Panorama de la seguridad informática en el sector del transporte público

Sidra Collins

Sidra Collins

abril 18, 2023

Como IT Manager o CISO (Chief Information Security Officer) de un sistema de transporte público, tienes que tomar grandes decisiones todos los días. Desde la seguridad de los datos hasta la redundancia del sistema, hay consideraciones importantes cuando se trata de planificar y gestionar la tecnología de tu organización. Una de las decisiones más importantes gira en torno a si tu organización debe utilizar servidores locales o servidores basados en la nube. A lo largo de los años, esta ha sido una de las preguntas más comunes y populares a las que se han enfrentado los CISOs de todas las industrias y sectores.


Recientemente, tuve una conversación con Boris Surets, CISO de Optibus, para entender mejor las ventajas y beneficios de utilizar servidores basados en la nube, en lugar de servidores locales, específicamente para las agencias de transporte. Esto es lo que aprendí:

 

Cuéntanos un poco sobre tu experiencia. ¿Cómo te introdujiste en el campo de la ciberseguridad y qué te llevó a desempeñar el cargo de CISO en Optibus?

Tengo 35 años, estoy casado con una mujer increíble y tenemos 2 hijos increíbles. Empecé con varios puestos de TI y seguridad durante mi servicio militar en las Fuerzas de Defensa Israelíes (IDF). Después del ejército, trabajé en puestos de seguridad en una variedad de startups globales y nacionales, PYMEs y empresas.

La seguridad siempre me ha apasionado. Me encanta cómo está constantemente evolucionando y mejorando. La combinación de informática, empresa y administración me permite tener una perspectiva de 360 grados que me permite cumplir con mis responsabilidades profesionales, asegurando los servicios proporcionados a nuestros clientes al mismo tiempo que ofrecemos el máximo nivel de protección a nuestra propiedad intelectual. 

Cuando me enteré de que Optibus buscaba un CISO, aproveché la oportunidad. Lo que realmente me atrajo fue descubrir su impacto significativo en la sociedad y cómo están literalmente cambiando el mundo. Ha sido un inmenso privilegio formar parte de este equipo. 

Me alegró descubrir que Optibus considera la seguridad uno de los aspectos importantes de nuestra plataforma. Trabajamos constantemente para asegurarnos de que nuestra plataforma cumpla con los estándares de seguridad de la industria, lo que nos permite ofrecer los mejores servicios y la mayor seguridad posible a nuestros clientes.

 

En tu opinión, ¿cuáles son las últimas tendencias en ciberseguridad que el sector del transporte público debería conocer mejor (y para las que debería estar preparado)?

La modernización y la digitalización tienen ventajas, pero también brindan más oportunidades para que los actores de amenazas vulneren las infraestructuras operativas e infraestructuras informáticas que procesan y almacenan datos personales y financieros. También existe la amenaza de interrumpir la disponibilidad de los servicios de cara al público para los pasajeros, con la consiguiente pérdida de confianza en el transporte público.

Hemos visto un aumento alarmante en el número de ataques a la cadenas de suministro, ransomware y Distributed-Denial-of-Service en todos los sectores. El sector del transporte público no es inmune a estos métodos de ataque y podría enfrentarse también a incidentes cibernéticos significativos.

 

“El sector del transporte público no es inmune a estos métodos de ataque y podría enfrentarse también a incidentes cibernéticos significativos.”

 

¿Qué persiguen los hackers/ciberataques en el ámbito del transporte público? ¿Qué tipo de información deben salvaguardar al máximo los operadores de autobuses?

El riesgo no se limita a las graves interrupciones y cierres de servicios críticos para el negocio y la misión que proporcionan las empresas de transporte público a sus clientes. Cada día, los pasajeros depositan su confianza en las empresas de transporte público para que cuiden sus datos financieros y otra información personal identificable. Esta información sensible, si no se protege adecuadamente, podría provocar daños sustanciales, como el robo de identidad u otros usos fraudulentos de la información de los pasajeros. 

 

¿Qué pueden hacer los operadores de autobuses para garantizar mejor la seguridad de sus datos?

En mi opinión, la principal forma de garantizar la seguridad de los datos es definir los principales riesgos para la empresa y analizarlos desde la perspectiva de lo que llamamos la "tríada CIA" (Confidencialidad, Integridad y Disponibilidad). No obstante, el tratamiento de la información sensible debe ser su máxima prioridad.

Algo por lo que se puede empezar es por implantar la segmentación de redes, haciendo hincapié entre sus redes de tecnología operativa y de tecnología de la información. 

