Ciberlecciones aprendidas del COVID-19

Cifras de contagio por la pandemia del COVID-19 en abril 2020. Foto: Mohammad Fahim (@fahimxyz)
Seguridad Internacional
Documento de trabajo
Javier Alonso
Javier Alonso Lecuit
// Publicado el 14 Jul 2020

Últimas publicaciones

Introducción

El COVID-19, entre muchos otros efectos principales analizados por el Real Instituto Elcano, ha puesto a prueba la resiliencia de las infraestructuras críticas y los redes y sistemas de comunicación del ciberespacio. Sus efectos han sido distintos de los incidentes y ataques para los que se preparan los responsables de la ciberseguridad; de ahí la utilidad de su análisis. Para ello, y contando con los colaboradores de los sectores público y privado de nuestro Grupo de Trabajo sobre Ciberpolítica, hemos llevado a cabo la reflexión colectiva que se presenta en este documento.

A partir de una primera valoración general, hemos agrupado las reflexiones en los apartados que se reflejan en el índice para diferenciar los impactos sistémicos, los previsibles, los novedosos y los intangibles, así como experiencias vividas durante la gestión de la crisis y recomendaciones para crisis similares en el futuro.

Impacto sistémico

La primera preocupación era la de evaluar si el COVID-19 había causado o había estado a punto de causar el colapso del ciberespacio, si bien según la información disponible en fuentes abiertas ni internet ni las redes y sistemas de información habían dejado de funcionar, aunque hayan experimentado problemas puntuales. Los colaboradores comparten esa misma percepción sobre la resiliencia global del sistema de TIC, pero muchos de ellos consideran sistémico el impacto que afecta al funcionamiento total de sus departamentos o a la continuidad de negocio de las empresas para las que trabajan. En cierta forma, la pandemia ha puesto a prueba los planes de contingencia y la gestión de crisis no por su impacto sobre la ciberseguridad, sino por su efecto sobre factores como la interrupción de suministros o la imposibilidad de acceso, por lo que “la crisis ha mostrado la necesidad de contar con un modelo de seguridad que integre seguridad física, ciberseguridad, inteligencia y resiliencia, en el marco de la continuidad del negocio y del servicio” 2.

Las empresas han activado en tiempo récord los procesos de continuidad de negocio, entre ellos el teletrabajo, junto con mecanismos de comunicación internos dirigidos a los empleados y externos dirigidos a clientes, entre otros, si bien es necesario reconocer que la activación ha funcionado mejor en empresas que habían simulado procesos de transición que en aquellas otras que han tenido que improvisar sobre la marcha. Por el contrario, la implantación de procedimientos de continuidad de negocio o resiliencia en pymes está poco extendida, por lo que muchas de ellas han tenido que reinventarse sobre la marcha sin planes claros para actuar. De cara a afrontar futuras pandemias y dada la gran afectación para el tejido empresarial, sería necesario fomentar estrategias de continuidad de negocio basadas en buenas prácticas, como normas UNE e ISO o CEN, y en organismos y asociaciones de apoyo. Dado que las pymes forman la mayoría del tejido industrial y de las cadenas de suministro, los poderes públicos no solo deberían preocuparse por la continuidad en la prestación de los servicios esenciales y sus operadores designados, sino también por fomentar la planificación de su resiliencia ante escenarios de tipo disruptivo y no solo de futuras pandemias.

También han seguido funcionando las infraestructuras industriales sin que la pandemia haya provocado problemas especiales en el personal de operaciones y mantenimiento. Allí donde el teletrabajo no ha sido posible, y en previsión de contagios, se ha duplicado o triplicado el número de centros críticos de operaciones o establecido turnos de 15 días en condiciones de confinamiento de circunstancias (por ejemplo, en caravanas) del limitado personal de planta que realiza funciones críticas para evitar contagios. En los casos en que la infraestructura no estaba preparada para realizar el trabajo OT en remoto, se ha tenido que adaptar la infraestructura de red interna. El confinamiento por orden gubernativa no ha afectado al personal de operación y al mantenimiento de los servicios esenciales, que ha podido recibir salvoconductos de las autoridades de ciberseguridad (CNPIC3 ); de ahí que estas funciones hayan podido prestarse casi con normalidad.

