Investigaciones recientes sobre la preparación en materia de ciberseguridad de las agencias del Gobierno Federal australiano han encontrado lagunas en la preparación del sector público para ataques de ciberseguridad o violaciones importantes de datos, lo que contribuye a que en 2024 se centre la atención en mejorar su preparación cibernética. Una auditoría de dos agencias gubernamentales, Services Australia y AUSTRAC, publicada en 2024, reveló que estas agencias no están bien preparadas para recuperarse de un ciberataque significativo, mientras que una encuesta anterior de todo el gobierno encontró lagunas en algunas áreas de madurez cibernética de la agencia. La Estrategia de Ciberseguridad 2023-2030 del Gobierno australiano decía que el Gobierno federal debería «mantenerse en el mismo estándar que espera de la industria». En 2024, un enfoque de la Dirección de Señales de Australia es mejorar las habilidades de ciberseguridad en las agencias gubernamentales. Entidades gubernamentales australianas no aptas para un entorno de mayor amenaza cibernética Las agencias del sector público australiano son los principales objetivos de los ciberdelincuentes debido a los datos que poseen. Por ejemplo, la Oficina de Impuestos de Australia reveló en 2024 que enfrenta 4,7 millones de ataques por mes debido a los 50 petabytes de datos que posee, mientras que se accedió a los datos de una cantidad significativa de personas cuando el operador de fondos de pensiones de Australia del Sur, Super SA, se vio comprometido en 2023. Ataques a los que se enfrentaron las entidades del gobierno australiano en 2022-23 Las estadísticas oficiales basadas en incidentes notificados a la ASD muestran que las entidades gubernamentales siguen siendo objetivos atractivos para los ciberdelincuentes, con un fuerte volumen de ataques. En 2022-2023: Aproximadamente el 31% de los incidentes de ciberseguridad notificados a la Dirección de Señales de Australia fueron de entidades del Gobierno australiano. Más del 40% de estos fueron ciberataques maliciosos coordinados de bajo nivel dirigidos al gobierno federal, servicios compartidos por el gobierno o infraestructura crítica regulada. El ransomware es la amenaza cibernética más importante, que plantea un riesgo considerable para las entidades del Gobierno australiano, así como para las empresas y los individuos. VER: ¿Saldrá alguna vez Australia de la escasez de habilidades en ciberseguridad? La postura actual de ciberseguridad de las entidades gubernamentales El Informe de Postura de Ciberseguridad 2023 de la ASD, que evalúa el nivel de madurez de todas las agencias gubernamentales, indicó que «el nivel de madurez general en todas las entidades se mantuvo bajo en 2023». El informe encontró: El 25% de las entidades se autoevaluaron en el Nivel de Madurez Dos en las ocho estrategias de mitigación Esenciales de la ASD. El marco de los Ocho Esenciales incluye cuatro niveles de madurez, siendo el Nivel de Madurez Cero el más bajo y el Nivel Tres considerado la mejor práctica. La mayoría de las entidades del sector público (el 71%) se autoevaluaron en el Nivel de Madurez Dos para la estrategia de mitigación de los Ocho Esenciales «Copias de seguridad periódicas». Esto indicó un problema potencial con la capacidad de recuperarse de un ciberataque significativo. Solo el 82% tenía un plan de respuesta a incidentes, aunque esto fue una mejora con respecto a 2022. De estos, el 90% dijo que su plan se había actualizado por última vez en los últimos dos años y el 69% indicó que se había promulgado al menos cada dos años. Auditorías anteriores de organismos del sector público, incluida la Policía Federal Australiana, la Oficina de Impuestos de Australia y el Departamento de Asuntos Exteriores y Comercio, realizadas por la Oficina Nacional de Auditoría de Australia, también habían «identificado niveles bajos de resiliencia cibernética en las entidades». Más cobertura de Australia AUSTRAC y Services Australia muestran deficiencias en materia de ciberseguridad Un informe de la ANAO sobre la gestión de incidentes de ciberseguridad en Services Australia y AUSTRAC en junio de 2024 concluyó que sus medidas eran solo «parcialmente efectivas», y que ninguna de ellas estaba bien posicionada para garantizar la continuidad del negocio o la recuperación ante desastres después de un incidente