En los últimos meses hemos conocido dos eventos públicos relacionados con sistemas estratégicos para el país. Me refiero a la ¨caída¨ del sistema de pagos electrónicos SPEI del Banco de México que utilizan los bancos mexicanos, y a los recientes rumores del ¨hackeo¨ y secuestro de sistemas y equipos de cómputo a Pemex. En ambos casos, la información sobre los eventos es escueta y deja más dudas que certidumbre de la capacidad de las instituciones y empresas nacionales para enfrentar al ciberdelito y los riesgos del mundo digital.
Ello viene a colación porque son temas básicos de una estrategia digital de los países y las grandes organizaciones. ¿Cómo asegurar la operación regular de las plataformas, sistemas y equipos que son críticos para el país? La respuesta está en el diseño e implementación de estrategias para prevenir, atender y responder a los retos de un mundo conectado y cada vez más inseguro.
Entre las mejores prácticas que se proponen para atender estos riesgos está la de identificar la infraestructura crítica que debe ser resguardada para su operación integra, los protocolos necesarios para la prevención, atención y respuesta ante riesgos y desastres; y la creación de una instancia capaz de coordinar los esfuerzos.
La infraestructura crítica son los ¨sistemas y servicios que dan el soporte a sistemas esenciales para el desarrollo de la sociedad tal y como las conocemos actualmente, y que garantizan el normal funcionamiento de los servicios prestados por los estados. De acuerdo con esta definición, existen sectores que por sus características son especialmente sensibles, como, por ejemplo, el eléctrico, el agua, el gas, el transporte, el químico, las comunicaciones, el sistema financiero, el sanitario, etc¨.
Un elemento adicional a entender en el caso del resguardo de la infraestructura crítica de un país, es el hecho de la interconectividad existente en el mundo digital. Ello potencia efectos de contagios y de multiplicación de consecuencias que pueden rebasar a los propios países, como es el caso de los virus. También significan oportunidades, pues se pueden obtener economías de escala en el uso y aprovechamiento de la infraestructura tecnológica, como ocurre en la Unión Europea, que trabaja en el concepto de Espacio Económico Común Europeo.
Cabe señalar que el tema de la infraestructura tecnológica crítica no es exclusivo de los gobiernos, también es aplicable a todas las empresas y organizaciones que dependen de sistemas y servicios informáticos: solo cambian los riegos y la complejidad en su atención.
En Estados Unidos se creó una agencia responsable, denominada CISA (Cyber+Infrastructure), para ¨proteger la infraestructura crítica de la nación de las amenazas físicas y cibernéticas. Esta misión requiere una coordinación y colaboración efectivas entre un amplio espectro de organizaciones gubernamentales y del sector privado¨. Considera varios aspectos en la estrategia nacional:
- Protección cibernética integral. El Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) de CISA proporciona al gobierno federal capacidades de conciencia cibernética, análisis, respuesta a incidentes y defensa cibernética 24×7 a gobiernos estatales, locales, tribales y territoriales; el sector privado y socios internacionales.
- Resiliencia de infraestructura. CISA coordina los esfuerzos de seguridad y resiliencia, utilizando asociaciones confiables en los sectores público y privado, además elabora un análisis de riesgo consolidado de todos los peligros para la infraestructura crítica del país a través del Centro Nacional de Gestión de Riesgos.
- Comunicaciones de emergencia. CISA ayuda a los socios de todo el país a desarrollar sus capacidades de comunicaciones de emergencia.
- Centro Nacional de Gestión de Riesgos. Es un centro de planificación, análisis y colaboración que trabaja para identificar y abordar los riesgos más importantes para la infraestructura crítica¨.
México está en un grave riesgo. Tiene la posición 62 de 137 países evaluados en el Índice de Competitividad por Calidad de Infraestructura 2017-2018 del World Economic Forum (WEF). Desde 2016, la consultora británica “Verisk Maplecroft” declaró que México se encuentra entre los 13 países más peligrosos del mundo en materia de vulnerabilidad y riesgos cibernéticos.
Ante los hechos y los datos, ¿no debería de ser momento de actuar? ¿Qué esperamos? ¿Un desastre mayor? Al tiempo.