La guía titulada ‘Mejores prácticas de ciberseguridad para ciudades inteligentes’, elaborada conjuntamente por trabajadores públicos del ámbito de la seguridad cibernética de Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda, recoge los principales desafíos de las smart cities y ofrece una serie de recomendaciones y recursos para ayudar a las comunidades a equilibrar la eficiencia y la innovación con la ciberseguridad, la protección de la privacidad y la seguridad nacional.
La integración de los servicios públicos en un entorno conectado puede aumentar la eficiencia y la resiliencia de la infraestructura que sustenta la vida cotidiana en las comunidades. No obstante, los territorios que estén considerando convertirse en ciudades inteligentes deben evaluar y mitigar los riesgos de ciberseguridad que conlleva dicha integración.
En este contexto, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI), en Estados Unidos; el Centro Nacional de Ciberseguridad del Reino Unido (NCSC UK), el Centro Australiano de Ciberseguridad (ACSC), el Centro Canadiense para la Ciberseguridad (CCCS) y el Centro Nacional de Ciberseguridad de Nueva Zelanda (NCSC NZ) han publicado una guía conjunta de ciberseguridad para smart cities.
Los datos que se recopilan, transmiten, almacenan y procesan en las ciudades inteligentes pueden incluir información confidencial de gobiernos, empresas y ciudadanos. En lo referente a los sistemas de software impulsados por inteligencia artificial que se suelen usar para integrar los datos mencionados, pueden presentar vulnerabilidades. En este sentido, el documento avisa de que el valor de los datos y las posibles vulnerabilidades de los sistemas digitales significa que existe un riesgo de explotación para el espionaje y para obtener ganancias financieras o políticas por parte de ciberdelincuentes.
Riesgos para las ciudades inteligentes
La guía incluye una descripción general de los principales riesgos para las ciudades inteligentes. En primer lugar, la integración de una mayor cantidad de sistemas -previamente separados- en un solo entorno de red amplía la superficie de ataque para cada organización interconectada. Esto puede conllevar interrupciones de las operaciones y amenazas a la confidencialidad, la integridad y la disponibilidad de los datos, los sistemas y las redes, así como la pérdida de visibilidad de los riesgos del sistema colectivo.
En segundo lugar, las vulnerabilidades en la cadena de suministro de las TIC, ya sea debido a fines maliciosos o a prácticas de seguridad deficientes, pueden implicar el robo de datos y de propiedad intelectual, la pérdida de confianza en la integridad de un sistema de ciudad inteligente o fallos en el sistema o la red por la interrupción de un servicio. En este aspecto, los proveedores TIC deben adoptar un enfoque holístico de la seguridad a través de prácticas de desarrollo de seguridad por diseño y por defecto.
Por último, señala el incremento de la automatización de las operaciones, que puede proporcionar una mejor consistencia, fiabilidad y agilidad, pero también introducir nuevos riesgos al aumentar la cantidad de puntos de entrada remotos a la red, como es el caso de los sensores IoT. Para protegerse frente a estos riesgos, la guía ofrece recomendaciones en materia de planificación y diseño seguros, gestión proactiva de riesgos de la cadena de suministro y resiliencia operativa.
Recomendaciones de ciberseguridad para smart cities
La guía ‘Mejores prácticas de ciberseguridad para ciudades inteligentes’ recomienda implementar estrategias para la planificación y el diseño seguros a fin de garantizar que cualquier característica inteligente o conectada que se planee incluir en el nuevo modelo de ciudad sea segura por diseño, teniendo en cuenta la creación de resiliencia, el riesgo físico y el cibernético. Esto incluye el principio de mínimo privilegio, que sostiene que una arquitectura de seguridad debe diseñarse de modo que cada entidad reciba los recursos mínimos del sistema y las autorizaciones que necesita para realizar su función.
También la aplicación de la autenticación de múltiples factores, un método de control de acceso informático que requiere la demostración de la identidad del usuario presentando dos o más pruebas; y la implementación de una arquitectura de confianza cero, que solicita autenticación y autorización para cada nueva conexión con un enfoque de seguridad en capas y de defensa en profundidad, y permite una mayor visibilidad de la actividad de la red, la identificación de tendencias, la resolución de problemas mediante la automatización y la orquestación, además de una gobernanza de seguridad de la red más eficiente.
Por su parte, la gestión de los cambios en los riesgos de la arquitectura interna supone identificar, agrupar y aislar los sistemas comerciales críticos y aplicar los controles de seguridad de red apropiados y sistemas de monitorización para reducir el impacto de una vulnerabilidad a lo largo de una comunidad.
Asimismo, se recomienda la gestión segura de los activos de la smart city, la mejora de la seguridad de los dispositivos vulnerables, la protección de los servicios orientados a Internet, la corrección de fallos en los sistemas y aplicaciones, y la revisión de los riesgos legales, de seguridad y privacidad asociados a las implementaciones.
Gestión proactiva de riesgos y resiliencia operativa
En cuanto a la gestión proactiva de riesgos, la guía contempla el establecimiento de requisitos de seguridad claros para las cadenas de suministro de software, hardware e IoT, así como la revisión de los acuerdos con vendedores externos, tales como proveedores de servicios administrados y cloud.
Todas las organizaciones responsables de implementar tecnología de smart city han de gestionar proactivamente los riesgos de la cadena de suministro de las TIC, un proceso que debe incluir la participación desde todos los niveles de la organización; y colaborar solamente con proveedores fiables. Por su parte, los responsables urbanos deben comunicar los requisitos mínimos de seguridad a los proveedores y articular las acciones de respuesta ante infracciones en este sentido. Además, las cadenas de suministro de tecnología de ciudad inteligente deben ser transparentes para la ciudadanía, pues los sistemas recopilarán y procesarán sus datos.
Por su parte, las estrategias de resiliencia operativa, como sistemas de backup, capacitación de la fuerza laboral y desarrollo y ejecución de planes de respuesta y recuperación ante incidentes, pueden preparar a las organizaciones para aislar los sistemas comprometidos y continuar operando con la menor interrupción posible.
Adicionalmente, la guía ‘Mejores prácticas de ciberseguridad para ciudades inteligentes’ ofrece diversos recursos para guiar a organizaciones de todo el mundo en la gestión de riesgos cibernéticos, el desarrollo de prácticas de seguridad por diseño y por defecto, la mitigación de riesgos en la cadena de suministro, la valoración de peligros en los entornos físicos y cibernéticos, la implementación de la autenticación de múltiples factores y de la confianza cero, la protección de dispositivos asegurando el acceso remoto, la securización de los servicios orientados a Internet y la protección de sistemas y redes a través de la gestión de activos, entre otras cosas.
Fuente: esmartcity.es
Views: 2