de ciberseguridad significativo. Nivel de madurez autoinformado de AUSTRAC y Services Australia cuando se mide en comparación con el Marco de Política de Seguridad Protectora de Australia en 2022-23. Imagen: ANAO Services Australia, que brinda servicios y pagos a los ciudadanos, y AUSTRAC, responsable de detener el abuso criminal del sistema financiero, son ambos custodios de información económica o comercial e información personal, y están clasificados como seguridad nacional o infraestructura crítica. AUSTRAC El informe de la ANAO concluyó que los procedimientos de AUSTRAC que respaldaban los procesos de recuperación de incidentes no incluían la seguridad y las pruebas de las soluciones de respaldo, ni detallaban los sistemas, aplicaciones y servidores que respaldaban los procesos comerciales críticos. Además, no detallaba las responsabilidades del CISO (su enfoque de informes de monitoreo y mejora continuos) ni definía los plazos para los informes. Además, la organización no tenía una política de registro de eventos ni documentaba su análisis de todos los eventos de seguridad cibernética, lo que violaba las pautas de ASD. VER: Se insta a los CISO de Australia a analizar más de cerca los riesgos de violación de datos Services Australia Services Australia solo es «parcialmente eficaz» en el diseño de procedimientos de gestión de incidentes de seguridad cibernética, sin un enfoque documentado para las evaluaciones de amenazas y vulnerabilidades. Tampoco tenía un plazo para el triaje y la escalada, ni un enfoque definido para las investigaciones. La agencia había «implementado parcialmente procesos de recuperación efectivos», incluidas las copias de seguridad periódicas. Sin embargo, sus planes no incluían todos los sistemas y aplicaciones que respaldaban los procesos comerciales críticos, y la agencia no prueba la recuperabilidad de las copias de seguridad. ¿Cuál es la estrategia nacional de seguridad cibernética de Australia? El gobierno australiano es consciente de la necesidad de que las agencias mejoren su nivel de preparación y resiliencia en materia de ciberseguridad. En la Estrategia de Ciberseguridad 2023-2030, por ejemplo, el gobierno escribe que, como propietario y operador de infraestructura crítica y responsable de mantener algunos de los datos más sensibles sobre la gente, la economía y la seguridad nacional de Australia, «el gobierno necesita exigirse el mismo estándar que impone a la industria». Como parte de la estrategia, el gobierno se ha comprometido a: Fortalecer la madurez cibernética de los departamentos y agencias gubernamentales. Identificar y proteger los sistemas críticos en todo el gobierno. Mejorar las habilidades cibernéticas del Servicio Público Australiano. La ASD dijo que está desempeñando un papel en la intensificación de la seguridad en las agencias gubernamentales en 2024 utilizando fondos adicionales. Esto incluye la introducción de más capacidades técnicas en los departamentos y la provisión de más expertos para ayudar a las agencias a fortalecer sus redes contra los ciberdelincuentes. El sector privado exige un aumento en los estándares de seguridad del sector público El sector privado acogerá con agrado las medidas para mejorar la ciberseguridad en el sector público. En una presentación reciente al gobierno sobre las reformas legislativas propuestas en materia de seguridad cibernética, el Consejo Tecnológico de Australia, en representación de la industria tecnológica, instó al gobierno australiano a mejorar y salvaguardar sus propias prácticas y métodos de seguridad de la información. Esto es para garantizar que cualquier información que le proporcionen las organizaciones del sector privado, como parte de las propuestas obligatorias de intercambio de información sobre incidentes cibernéticos, se realice en entornos y canales de transferencia seguros. Amazon Web Services sugirió que el gobierno debería incluir formalmente su propia infraestructura crítica y «sistemas de importancia gubernamental» en el ámbito de la Ley de Seguridad de Infraestructura Crítica u otro marco legislativo. «Hacerlo establecería importantes puntos de referencia exigibles para el gobierno», escribió AWS, «y enviaría una señal importante a la industria de que el gobierno realmente se ve a sí mismo como un socio igualitario en la mejora cibernética de la nación».