Segurilatam 013

75 artículo técnico Seguridad Aeroportuaria Primer cuatrimestre 2020 guridad a nivel mundial: la seguridad o ciberseguridad total no existe. Por muchas medidas que integre una orga- nización, no estará protegida al cien por cien. La incertidumbre aquí es y será in- definida. Sin embargo, una manera efi- ciente de entender el estado actual de ciberseguridad y conocer la forma en que los sistemas pueden estar expues- tos ante ataques cibernéticos es pro- bar sus sistemas, controles y procedi- mientos de recuperación de forma re- gular, pero desde la perspectiva de los atacantes. Estrategia ciber La visión que les comparto es la de de- sarrollar una estrategia de cibersegu- ridad ofensiva integral, alineada con la cultura de la organización, donde se consideren realizar diferentes tipos de pruebas que cubran distintos aspec- tos desde una óptica completamente ofensiva. Para lograrlo, es necesario conocer y entender el tipo de adversarios que re- presentan un riesgo para la organiza- ción en particular y no de forma gene- ral. Esto permitirá tener un mejor co- nocimiento de las capacidades de los atacantes, sus técnicas y procedimien- tos, así como el nivel de exposición y la posibilidad de que se presente un com- promiso de ciberseguridad. Una vez que se tiene este conocimiento, es im- portante identificar y priorizar los acti- vos más importantes para la organiza- ción, de manera que se puedan evaluar los riesgos y el impacto asociados a un potencial ataque cibernético. La mejor forma de saber si la organi- zación está preparada ante algún tipo de incidente es emular ese tipo de pa- trones, seguir las mismas tácticas y pro- cedimiento y conocer las herramien- tas que usaría un atacante real. De esta forma se podrá medir realmente la ca- pacidad de detección y respuesta de manera proactiva. La estrategia de ciberseguridad debe considerar las inversiones necesarias para atender, dar continuidad y priorizar las áreas de oportunidad identificadas en el análisis de riesgos. Por último, y no por ello menos im- portante, también se debe considerar la concienciación en ciberseguridad para los empleados. Como siempre se acos- tumbra a decir, y los datos así lo de- muestran, el ser humano es el eslabón más débil de la cadena, aunque tam- bién puede ser la pieza más fuerte den- tro del proceso. Para poder mitigar ese riesgo inherente, no hay mejor solu- ción que diseñar un plan de concien- ciación continua en materia de ciberse- guridad. Hay diferentes líneas de acción que se pueden realizar, aunque la mejor opción sería optar por varias iniciativas complementarias entre sí. Desde el primer momento, los nue- vos empleados deberían recibir una bienvenida en materia de ciberseguri- dad donde se les explicase las amena- zas más comunes y cómo protegerse ante ellas. Posteriormente, y de forma periódica, se tendrían que realizar en- víos de pequeñas cápsulas, haciendo foco en temas concretos y jornadas de concienciación tanto presenciales como en línea. Visión holística En conclusión, el paradigma de las re- des, sistemas y tecnologías aisladas y protegidas detrás del firewall de la or- ganización quedó atrás. La actualidad exige una amplia variedad de sistemas, aplicaciones, servicios, tecnologías y plataformas interconectados entre sí. Estos requieren una correcta protec- ción, ya que a través de ellos los ata- ques cibernéticos podrían afectar la continuidad de los servicios, las opera- ciones y el negocio en sí mismo dentro de la industria de la aviación. En una era de rápida transformación digital, automatización y proliferación de nuevas aplicaciones para el desa- rrollo de las organizaciones, las amena- zas y el riesgo cibernético son cada vez mayores. Necesitamos desarrollar es- trategias holísticas que nos den visibili- dad y habiliten una respuesta proactiva hacia los incidentes de ciberseguridad, que sean transversales a toda la organi- zación, que estén acompañadas de in- versión y que consideren la concientiza- ción de los empleados como uno de los elementos clave para la ciberresiliencia. Debemos contar con iniciativas que inviten a los integrantes de esta in- dustria a intercambiar conocimiento y experiencias, proponer soluciones a las amenazas emergentes y estar ac- tualizados en un tema tan importante como el de la ciberseguridad en el sector aéreo.