Encuesta de Symantec Revela Disminución en el Conocimiento y la Participación en Programas Gubernamentales de Protección de Infraestructura Crítica

Symantec Corp. (Nasdaq: SYMC) presentó las conclusiones de su encuesta sobre Protección de Infraestructura Crítica (CIP, por sus siglas), la cual, según las mediciones del Índice de Participación CIP, reveló que a nivel mundial existe una disminución en el conocimiento y la participación en este tipo de programas. En comparación con lo sucedido en 2010, las compañías encuestadas en 2011 mostraron un Índice de Participación CIP en programas gubernamentales de protección del 82 por ciento, lo que representa una disminución de 18 puntos con respecto a la edición previa. En América Latina, el Índice de Participación es un poco más alto, 88 por ciento. Los proveedores de infraestructuras críticas provienen de industrias de tal importancia que, si sus redes informáticas fueran atacadas con éxito e inhabilitadas, podría generarse una amenaza a la seguridad nacional.

“Las conclusiones de esta encuesta llaman la atención, especialmente si consideramos ataques recientes como, por ejemplo, los de Nitro y Duqu, que han tenido como blanco proveedores de infraestructuras críticas”, afirma Dean Turner, Director de la Red Global de Inteligencia de Symantec. “Las limitaciones sobre el personal y los recursos - según mencionaron los encuestados - explican por qué los proveedores de infraestructuras críticas han tenido que priorizar y centrar sus esfuerzos en las amenazas informáticas del día a día. No obstante, creemos que los ataques específicos dirigidos contra este tipo de proveedores van a continuar. Las empresas y los gobiernos de todo el mundo deberían implementar acciones más agresivas enfocadas a promover y coordinar la protección de las redes informáticas de los sectores críticos. Es probable que estos últimos ataques sean sólo el comienzo de otros más específicos hacia dichos sectores”, comentó.

Aspectos destacados de la encuesta:

· Menor nivel de conocimiento y participación en programas CIP gubernamentales. Este año, en general, las compañías muestran un menor nivel de conocimiento sobre los programas CIP de sus gobiernos. En 2011, el 36 por ciento de los encuestados tenían algo o total conocimiento de los planes gubernamentales sobre infraestructuras críticas de sus países, en comparación con el 55 por ciento de 2010. Los resultados de América Latina fueron ligeramente superiores, un 39 por ciento de las organizaciones indicaron tener algún conocimiento o un conocimiento total sobre los CIP. Por otra parte, en 2011, 37 por ciento de las compañías tanto a nivel global como en América Latina participaron completamente o en gran medida en este tipo de iniciativas, en comparación con el 56 por ciento registrado en 2010 (53 por ciento para América Latina).



· Ligeramente mayor ambivalencia sobre los programas CIP gubernamentales. La encuesta también registró que las compañías mostraron mayor ambivalencia en 2011 sobre los programas CIP gubernamentales en comparación con el año 2010. Por ejemplo, tanto a nivel global como en América Latina, cuando se les pidió que expresaran su opinión acerca de los programas CIP gubernamentales, el 42 por ciento no tenía ninguna opinión o eligió una opción neutral. Además, las compañías dijeron estar un poco menos dispuestas a cooperar con programas CIP en comparación con la postura adoptada en 2010 (57 por ciento versus 66 por ciento, 59 por ciento en América Latina).



· Las Organizaciones Globales se sienten menos preparadas. No es una sorpresa que, a medida que el análisis o valoración de las amenazas por parte de las organizaciones es menor, también disminuye su nivel de preparación. En general, a nivel mundial, la preparación cayó en promedio ocho puntos (en 2011 fue de entre 60 y 63 por ciento, y el 2010 de entre 68 y 70 por ciento).


Recomendaciones para asegurar la resistencia contra ataques cibernéticas a las infraestructuras críticas:

Desarrolle y haga cumplir políticas de TI y automatice los procesos de cumplimiento. Priorizando riesgos y definiendo políticas que se implementen a todo nivel, las organizaciones pueden hacer cumplir las políticas mediante la automatización y los flujos de trabajo para no sólo limitarse a identificar amenazas, sino también para remediar los incidentes y anticiparse a ellos antes de que ocurran.
Proteja proactivamente los datos adoptando un enfoque centrado en la información para proteger tanto el contenido como las interacciones. La adopción de un enfoque centrado en el contenido para proteger los datos resulta clave a la hora de saber quién es el propietario de la información, dónde reside la información sensible, quién tiene acceso a ella y cómo ésta entra o sale de su organización.
Administre los sistemas al implementar entornos operativos seguros, distribuyendo y haciendo cumplir los niveles de control de fallas, automatizando los procesos para facilitar la eficiencia, además de monitorear y elaborar informes sobre el estado de los sistemas.
Proteja la infraestructura garantizando la seguridad de los endpoints, la mensajería y los entornos Web. Asimismo, la protección de servidores internos críticos y la capacidad para realizar copias de seguridad y recuperar datos deberían ser prioridades. Las organizaciones también deben tener la visibilidad e inteligencia sobre seguridad necesarias para responder con rapidez ante las amenazas.
Garantice la disponibilidad 24x7. Las organizaciones deben implementar métodos de prueba que no causen interrupciones en las actividades y que puedan reducir la complejidad mediante la automatización de los sistemas de tolerancia a fallas. Los entornos virtuales deben ser tratados de la misma manera que los entornos físicos, lo que demuestra la necesidad de que las organizaciones adopten herramientas para todos los entornos y para todas las plataformas, o se estandaricen en un menor número de éstas.
Desarrolle una estrategia para gestionar la información que incluya planes y políticas de retención de la misma. Las organizaciones deben dejar de usar las copias de seguridad para archivar información y conservar datos por motivos legales e implementar la deduplicación en todos los niveles para disponer de más recursos, utilizando un sistema de archivo completo e instalando tecnologías para prevenir la pérdida de datos.

Recomendaciones para que los gobiernos promuevan la protección de infraestructuras críticas:

Los gobiernos deben continuar dedicando recursos para establecer programas gubernamentales para infraestructura crítica.
o La mayoría de los proveedores de infraestructuras críticas afirmaron que conocen los programas gubernamentales de infraestructura crítica.

o Asimismo, la mayor parte de los proveedores de infraestructura crítica apoyan los esfuerzos de los gobiernos para la elaboración de programas de protección.



Los gobiernos deben establecer alianzas con asociaciones industriales y grupos empresariales privados para difundir información enfocada a incrementar el conocimiento de las organizaciones sobre los planes gubernamentales CIP, centrándose específicamente en el manejo de una respuesta en caso de sufrir un ataque informático a nivel nacional, el papel que tendrá el gobierno en este caso, quiénes serán los contactos específicos para los diferentes sectores a nivel regional y nacional y cómo podrían intercambiar información los gobiernos y las empresas privadas en caso de emergencia.

Los gobiernos deberían destacar que la seguridad no es suficiente para garantizar la resistencia frente a los ataques informáticos de hoy. Los gobiernos también deberían exaltar a los proveedores de infraestructura crítica y a las empresas a que la información se almacene, en copias de seguridad, organizada y priorizada, y que cuenten con los procesos apropiados sobre identidad y control de acceso.