Proteger la infraestructura crítica en la era de la IA: comienza por los datos

Las infraestructuras nacionales críticas (CNI) son los sistemas y activos esenciales para el funcionamiento de nuestra sociedad. Muchas agencias y funciones clave están centralizadas en el sector público por razones de gestión y eficiencia, y dependen de la confianza, la gobernanza y la resiliencia.

Los sistemas de infraestructura crítica sustentan a la sociedad moderna. Los gobiernos definen la infraestructura crítica como el sistema cuya interrupción tendría graves consecuencias para la seguridad nacional, la estabilidad económica, la salud pública o la seguridad pública.

Esto incluye lo siguiente:

• Las redes energéticas alimentan hogares y hospitales.

• Las redes de transporte facilitan el comercio y la movilidad.

• Los sistemas financieros respaldan la actividad económica.

• Los sistemas de telecomunicaciones mantienen conectados a los servicios de emergencia, las empresas y los ciudadanos.

• La infraestructura sanitaria protege la salud pública.

Todos estos sectores operan sistemas complejos que generan datos críticos, y comparten la necesidad de proteger la información confidencial con una visibilidad y protección unificadas que abarquen tanto los datos estructurados como los no estructurados. Si estos sistemas no funcionan correctamente, las operaciones se paralizan, lo que supone pérdidas de ingresos para las compañías y priva a los residentes de los servicios de los que dependen. 

Las interrupciones en la infraestructura crítica no son solo problemas financieros: pueden poner en riesgo las operaciones, la reputación de la empresa, los datos confidenciales de los ciudadanos e incluso la seguridad pública. En los últimos años, los incidentes en infraestructuras críticas en todo el mundo han demostrado los efectos disruptivos que pueden tener las brechas de seguridad. En el centro: datos comprometidos.

Proteger la infraestructura crítica es una prioridad para gobiernos y organizaciones del sector privado en todas las regiones. Con el aumento de las amenazas cibernéticas impulsadas por la IA y que se desarrollan a un ritmo acelerado, las infraestructuras críticas deben proteger sus datos y servicios, lo que requiere visibilidad operativa y capacidades de ciberseguridad resilientes que puedan adaptarse al panorama actual.

Las inversiones en infraestructura crítica a menudo se ven como un seguro: su valor es teórico hasta que algo sale mal. Sin embargo, aunque las medidas de seguridad pueden ser costosas, no hay que subestimar su valor. La CNI cuenta con una estrategia de inversión única que requiere lograr mayores eficiencias de costos, las cuales deben sopesarse frente al costo de una posible brecha de seguridad, así como las inversiones continuas necesarias en tecnología, capacitación y personal.

En última instancia, a medida que las organizaciones continúan sus transformaciones digitales, la seguridad no puede ser una idea tardía; debe integrarse en cada nuevo nivel de operaciones. Al mismo tiempo, el sector público y las organizaciones de infraestructura crítica enfrentan una presión cada vez mayor para hacer más con presupuestos limitados. Esto requiere un enfoque en la eficiencia a través de la consolidación, el almacenamiento de datos escalable y rentable, y las operaciones de seguridad basadas en datos que reduzcan la complejidad y mejoren los resultados de seguridad.

En algunas organizaciones del sector público, crear y mantener centros de operaciones de seguridad (SOC)internos puede ser un reto financiero, en parte porque hay que contratar personal especializado. Esto ofrece una oportunidad única para considerar el modelo de SOC como servicio (SOCaaS) diseñado específicamente para los casos de uso del gobierno.

Para aprovechar las capacidades de seguridad impulsadas por la IA, es esencial contar con una base sólida de gestión de datos. Un enfoque de malla de datos descentraliza la propiedad de los datos al tiempo que mantiene una gobernanza y estándares de seguridad compartidos. En lugar de depender de una única plataforma de datos centralizada, las organizaciones pueden agrupar los datos en "productos" específicos de cada dominio, que son propiedad y están a cargo de los equipos más cercanos a los sistemas que los generan. Para los operadores de infraestructura crítica, esto puede mejorar tanto la seguridad como la eficiencia operativa. Un enfoque de malla de datos también permite la consolidación de herramientas, lo que reduce significativamente la proliferación tecnológica, las vulnerabilidades y el costo de mantener distintas herramientas de seguridad. 

