así lo defiende un estudio publicado por la firma Check Point, en el que se destaca como cuatro de cada diez empresas del sector agua o transporte no ha llevado a cabo este fundamental proceso; todo lo contrario que las compañías dedicadas al gas y el petróleo: todas ellas han realizado inspecciones técnicas, el 89% organizativas y otro 50% normativas.

¿Cómo se protegen las infraestructuras críticas en España?

Si esta falta de prevención es grave, más todavía lo es carecer de cualquier sistema de gestión una vez que se produzca un incidente de ciberseguridad. Un 22% de los operadores críticos españoles reconoce no tener ningún proceso en esta línea (un extraordinario 67% en el caso de gestores de agua), mientras que en el caso más avanzado (las plantas nucleares) la cifra de cumplimiento apenas llega al 67%.

En la mayoría de los casos, la existencia de conexiones directas, o controladas de forma incorrecta, entre las redes de operación y corporativa es la causante de los principales riesgos que afrontan los operadores de infraestructuras críticas. En torno al 40% de los operadores de infraestructuras críticas mantienen sus redes conectadas de esta forma y apenas el 27% de los operadores establecen múltiples niveles de segmentación.

Seguimos con las sorpresas cuando tratamos de vislumbrar cuál es el grado de sensibilización sobre ciberseguridad de los responsables de negocio de estos operadores críticos. Menos de la mitad (el 40%) afirma que la sensibilización es alta, mientras que un destacable 25% de los directivos admite que es muy poca o inexistente (de nuevo, con el sector agua saliéndose de la gráfica con un 67% de falta de concienciación). De hecho, únicamente el 12% de las empresas recibe exigencias de ciberseguridad desde la dirección.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.