De acuerdo con la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas, un servicio esencial es aquel que es necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas.
En el contexto actual, las ciberamenazas son un factor que los operadores de los servicios esenciales deben tener siempre en cuenta con el fin de anticiparse a su materialización, la cual podría provocar desde la imposibilidad de brindar estos servicios (cortes de luz, agua o sistemas de administración electrónica inoperativos) hasta el ofrecerlos de forma deliberadamente delictiva, lo que provocaría daños directos a la población o al funcionamiento de la estructura del Estado.
Por ello es necesario que, de forma sistemática, estos operadores realicen un análisis de riesgos que permita medir el grado de inseguridad de aquellos componentes que forman parte de la entrega de los servicios esenciales desde un punto de vista tecnológico (aplicaciones, centro de datos, infraestructura de redes, personal técnico encargado de su mantenimiento y operación, etc.).
Este análisis, a su vez, identificaría las acciones e iniciativas más críticas encaminadas a reducir la probabilidad de ocurrencia de las ciberamenazas o a minimizar el impacto que podría producir un ciberataque intencionado o no que finalmente ponga en peligro los servicios que se están prestando.
Estas acciones formarían parte del presupuesto anual de la organización, y su implementación sería una de las tareas que debieran tener un seguimiento prioritario en los consejos operativos y de dirección.
Buenas prácticas en el análisis de riesgos
La realización de un análisis de riesgos forma parte de las buenas prácticas de la seguridad de la información y es una actividad imprescindible para quienes buscan alguna certificación o necesitan cumplir una determinada norma.
Algunas organizaciones suelen realizarla solo por ser un requisito, sin ver la importancia que tiene la herramienta ni encontrar el valor a los resultados obtenidos. Esto es porque se entiende el análisis de riesgos más como un fin que como un medio, incluso su realización se considera de poca utilidad y mucho esfuerzo.
Las razones de esta situación pueden ir desde una implantación de la metodología enfocada solo en la parte tecnológica y no en la organización en general (sin la participación −y decisión− de los responsables funcionales de los servicios esenciales) hasta una elección no adecuada de la herramienta con un mantenimiento difícil de gestionar en los periodos siguientes.
Ante estas situaciones hay que saber detenerse y volver a enfilarse en el objetivo primordial: identificar los riesgos asociados a los servicios esenciales y a sus componentes, determinar el nivel mínimo de aceptación de los mismos y proponer acciones para aquellos que sobrepasen ese límite, las cuales formarán parte del presupuesto y del plan operativo del periodo.
Para todo ello se pueden usar hojas de cálculos, herramientas informáticas o servicios web. Lo importante es mantener la disciplina y realizar el ejercicio ciclo tras ciclo. Y si después de un tiempo vemos que los resultados ya no son relevantes, quizás sea momento de revisar el proceso. Lo único constante es el cambio y lo que fue bueno en un momento, quizás ya no lo sea tanto en otro. De esa forma se podrán tomar decisiones más acertadas para proteger los servicios esenciales.