Investigaciones recientes sobre la preparación en materia de ciberseguridad de las agencias del Gobierno Federal australiano han encontrado lagunas en la preparación del sector público para ataques de ciberseguridad o violaciones importantes de datos, lo que contribuye a que en 2024 se centre la atención en mejorar su preparación cibernética. Una auditoría de dos agencias gubernamentales, Services Australia y AUSTRAC, publicada en 2024, reveló que estas agencias no están bien preparadas para recuperarse de un ciberataque significativo, mientras que una encuesta anterior de todo el gobierno encontró lagunas en algunas áreas de madurez cibernética de la agencia. La Estrategia de Ciberseguridad 2023-2030 del Gobierno australiano decía que el Gobierno federal debería «mantenerse en el mismo estándar que espera de la industria». En 2024, un enfoque de la Dirección de Señales de Australia es mejorar las habilidades de ciberseguridad en las agencias gubernamentales. Entidades gubernamentales australianas no aptas para un entorno de mayor amenaza cibernética Las agencias del sector público australiano son los principales objetivos de los ciberdelincuentes debido a los datos que poseen. Por ejemplo, la Oficina de Impuestos de Australia reveló en 2024 que enfrenta 4,7 millones de ataques por mes debido a los 50 petabytes de datos que posee, mientras que se accedió a los datos de una cantidad significativa de personas cuando el operador de fondos de pensiones de Australia del Sur, Super SA, se vio comprometido en 2023. Ataques a los que se enfrentaron las entidades del gobierno australiano en 2022-23 Las estadísticas oficiales basadas en incidentes notificados a la ASD muestran que las entidades gubernamentales siguen siendo objetivos atractivos para los ciberdelincuentes, con un fuerte volumen de ataques. En 2022-2023: Aproximadamente el 31% de los incidentes de ciberseguridad notificados a la Dirección de Señales de Australia fueron de entidades del Gobierno australiano. Más del 40% de estos fueron ciberataques maliciosos coordinados de bajo nivel dirigidos al gobierno federal, servicios compartidos por el gobierno o infraestructura crítica regulada. El ransomware es la amenaza cibernética más importante, que plantea un riesgo considerable para las entidades del Gobierno australiano, así como para las empresas y los individuos. VER: ¿Saldrá alguna vez Australia de la escasez de habilidades en ciberseguridad? La postura actual de ciberseguridad de las entidades gubernamentales El Informe de Postura de Ciberseguridad 2023 de la ASD, que evalúa el nivel de madurez de todas las agencias gubernamentales, indicó que «el nivel de madurez general en todas las entidades se mantuvo bajo en 2023». El informe encontró: El 25% de las entidades se autoevaluaron en el Nivel de Madurez Dos en las ocho estrategias de mitigación Esenciales de la ASD. El marco de los Ocho Esenciales incluye cuatro niveles de madurez, siendo el Nivel de Madurez Cero el más bajo y el Nivel Tres considerado la mejor práctica. La mayoría de las entidades del sector público (el 71%) se autoevaluaron en el Nivel de Madurez Dos para la estrategia de mitigación de los Ocho Esenciales «Copias de seguridad periódicas». Esto indicó un problema potencial con la capacidad de recuperarse de un ciberataque significativo. Solo el 82% tenía un plan de respuesta a incidentes, aunque esto fue una mejora con respecto a 2022. De estos, el 90% dijo que su plan se había actualizado por última vez en los últimos dos años y el 69% indicó que se había promulgado al menos cada dos años. Auditorías anteriores de organismos del sector público, incluida la Policía Federal Australiana, la Oficina de Impuestos de Australia y el Departamento de Asuntos Exteriores y Comercio, realizadas por la Oficina Nacional de Auditoría de Australia, también habían «identificado niveles bajos de resiliencia cibernética en las entidades». Más cobertura de Australia AUSTRAC y Services Australia muestran deficiencias en materia de ciberseguridad Un informe de la ANAO sobre la gestión de incidentes de ciberseguridad en Services Australia y AUSTRAC en junio de 2024 concluyó que sus medidas eran solo «parcialmente efectivas», y que ninguna de ellas estaba bien posicionada para garantizar la continuidad del negocio o la recuperación ante desastres después de un incidente de ciberseguridad significativo. Nivel de