Diseñar sistemas pensando en la resiliencia también ayuda a los operadores de infraestructura a adaptarse a los requisitos normativos en constante evolución y a las amenazas emergentes sin interrumpir los servicios esenciales.

Una arquitectura de confianza cero elimina la confianza implícita. Cada usuario, dispositivo y aplicación debe verificar continuamente su identidad y autorización antes de acceder a los sistemas o datos. A menudo, los permisos se limitan al mínimo requerido para una tarea. De manera crucial, el acceso solo se otorga de acuerdo con políticas estrictas que garantizan que los sistemas estén siempre seguros y actualizados en un panorama de amenazas en constante cambio.

Para los operadores de infraestructura crítica, la confianza cero ofrece varias ventajas:

• Mayor visibilidad: al unificar los datos en todos los pilares de confianza cero y aplicar una monitorización continua, las organizaciones obtienen una visión global de usuarios, dispositivos, TI, OT y entornos IoT, ayudando a identificar e investigar comportamientos inusuales más rápido.

• Superficie de ataque reducida: los estrictos controles de identidad y acceso limitan los puntos de entrada no autorizados.

• Mitigación de daños: la microsegmentación restringe las brechas a áreas más pequeñas, minimizando el daño cuando ocurren ataques y reduciendo el costo de la recuperación.

Al verificar cada interacción en lugar de confiar en las redes internas de manera predeterminada, la confianza cero ayuda a proteger los sistemas de infraestructura complejos tanto de los atacantes externos como de las amenazas internas. Un enfoque unificado de los datos, como una malla de datos, mejora este marco de trabajo de seguridad al conectar los datos entre los distintos pilares de seguridad y permitir una visibilidad integral de todo el entorno.

Incluso las defensas más sofisticadas no pueden detener todas las amenazas. Los atacantes pueden eludir las herramientas de detección automáticas, aprovechar vulnerabilidades desconocidas u ocultarse entre la actividad legítima del sistema. Aquí es donde la búsqueda de amenazas se vuelve crítica.

La búsqueda de amenazas es una estrategia proactiva en la que los analistas buscan amenazas cibernéticas que puedan haber eludido las defensas de seguridad tradicionales. El objetivo es anticipar, identificar y neutralizar las amenazas antes de que causen algún daño. Al buscar continuamente indicios de intrusión, las organizaciones con infraestructura crítica pueden detectar amenazas sofisticadas más temprano y reducir la probabilidad de interrupciones a gran escala.

Pero a medida que los entornos de infraestructura se vuelven más complejos, el monitoreo manual y las operaciones por sí solos ya no pueden seguir el ritmo de las amenazas modernas. Los equipos de seguridad se enfrentan a un volumen abrumador de alertas, registros y datos de telemetría, lo que genera un problema fundamental relacionado con los datos: información fragmentada que limita la visibilidad y la correlación, retrasa los tiempos de respuesta y aumenta el cansancio de los analistas.

La automatización y el machine learning son herramientas esenciales para mejorar la detección y la respuesta. Los análisis basados en IA pueden procesar sets de datos masivos en tiempo real, identificando patrones y anomalías que los analistas humanos podrían pasar por alto.

La automatización de la seguridad también puede agilizar la respuesta a incidentes. Las acciones automatizadas, como aislar dispositivos comprometidos, bloquear el tráfico de red sospechoso o revocar credenciales, pueden contener las amenazas en cuestión de segundos, lo que limita la propagación de los ataques por los sistemas de la infraestructura. Esto permite que los equipos de seguridad se concentren en tareas de mayor valor, como investigar incidentes complejos, mejorar las defensas y fortalecer las estrategias de resiliencia.

