Infoestructura, la llave maestra de la ciberseguridad

En la sociedad de la información cualquier entorno es un ‘entorno de información’. Se espera que el mercado global de big data crezca de los 162,6 mil millones de dólares en 2021 a los 273,4 mil millones en 2026, según Market Data Forecast. Pero, más allá del análisis numérico, es el día a día el que nos muestra la importancia de los datos y metadatos, sobre los que se basa la gran parte de nuestras actividades: de la industria a los servicios, de la movilidad a la sanidad.

La dependencia de los datos, además de garantizar un desempeño mejor, más rápido y personalizado en casi todos los campos, también nos expone a vulnerabilidades relacionadas con la seguridad informática. Para que todo funcione de manera eficiente y segura, el concepto de infraestructura debe combinarse con el de ‘infoestructura’: el resultado del trabajo conjunto entre humanos y máquinas para considerar la información no como una herramienta, sino como un activo en sí mismo.

La prioridad, como apunta el Megatrends 2023 de la Fundación Innovación Bankinter, es asegurar la confidencialidad, la integridad y la accesibilidad de los datos. De hecho, ¿qué pasaría si alguien tomara el control de los paneles de las autopistas, dando direcciones equivocadas y paralizando el tráfico? El sector de la movilidad, al igual que el de la salud, no es inmune a las amenazas y los riesgos informáticos: los ataques ocurren a diario y pueden tener un impacto devastador en la economía y la salud de las personas.

En 2022, el sistema público de salud británico (NHS) sufrió las consecuencias de un ataque de ramsomware a un proveedor. Envíos de ambulancias, prescripciones de emergencia y acceso a los historiales de miles de pacientes se vieron afectados. Los datos más íntimos de miles de ciudadanos, expuestos. Por otro lado, la St. Jude Medical, una empresa estadounidense de dispositivos médicos fue atacada en 2017 por ciberdelincuentes que obtuvieron acceso a los marcapasos de los pacientes.

Este tipo de vulnerabilidad aumentará con la expansión de los dispositivos IoT, que ya están presentes en prácticamente cualquier aspecto de nuestras vidas. Una investigación realizada por IoT Analytics muestra que las conexiones del IoT, como dispositivos para la domótica, vehículos conectados y equipos industriales, en 2020 ya representaban el 54% de los 21.700 millones de dispositivos conectados activos, estimando que para 2025 habrá más de 30.000 millones de conexiones IoT, unos cuatro dispositivos por cada habitante del planeta.

En el State of the Connected World 2023 del Foro Económico Mundial (FEM), se cuantifica el impacto financiero global de los ataques de ransomware: 7.000 billones de dólares en 2022, cifra que convertiría al cibercrimen en la tercera economía más grande del mundo después de China y Estados Unidos. Entre las criticidades que los gobiernos junto con todos los operadores de la cadena de suministro del IoT están llamados a abordar, el FEM menciona:

• Marcos regulatorios poco desarrollados.
• Rápida expansión de mercados y empresas en el sector IoT y tecnologías relacionadas.
• Limitaciones técnicas.
• Falta de conocimiento de los usuarios finales.
• Incentivos insuficientes para que las empresas protejan a los usuarios.
• Falta de estandarización.

La Unión Europea ha publicado una serie de normativas que, sin embargo, aún necesitan ser implementadas y armonizadas por los estados: desde la Ley de Resiliencia Cibernética hasta la Directiva NIS2, pasando por el reglamento DORA. El caso es que la protección, accesibilidad y uso correcto de los datos en el contexto de la infoestructura no es solo una cuestión de prácticas de ciberseguridad, es el conjunto de herramientas, políticas de empresa, enfoques de gestión de riesgos, directrices legales, formación de los empleados y tecnologías utilizadas.

Statista muestra que el 33% de las empresas que han adoptado el IoT considera los problemas de seguridad relacionados con la falta de personal calificado como la preocupación más crítica para el ecosistema corporativo. Una preocupación que ha aumentado con el trabajo remoto, con muchos operadores que dependen de redes domésticas y dispositivos personales para realizar sus tareas. Además, la gran mayoría de los ciberataques tiene su origen en una brecha abierta por una tercera parte: proveedores, subcontratistas o consultorías.

Hoy que todo es tan líquido y permeable, sin unapercepción plena a nivel sistémico se hace imposible gestionar los diversos recursos y nodos de la cadena. Las infraestructuras TI surgen del perfecto equilibrio entre hardware y software y son el motor de las organizaciones, las cuales, mediante el correcto uso de los datos recopilados, alimentan la economía mundial. Sin embargo, la gran mayoría de los incidentes de seguridad informática no dependen de la solidez de la infraestructura, sino que son causados ​​por errores humanos y sus prácticas incorrectas y potencialmente peligrosas.

Así, una infoestructura eficaz está formada por elementos materiales e inmateriales, que combinan la información disponible, el software utilizado para su organización en el sistema, las políticas para su uso apropiado (como por ejemplo el Reglamento general de protección de datos: RGPD) y el componente humano que la gestiona; atañe a la forma en que la información, los documentos, los bienes y los servicios se organizan dentro de espacios complejos para favorecer su orientación, encontrabilidad, usabilidad y comprensibilidad.

Esa infoestructura se debe construir a partir de tecnologías y habilidades —networking, procesamiento, estándares, reglas ejecutables y modelos de negocio— que contribuyan a la protección, disponibilidad y aprovechamiento de la información. Todo ello gracias a un bloque de conocimientos y buenas prácticas con los que cimentar una sólida cultura del dato.

Por eso es necesario invertir en educación y formación que permitan una visión holística capaz de favorecer el aprovechamiento de las oportunidades que nos ofrece la sociedad de la información, sin incurrir en los riesgos asociados.