El ataque a la infraestructura nacional crítica es inminente, dice más de la mitad de los encuestados en la encuesta de Infosecurity Europe.
Más de la mitad (59 por ciento) de los encuestados en la última encuesta de redes sociales realizada por Infosecurity Europe 2019, el evento de seguridad de la información número uno de Europa, cree que es probable que este año se produzca un ataque a la infraestructura nacional crítica del Reino Unido.
A medida que se conectan más dispositivos, sistemas e infraestructura a Internet, los mundos cibernético y físico se vinculan cada vez más, lo que abre nuevos vectores de ataque. Según Ciaran Martin, director del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, un ataque importante de categoría uno (C1) en nuestra infraestructura crítica, uno que interrumpe los servicios esenciales o afecta la seguridad nacional, es una cuestión de «cuándo, no si ”.
Las respuestas a la encuesta de Infosecurity Europe también indican que las organizaciones de todos los sectores no están debidamente preparadas para gestionar la seguridad de forma eficaz en entornos físicos y cibernéticos. La falta de colaboración y el escaso conocimiento de la legislación clave son los mayores problemas. Los desafíos y complejidades que plantea la convergencia de la seguridad cibernética y física formarán una parte clave del programa de la conferencia en el evento Infosecurity Europe 2019 de este año.
Más de dos tercios (68%) de los encuestados dicen que los equipos de seguridad a cargo de sus infraestructuras físicas y cibernéticas nunca colaboran. Esta desconexión conduce a planes desalineados y prioridades en conflicto, al tiempo que crea ‘silos’ que dificultan que los CISO obtengan una visibilidad completa de los controles y riesgos en los entornos de TI y OT (Tecnología operativa).
“La defensa de los activos críticos es un deporte de equipo”, dice Nigel Stanley, director de tecnología y director global de ciberseguridad OT en TÜV Rheinland. «Los equipos de TI, físicos y de TO deben actuar juntos y comenzar a compartir y aprender unos de otros».
Kevin Fielder, director de seguridad de la información de Just Eat, está de acuerdo. «La creciente convergencia de entornos físicos y cibernéticos es inevitable, pero administrarlos de manera coherente fortalecerá la seguridad empresarial». Según Kevin, es la amenaza interna la que necesita atención más urgente. “A quienes tengan la intención de acceder al dinero, la información o la propiedad intelectual a menudo les resultará más fácil hacerlo desde adentro, y nos estamos mudando a un mundo en el que esto puede significar un impacto inmediato en la vida. Hackear los sistemas de gestión de un edificio, por ejemplo, podría suprimir una alarma contra incendios o un sistema de rociadores, o impedir que las personas se vayan «.
Solo el 16 por ciento de los encuestados en la encuesta Infosecurity Europe conocía la Directiva NIS de la UE, que está diseñada para mejorar la seguridad y la resistencia de las redes y los sistemas de información, y sus implicaciones. La legislación, que se implementó en 2016, establece requisitos de seguridad que se aplican a todos los operadores de servicios esenciales y proveedores de servicios digitales (DSP). No cumplir con estos podría dejar brechas de seguridad que presentan a los atacantes con ‘puertas abiertas’ a través de las cuales pueden acceder a la infraestructura y los activos físicos. Las organizaciones del Reino Unido que no cumplan las normas pueden recibir una multa de hasta 17 millones de libras esterlinas.
“No puedo creer que ningún líder de seguridad cibernética en un sector afectado por la Directiva NIS desconozca sus implicaciones para su negocio”, dice Nigel Stanley. “La falta de compromiso para proteger la infraestructura crítica es el peor tipo de negligencia. Olvídese de lo que exigen los reguladores: las organizaciones deben tomar la iniciativa y asegurar los activos basándose en una ciberseguridad proporcionada y una evaluación de riesgos impulsada por el negocio «.
Kevin Fielder cree que si la industria no toma la iniciativa, seguirá una mayor regulación. “Realmente nos conviene autorregular y proteger al público. Si la industria no produce dispositivos conectados que sean, por defecto, seguros y manejables a largo plazo, no serán necesarios muchos incidentes reales para que las regulaciones gubernamentales se materialicen rápidamente ”.
Victoria Windsor, directora de contenido del grupo Infosecurity Group, afirma: “Los retos de seguridad resultantes de la convergencia de entornos físicos y cibernéticos ocuparán un lugar central en Infosecurity Europe 2019, y por una buena razón. Los sistemas operativos en todas las industrias se están conectando a entornos corporativos y en la nube, y el ‘espacio de aire’ seguro entre TI y OT ya no existe. El riesgo cibernético ahora está afectando el ámbito físico y las organizaciones deben contar con estrategias de gestión eficaces. La tecnología, como las herramientas unificadas de gestión de amenazas, tiene un papel que desempeñar, pero también es vital que los equipos colaboren y se comuniquen para comprender los ataques ciberfísicos combinados y desarrollar enfoques, planes y políticas conjuntos «.
Con 12.100 respuestas, la encuesta de Twitter de Infosecurity Europe se llevó a cabo durante la semana del 4 de febrero. Infosecurity Europe también preguntó a su comunidad de CISO sobre los desafíos que presenta la creciente convergencia de los dominios cibernéticos y físicos, y cómo se puede administrar la seguridad de manera cohesiva.
Infosecurity Europe, ahora en su vigésimo cuarto año, se lleva a cabo en Olympia, Hammersmith, Londres, del 4 al 6 de junio de 2019. Atrae a más de 19.500 profesionales únicos de seguridad de la información de todos los segmentos de la industria, incluidos más de 400 expositores que muestran sus productos y servicios. , analistas de la industria, prensa mundial y expertos en políticas, y más de 200 oradores de la industria están alineados para participar en el programa gratuito de conferencias, seminarios y talleres: https://www.infosecurityeurope.com