En las operaciones de seguridad modernas, esta capacidad está evolucionando aún más hacia un modelo agéntico, en el que los agentes autónomos se encargan de todo el ciclo de vida, desde la ingesta hasta la respuesta, mientras que los analistas se ocupan de la evaluación, la verificación y la aprobación. Esto permite una detección más rápida y contextual basada en datos operativos confiables en lugar de alertas aisladas.

Con Elastic Security, las organizaciones a cargo de infraestructura crítica pueden mejorar de manera integral sus medidas de seguridad. La plataforma de operaciones de seguridad agéntica de Elastic puede manejar todo el ciclo de vida, desde la ingesta hasta la respuesta, mientras que los analistas se encargan de la evaluación, la verificación y la aprobación. Las infraestructuras críticas pueden dejar atrás los procesos de seguridad manuales y que consumen mucho tiempo, los cuales generan riesgos, y adoptar operaciones impulsadas por IA, diseñadas para seguir el ritmo de las amenazas impulsadas por IA que evolucionan rápidamente.

Como parte de esta plataforma, Elastic proporciona herramientas de seguridad impulsadas por IA para aumentar la resiliencia de infraestructuras críticas, tales como:

• Ingeniería de contexto: estructura y enriquece las señales que la IA analiza, de modo que cada decisión automatizada se basa en la realidad operativa del entorno que protege.

• Agent Builder y habilidades agénticas: Un entorno de diseño y una biblioteca de capacidades modulares para crear flujos de trabajo autónomos diseñados a medida que evoluciona el panorama de amenazas.

• Elastic Workflows: un motor de automatización nativo que organiza las operaciones de seguridad de extremo a extremo, a través de detección, investigación y respuesta, eliminando las entregas manuales que ralentizan la respuesta durante incidentes en servicios esenciales.

• Elastic AI Agent: un operador de seguridad autónomo que ejecuta investigaciones de varios pasos y acciones de respuesta en nombre del SOC, manteniendo la cobertura incluso cuando hay falta de analistas o durante ataques prolongados.

• Descubrimiento de ataques basado en IA: correlaciona automáticamente las alertas entre entidades, comportamientos y rutas de ataque para indicar a los analistas dónde buscar primero y centrar la atención finita en las amenazas que más importan.

• Elastic AI Assistant: una herramienta interactiva para analistas que se basa en el contexto en tiempo real del SOC para responder preguntas de investigación y sugerir medidas correctivas, lo que respalda las decisiones tomadas por personas que protegen la infraestructura crítica.

Además, Elastic permite modelos de lenguaje grandes (LLM) agnósticos al modelo, que admiten cualquier despliegue, incluso en las instalaciones en entornos aislados. Las organizaciones pueden desplegar de forma flexible en regiones, nubes o infraestructuras para cumplir con los requisitos de soberanía y residencia de datos, sin bloqueo de proveedores.

Con Elastic, el monitoreo continuo de todos los tipos de datos, sin importar dónde residan o en qué formato se encuentren, permite una detección temprana de anomalías y una respuesta más rápida. Nuestras capacidades de IA están diseñadas para ser accesibles más allá de los equipos especializados, lo que reduce la complejidad y el tiempo de entrenamiento al tiempo que mejora la usabilidad en toda la organización.

La lección sobre la infraestructura crítica en la era de la IA es clara: en los sistemas basados en la confianza, la infraestructura debe funcionar de manera continua y segura. Prepararse para las interrupciones de hoy e invertir en sistemas resilientes para mañana es la única manera de garantizar que los servicios esenciales en los que confía la gente sigan siendo confiables incluso en un panorama digital cada vez más incierto. Esto requiere la capacidad de ver todos los datos de una manera unificada y aplicar capacidades de IA de manera integral en todos los datos para permitir decisiones más rápidas e informadas.

Descubre cómo Elastic puede ayudarte a proteger tus sistemas de infraestructura crítica.