Lo mejor es adoptar un enfoque basado en el riesgo para la gestión de parches: 

  • Dar prioridad a los activos críticos para la empresa.
  • Mantener reglas basadas en funciones y contexto al establecer controles de acceso. 
  • Cifrar la transmisión y los datos con lo que funcione mejor para su empresa y asegurarse siempre de que es compatible con las tecnologías en uso.

Para que los procesos empresariales críticos funcionen como deben, es imprescindible que estos componentes trabajen sistemáticamente de forma conjunta. De este modo, se asegurará de que su visión empresarial, sus objetivos y sus misiones sean innovadores y tengan impacto, no solo para sus clientes, sino para toda la industria del transporte público en su conjunto.

 

A la hora de actualizar y modernizar un sistema de transporte público, ¿qué cuestiones debe tener en cuenta el departamento informático?

  • ¿Quién supervisa y actualiza nuestros protocolos de ciberseguridad y cómo capacitamos a nuestro personal?
  • ¿Con qué frecuencia debemos analizar y realizar actualizaciones de ciberseguridad?
  • ¿Cuál es nuestro plan de recuperación en caso de catástrofe y quién debe conocerlo?
  • ¿Cuál es el punto más vulnerable de nuestro sistema (en las instalaciones o digital) y cómo podemos hacerlo menos vulnerable?
  • ¿Cómo demostramos el cumplimiento de nuestros controles de ciberseguridad?

 

¿Servidores locales, basados en la nube o nativos de la nube? - ¿cuál es más seguro y por qué?

Indiscutiblemente, nativos de la nube.

Existe la idea errónea de que la infraestructura local y el software tradicional son más seguros. Es importante reconocer que el software local tiene riesgos relacionados con la seguridad que deben gestionarse adecuadamente, como la gestión de vulnerabilidades, la gestión de parches, las redes y el acceso.

El software tradicional por lo general no está encriptado, ni en tránsito ni en reposo, y si lo está, los métodos de encriptación utilizados son antiguos y vulnerables a las amenazas de seguridad.

El uso de una plataforma nativa en la nube permite altos niveles de Objetivo de Tiempo de Recuperación (RTO) y Objetivo de Punto de Recuperación (RPO) y respalda los procesos de Continuidad de Negocio y Recuperación ante Desastres con copias de seguridad y réplicas de datos de alto nivel. La seguridad de alto nivel y los mejores recursos de computación en la nube garantizan que los clientes reciban siempre la mejor funcionalidad y seguridad para sus datos y los de sus pasajeros.

202304_Security Snapshot-1

¿Qué hace que Optibus sea más seguro que nuestros competidores? ¿Especialmente el software tradicional o local (o incluso Excel)?

En la actualidad, la mayoría de las herramientas de planificación y programación para el transporte público son plataformas de software tradicionales y locales o simples archivos Excel básicos gestionados por el personal informático. Estas plataformas y archivos se consideran críticas para la misión, y cada acción que se realiza en ellos es importante.

Dado que estas soluciones tradicionales más antiguas se desarrollaron utilizando tecnologías de codificación y servidores obsoletos, por problemas de compatibilidad no son compatibles con las herramientas de seguridad más recientes y, en la mayoría de los casos, no pueden actualizarse. Por desgracia, esto las expone a graves vulnerabilidades de seguridad.

Desde el principio, Optibus implantó varios controles y mecanismos de seguridad, tanto técnicos como administrativos, para asegurarse de que se mantiene el más alto grado de seguridad.

Soy bastante parcial, pero una de las decisiones más impresionantes que tomó Optibus fue utilizar mecanismos de seguridad de alto nivel para mantener todas las redes y datos encriptados. Desarrollamos nuestra plataforma como nativa de la nube, utilizando enfoques de privacidad y seguridad por diseño. Todas las infraestructuras de Optibus y los entornos de las plataformas de los clientes se almacenan en servidores de Amazon Web Services (AWS) de máxima seguridad y compatibles, ubicados en distintos lugares. 


 

Todos sabemos que el transporte público es una parte importante de la infraestructura crítica que influye en el funcionamiento de las ciudades y en su eficiencia. Por ello, las empresas de transporte público deben tomarse en serio la seguridad de la red, sobre todo cuando se trata de la información y los datos personales de sus usuarios. 

En última instancia, la decisión de qué tipo de servidor utilizar dependerá de las necesidades y objetivos específicos de una organización. Sin embargo, vale la pena considerar los beneficios de los servidores basados en la nube como una opción viable para un sistema de transporte público.

¿Te ha gustado este artículo? Suscríbete a nuestro boletín para no perderte las próximas publicaciones sobre información de seguridad para el transporte público.