Siguiendo con la continuidad de negocio, los expertos consultados resaltan que únicamente las grandes corporaciones que cuentan con una consolidada presencia internacional disponen de planes de continuidad plenamente operativos, es decir, establecidos, conocidos por la organización, auditados, ejercitados y actualizados. Al contrario, la gran mayoría de las pymes y de instalaciones de la Administración, como algunos hospitales, carecen habitualmente de planes de continuidad probados. Confían en la ciberprotección del Esquema de Seguridad Nacional o de los servicios de ciberseguridad con los que cuentan, pero, al carecer de planes de continuidad, corren el riesgo de colapsar y de provocar el colapso de otros sistemas4 .

A pesar de lo anterior, los responsables de empresas de ámbito multinacional dudan de que se puedan controlar en esos planes los incidentes de naturaleza global y disruptiva tales como la actual pandemia o plantear situaciones poco previsibles como, por ejemplo, la restricción internacional de movimiento de mercancías o el cierre de fronteras, entre otros. No obstante, si la empresa dispone de un plan de mínimos y determinada madurez en su implantación, es viable recuperar un cierto nivel de productividad. El tamaño de la empresa es determinante al menos en el proceso de implantación; las auditorías, pruebas y actualizaciones, además de necesarias, generan gran confianza en la alta dirección.

Han contribuido a asegurar la resiliencia del sistema de TIC:

  • el despliegue y capilaridad de la red de comunicaciones de banda ancha de acceso fijo por fibra e inalámbrica 4G con la que cuenta España;
  • la previsión y gestión de las infraestructuras críticas en sus 12 sectores (regulaciones PIC y NIS, planes, medidas y consultas);
  • el Esquema Nacional de Seguridad y las buenas prácticas de seguridad y de continuidad adoptadas con una visión integral por la mayoría de las grandes empresas y corporaciones públicas y privadas;
  • disponer de planes de contingencia, continuidad y respuesta a emergencias, en ámbitos del sector público y privado, y
  • las capacidades de protección al teletrabajo movilizadas por los medios públicos (como Incibe, CCN o CNPIC para la Administración) o los privados.

En resumen, a pesar de la resiliencia demostrada por el sistema global de TIC en esta pandemia o la confianza que se muestra en su redundancia de las redes de comunicación, no se debe descartar absolutamente la posibilidad de que se produzca un fallo sistémico de alcance global en internet o en las redes y sistemas de información5 . Y no tanto por el lado de la ciberseguridad como por el lado de la seguridad física de sus responsables si el brote pandémico hubiera tenido mayor incidencia en el segmento del personal que atiende la operación de los sistemas o determinados servicios esenciales.

Javier Alonso Lecuit
Investigador senior asociado, Real Instituto Elcano

1 El autor quiere expresar su agradecimiento a todos los miembros del Grupo de Trabajo sobre Ciberpolítica que han participado en la elaboración de esta reflexión colectiva.2 Conclusiones del seminario virtual sobre “El papel de la seguridad (security) en la continuidad de negocio”, Fundación ESYS, 25/VI/2020, p. 12.

3 El CNPIC ha emitido 269.737 acreditaciones a personal de operadores críticos y servicios esenciales durante el estado de alarma sanitaria. Datos proporcionados por su director, Fernando Sánchez, en el 12.º Encuentro Digital de Seguridad Integral, Seguritecnia, 23/VI/2020.

4 A pesar de la preocupación por que se utilizaran contra hospitales españoles virus usados en otros países, como el NetWalker, no se ha podido confirmar su empleo, por lo que resulta difícil inferir si la continuidad de su servicio obedece a su capacidad de resiliencia o al azar de no ser atacados. Rodrigo Alonso, “Los cibercriminales utilizan el coronavirus para atacar a hospitales, gobiernos y usuarios”, ABC, 3/IV/2020.

5 Fundación ESYS, 15/II/2018, La gestión de las cibercrisis globales ¿estamos preparados para un big one?

Cifras de contagio por la pandemia del COVID-19 en abril 2020. Foto: Mohammad Fahim (@fahimxyz)