Seguritecnia 504
Opinión los hackers suelen solicitar un rescate económico. En un entorno AVSEC, un ciberataque de ransomware podría ser catastrófico si, como moneda de cam- bio por la liberación de presos políticos (generalmente esta es una demanda de grupos terroristas), la información de los sistemas de control de tránsito aéreo fuera adulterada de tal manera que se pudieran ocasionar impactos entre ae- ronaves en vuelo. ¿Cómo integrar? La integración de la ciberseguridad en la seguridad de la aviación civil es tan fácil pero, a la vez, tan compleja como hacer coincidir perfectamente dos piezas de un rompecabezas. Una integración en- tre ambos tipos de seguridad permitirá analizar de manera holística los riesgos con un enfoque y criterio unificados op- timizando los recursos de toda la orga- nización (infraestructura, equipamiento, procedimientos y humanos, como lo define la OACI), minimizando los riesgos y maximizando la eficacia de los proce- sos. Para lograr esta integración es ne- cesario considerar lo siguiente: 1. Personal experto en ciberseguridad debe estar familiarizado con el con- cepto de acto de interferencia ilícita de la OACI para definir el alcance de las contramedidas de seguridad. 2. Debe existir un marco regulatorio para la prevención de ciberamenazas de seguridad de la aviación civil por parte de la autoridad aeronáutica acorde al Anexo 17 de la OACI y que proporcione un criterio y metodología homologada en toda la industria para evaluar ries- gos de ciberseguridad AVSEC. 3. Elaboración de procedimientos inter- nos en las organizaciones conforme a las regulaciones AVSEC nacionales e internacionales vigentes que involucren medidas de prevención de ciberataques a la seguridad de la aviación civil. Y que consideren ciberamenazas externas identificadas por el Estado u organis- mos nacionales e internacionales, así como internas de la organización. 4. El intercambio de información entre au- toridades con la industria de la aviación, así como entre los diversos actores del sector aeronáutico, es indispensable para identificar de manera oportuna nuevas ciberamenazas y cómo hacer frente a ellas con base a experiencia de otras organizaciones y Estados. 5. Utilizar un criterio homologado de evaluación y gestión de riesgos de se- guridad informática AVSEC que pueda ser utilizado para evaluar otro tipo de riesgos AVSEC que no sean de ciber- seguridad. 6. Incluir, en los programas de instruc- ción de todo el personal del sector ae- ronáutico, temas de concientización de ciberamenazas, cómo prevenirlas y cómo hacerles frente en caso de que se presenten. 7. Establecer esquemas de medición de efectividad de las contramedidas de seguridad ante ciberataques AVSEC mediante pruebas de vulnerabilidad de sistemas de información y comuni- cación, auditorías y simulacros. 8. Creación de un esquema de mejora continua del sistema de gestión, con la finalidad de tomar acciones que contribuyan a la disminución del ries- go de ciberataques AVSEC y basados en una evaluación de riesgos. La tarea no es fácil. En la actualidad de- bemos ver a la ciberseguridad como par- te integral de cualquier sistema de ges- tión, tener la capacidad de incorporar la identificación de ciberamenazas en cual- quier entorno de trabajo en donde el uso de las nuevas tecnologías de información y comunicación sea un elemento clave para el negocio como lo es la aviación. Mucho dependerá de qué tanto es- temos preparados para anticiparnos a estas amenazas que, sin duda, son las que hoy en día evolucionan con mayor rapidez. Y en ese trascurrir del tiempo, si nos detenemos tan sólo un momento, podemos quedarnos muy atrás hacién- donos más vulnerables, poniendo en riesgo la seguridad y la permanencia de nuestro negocio. / Noviembre-Diciembre 2023 103
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz