Conforme los centros urbanos siguen aumentando en población, muchos se convierten en ciudades inteligentes a través de la transformación digital. Pero, esto lleva a las ciudades inteligentes a enfrentan diversos retos  y riesgos cibernético. Estos van desde el control y protección de los activos tecnológicos, pasando por la gestión de los datos de los ciudadanos hasta llegar a la gestión integral de TI en su territorio. En este artículo les brindaremos las principales recomendaciones para evitar riesgos cibernéticos en las ciudades según un reciente informe del BID.

A medida que más dispositivos IoT se conectan a los sistemas de la ciudad la superficie de ataque de la infraestructura de una ciudad inteligente aumenta rápidamente. El aumento acelerado en la cantidad y variedad de dispositivos conectados al ecosistema urbano vuelve más vulnerables a las ciudades. Por ejemplo, pueden sufrir ataques cibernéticos sofisticados en infraestructuras críticas que pueden paralizar, a través de ransomware, los sistemas de control industrial, la manipulación de los datos de sensores con los que se pueden crear falsas alertas o peor aun el acceso a la información personal de la ciudadanía.

Las ciudades inteligentes pueden ser susceptibles a numerosas técnicas de ataque cibernético: como la ejecución remota y la interferencia de señales, ransomware, malware, manipulación de datos y ataques de denegación de servicio distribuido DDOS. Los riesgos cibernéticos están a la orden del día.

Recomendaciones para que las ciudades inteligentes puedan evitar riesgos cibernéticos.

Identificar los activos y actores que se van a proteger

En una ciudad inteligente que utiliza IoT para gestionar sus tareas, hay que tener en cuenta todos los dispositivos que están conectados y se usan en toda la infraestructura de la ciudad. Además, hay que contemplar la cantidad de tecnologías heterogéneas que se integran o comparten espacio en la gestión de una ciudad.

Lo primero es tener visibilidad total, no solo de los activos como dispositivos IoT, las redes o los distintos ecosistemas, sino también del capital humano que está detrás de la gestión de TI y de los usuarios. Saber qué elementos se deben proteger es la primer gran tarea.

Establecer la gobernanza de la ciberseguridad

Integrar la gobernanza de la ciudad con la gobernanza de la ciberseguridad es indispensable. Será necesario crear políticas y normas que faciliten la interacción entre estas dos gobernanzas sin que se debiliten las capacidades de alguna de las dos.

Definir las responsabilidades sobre la toma de decisiones, los niveles de acceso a la información o a la gestión de dispositivos, hace parte de esta segunda fase. Todo esto debe estar alineado con la legislación nacional en ciberseguridad.

Institucionalizar la ciberseguridad

No es suficiente con que cada área gestione la ciberseguridad de manera aislada. Es fundamental integrar empresas, entidades, recursos y flujos de información, para coordinar una serie de respuestas orquestadas a diferentes situaciones. Cada ciudad debería contar con un Centro de Operaciones de Seguridad (SOC), para hacer un seguimiento en tiempo real de la seguridad de la información y analizar cualquier incidente.

Integrar la seguridad de los datos confidenciales de la ciudad y los datos personales

Este es un punto similar al anterior, pero enfocado en la protección de la información. Es importante identificar la información confidencial y cómo esta se relaciona con las estrategias y proyectos de la ciudad.

Por otro lado, establecer prácticas que garanticen la privacidad de los datos de los ciudadanos es fundamental. Cumplir con todas las regulaciones y buscar sistemas de gestión de la información que estén cerca de los estándares a nivel mundial es un deber de las ciudades inteligentes.

Integrar a los proveedores a la ciberseguridad

Las ciudades deben establecer una serie de requisitos mínimos para contratar cualquier servicio o producto relacionado de alguna manera con la gestión de TI. De esta manera se definirá un estándar mínimo sobre la gestión de ciberseguridad deseada en la relación con cualquier proveedor.

Cada socio, vendedor y proveedor de la infraestructura de la ciudad tiene un papel que desempeñar; se ha demostrado que las cadenas de suministro son uno de los eslabones más débiles en la ciberseguridad. La debida diligencia es fundamental, ya que las autoridades de la ciudad deben asegurarse de que los proveedores no solo comprendan los riesgos en torno a la ciberseguridad, sino que puedan demostrar un enfoque de ciberseguridad maduro dentro de sus propias organizaciones.

Formar, comunicar y concientizar acerca de la ciberseguridad y los riesgos cibernéticos

La ciberseguridad va mucho más allá de un área en una organización, no importa si es privada o pública, tampoco es una tarea exclusiva de un grupo de profesionales, la ciberseguridad está presente en casi todo lo que hacemos ahora.

