Las ciudades inteligentes enfrentan diversos retos que van desde el control de los activos tecnológicos, pasando por la gestión de los datos de los ciudadanos hasta llegar a la gestión integral de TI en su territorio. Una publicación del BID da algunas luces sobre cómo superar estos desafíos.
Los grandes centros urbanos de América Latina deben prepararse para una población cada vez mayor: la tendencia apunta a que las poblaciones de las áreas rurales seguirán migrando a las urbes. En este contexto, deben prepararse para ofrecer servicios de manera óptima, tanto servicios de información, como servicios públicos.
Para ello, muchas ciudades han invertido en el desarrollo de proyectos de Internet de las cosas (IoT – Internet of Things) para gestionar aspectos como el alumbrado público, o tener control sobre las cámaras de seguridad, por ejemplo.
De esta manera las ciudades están aprovechando el potencial que ofrece la tecnología, para gestionar aspectos operativos y logísticos de manera remota. No obstante, al contar con tantos elementos diversos, y con perímetros muy grandes, las posibilidades de sufrir ciberataques son altas.
Recientemente el Banco Interamericano de Desarrollo (BID) presentó una Guía de ciberseguridad para ciudades inteligentes, en la que ofrece una serie de recomendaciones para que las urbes puedan evitar los riesgos de ciberataques y que detallamos a continuación.
Identificar los activos y actores que se van a proteger
En una ciudad que utiliza IoT para gestionar algunas de sus tareas, hay que tener en cuenta todos los dispositivos que están conectados y se usan en el perímetro de la ciudad: Además, hay que contemplar la cantidad de tecnologías heterogéneas que confluyen o comparten espacio en la gestión de una gran urbe.
Lo primero es tener visibilidad total, no solo de los dispositivos, las redes o los ecosistemas (los activos), sino también del talento humano que está detrás de la gestión de TI (los actores). Saber qué elementos se deben proteger es la primera gran tarea.
Establecer la gobernanza de la ciberseguridad
Integrar la gobernanza de la ciudad inteligente con la gobernanza de la ciberseguridad es indispensable. Será necesario crear políticas y normas que faciliten la interacción entre estas dos gobernanzas sin que se minen las capacidades de alguna de las dos.
Definir las responsabilidades sobre la toma de decisiones, los niveles de acceso a la información o a la gestión de dispositivos, hace parte de esta segunda fase. Todo esto debe estar alineado con la legislación nacional en ciberseguridad.
Institucionalizar la ciberseguridad
No es suficiente con que cada área gestione la ciberseguridad de manera aislada. Es fundamental integrar entidades, recursos y flujos de información, para coordinar una serie de respuestas orquestadas a diferentes situaciones.
El BID recomienda en esta sección, que cada ciudad debería contar con un Centro de Operaciones de Seguridad (SOC), para hacer un seguimiento en tiempo real de la seguridad de la información y analizar cualquier incidente.
Integrar la seguridad de los datos confidenciales de la ciudad y los datos personales
Este es un punto similar al anterior, pero enfocado en la protección de la información. Es importante identificar la información confidencial y cómo esta se relaciona con las estrategias y proyectos de la ciudad.
Por otro lado, establecer prácticas que garanticen la privacidad de los datos de los ciudadanos es fundamental. Cumplir con todas las regulaciones y buscar sistemas de gestión de la información que estén cerca de los estándares a nivel mundial es un deber ser de las ciudades inteligentes.
Integrar a los proveedores a la ciberseguridad
Las ciudades deben establecer una serie de requisitos mínimos para contratar cualquier servicio o producto relacionado de alguna manera con la gestión de TI. De esta manera se definirá un estándar mínimo sobre la gestión de ciberseguridad deseada en la relación con cualquier proveedor.
Estas actividades evitan los riesgos generados por proveedores con pocos filtros de seguridad y permiten que el entorno local de proveedores se fortalezca, sea más competitivo y pueda incluso, hacer parte de un mercado más amplio.
Formar, comunicar y concientizar acerca de la ciberseguridad
La ciberseguridad va mucho más allá de un área en una organización privada o pública. No es una tarea exclusiva de un grupo de profesionales, ni hace parte solo de una especialidad; está presente en casi todo lo que hacemos ahora.
Todos los ciudadanos usamos datos, tenemos información personal en la nube o en dispositivos móviles. Proteger esa información es tarea de todos, de cada uno. Fomentar la conversación alrededor de la ciberseguridad generará una cultura de protección de la información a largo plazo.
Disponer de financiamiento y seguros para la ciberseguridad
¿Qué es un seguro para la ciberseguridad? En esta guía gratuita lo explicamos. Las inversiones en ciberseguridad siguen en aumento. Desde la aparición de la pandemia y la consecuente crisis de seguridad que afectó a muchas personas y organizaciones, las empresas han invertido más abiertamente en soluciones de ciberseguridad.
Ahora muchas empresas piensan en comprar seguros de ciberseguridad, para cubrir los costos que un ciberataque pueda acarrear, incluso los costos a nivel reputacional. Aunque no es una práctica muy común, el BID la recomienda teniendo en cuenta las tendencias en el mundo.
Estas tareas permitirán que las ciudades puedan gestionar de manera armónica los dispositivos, la información y las personas involucradas en la administración de sus recursos tecnológicos. Recursos como la Guía de ciberseguridad de ManageEngine y la guía sobre los CIS Controls, también podrán ser de utilidad para complementar esta información.