Todos los ciudadanos usamos datos, tenemos información personal en la nube o en dispositivos móviles. Proteger esa información es tarea de todos, de cada uno. Fomentar la conversación alrededor de la ciberseguridad generará una cultura de protección de la información a largo plazo.

Disponer de financiamiento y seguros para la ciberseguridad

Las inversiones en ciberseguridad siguen en aumento principalmente desde la aparición de la pandemia y la consecuente crisis de seguridad que afectó a muchas personas y organizaciones.

Pero en el caso de las ciudades inteligentes las inversiones en ciberseguridad están muy rezagadas en relación a las inversiones que se efectúan en otros aspectos también relacionados a las ciudades inteligentes. Un ejemplo es la implementación de más sistemas y dispositivos IoT, lo cual aumentan las vulnerabilidades futuras de estos ecosistemas.

Ahora muchas empresas y organizaciones piensan en comprar seguros de ciberseguridad. Estos seguros no son solo para cubrir los costos típicos que un ciberataque pueda acarrear, sino, incluso los costos a nivel reputacional. Aunque no es una práctica muy común, es recomendable teniendo en cuenta las tendencias de aumento de ataques cibernéticos en el mundo.

Medidas de seguridad y buenas prácticas para minimizar los riesgos cibernéticos.

Todas las amenazas y riesgos cibernéticos de las ciudades se pueden mitigar si se sigue un conjunto de medida de seguridad y buenas prácticas. Algunas son:

• Uso de VPN para beneficiarse de la funcionalidad de las redes privadas en las redes públicas.
• Cifrado de datos para garantizar la confidencialidad.
• Protección física para evitar el acceso a los dispositivos que se suelen colocar en las calles.
• Control de acceso para no sólo evitar el acceso a entidades no autorizadas, sino también para vigilar quién tiene acceso y qué hizo.
• Registro y monitoreo de cada acción para obtener registro de qué, cuándo, dónde y cómo sucedió.
• Procedimientos de depuración para solucionar los errores del sistema cuando sea necesario.
• Redundancia de hardware para tener una copia de seguridad en caso de que un sistema falle.
• Procedimiento de apagado para mantener los datos y sistemas consistentes en caso de que se apaguen inesperadamente.
• Mantenimiento de copias de seguridad en centros dedicados a recuperar datos en caso de que sea necesario.
• Auditorías regulares para hacer un seguimiento de las debilidades de la infraestructura y remediarlas.
• Actualizaciones regulares para prevenir la obsolescencia (software o hardware).
• Protecciones energéticas como UPS, protecciones de sobretensión o fuentes de alimentación secundarias.
• Formación de usuarios y operadores para dar los conocimientos necesarios para utilizar las tecnologías de manera segura.

La creación de leyes de ciberseguridad, las buenas prácticas y pruebas periódicas de seguridad son necesarias para hacer que las ciudades sean lo más confiables posible. La seguridad debe ser una prioridad durante las fases de diseño. También, el plan de crecimiento de la ciudad tiene que estar sincronizado con la planificación de la ciberseguridad.

Por eso, es importante que las ciudades incluyan dentro de sus presupuestos la ciberseguridad y destinen los recursos necesarios para que puedan gestionar armónicamente todos los dispositivos, los datos y las personas involucradas en la administración de sus recursos tecnológicos para minimizar los riesgos cibernéticos.

Las ciudades seguirán siendo un objetivo para los ciberdelincuentes. Las tecnologías anticuadas, la falta de una estrategia de transformación digital y los controles deficientes en torno a los dispositivos conectados brindan oportunidades para el ciberataque. Es por eso, que las ciudades deben ajustar sus prioridades a las realidades de un ecosistema urbano conectado.

También podría interesarle el siguiente artículo: Ciudades inteligentes: Amenazas cibernéticas más comunes.

Referencias:

Chicharro, Ruben (2022) El ABC de la ciberseguridad en las ciudades. Think Big.

Cotino, Lorenzo, y Sanchez, Marcos (2021) Guía de ciberseguridad para ciudades inteligentes. Banco Interamericano de Desarrollo BID.

Peralta Abadía, J., Walther, C., Osman, A., Smarsly, K. (2022) A systematic survey of Internet of Things frameworks for smart city applications. Sustainable Cities and Society.

Sanchez, Raul (2020) Ciudades inteligentes: Un nuevo paradigma para la ciberseguridad. Jtsec.

Sorri, Andrea (2021) La ciberseguridad como base de las ciudades inteligentes. AXIS Communications.