madurez autoinformado de AUSTRAC y Services Australia cuando se mide en comparación con el Marco de Política de Seguridad Protectora de Australia en 2022-23. Imagen: ANAO Services Australia, que brinda servicios y pagos a los ciudadanos, y AUSTRAC, responsable de detener el abuso criminal del sistema financiero, son ambos custodios de información económica o comercial e información personal, y están clasificados como seguridad nacional o infraestructura crítica. AUSTRAC El informe de la ANAO concluyó que los procedimientos de AUSTRAC que respaldaban los procesos de recuperación de incidentes no incluían la seguridad y las pruebas de las soluciones de respaldo, ni detallaban los sistemas, aplicaciones y servidores que respaldaban los procesos comerciales críticos. Además, no detallaba las responsabilidades del CISO (su enfoque de informes de monitoreo y mejora continuos) ni definía los plazos para los informes. Además, la organización no tenía una política de registro de eventos ni documentaba su análisis de todos los eventos de seguridad cibernética, lo que violaba las pautas de ASD. VER: Se insta a los CISO de Australia a analizar más de cerca los riesgos de violación de datos Services Australia Services Australia solo es «parcialmente eficaz» en el diseño de procedimientos de gestión de incidentes de seguridad cibernética, sin un enfoque documentado para las evaluaciones de amenazas y vulnerabilidades. Tampoco tenía un plazo para el triaje y la escalada, ni un enfoque definido para las investigaciones. La agencia había «implementado parcialmente procesos de recuperación efectivos», incluidas las copias de seguridad periódicas. Sin embargo, sus planes no incluían todos los sistemas y aplicaciones que respaldaban los procesos comerciales críticos, y la agencia no prueba la recuperabilidad de las copias de seguridad. ¿Cuál es la estrategia nacional de seguridad cibernética de Australia? El gobierno australiano es consciente de la necesidad de que las agencias mejoren su nivel de preparación y resiliencia en materia de ciberseguridad. En la Estrategia de Ciberseguridad 2023-2030, por ejemplo, el gobierno escribe que, como propietario y operador de infraestructura crítica y responsable de mantener algunos de los datos más sensibles sobre la gente, la economía y la seguridad nacional de Australia, «el gobierno necesita exigirse el mismo estándar que impone a la industria». Como parte de la estrategia, el gobierno se ha comprometido a: Fortalecer la madurez cibernética de los departamentos y agencias gubernamentales. Identificar y proteger los sistemas críticos en todo el gobierno. Mejorar las habilidades cibernéticas del Servicio Público Australiano. La ASD dijo que está desempeñando un papel en la intensificación de la seguridad en las agencias gubernamentales en 2024 utilizando fondos adicionales. Esto incluye la introducción de más capacidades técnicas en los departamentos y la provisión de más expertos para ayudar a las agencias a fortalecer sus redes contra los ciberdelincuentes. El sector privado exige un aumento en los estándares de seguridad del sector público El sector privado acogerá con agrado las medidas para mejorar la ciberseguridad en el sector público. En una presentación reciente al gobierno sobre las reformas legislativas propuestas en materia de seguridad cibernética, el Consejo Tecnológico de Australia, en representación de la industria tecnológica, instó al gobierno australiano a mejorar y salvaguardar sus propias prácticas y métodos de seguridad de la información. Esto es para garantizar que cualquier información que le proporcionen las organizaciones del sector privado, como parte de las propuestas obligatorias de intercambio de información sobre incidentes cibernéticos, se realice en entornos y canales de transferencia seguros. Amazon Web Services sugirió que el gobierno debería incluir formalmente su propia infraestructura crítica y «sistemas de importancia gubernamental» en el ámbito de la Ley de Seguridad de Infraestructura Crítica u otro marco legislativo. «Hacerlo establecería importantes puntos de referencia exigibles para el gobierno», escribió AWS, «y enviaría una señal importante a la industria de que el gobierno realmente se ve a sí mismo como un socio igualitario en la mejora cibernética de la nación».
Etiqueta: Seguridad cibernética en Australia
Los gobiernos de la región de Asia Pacífico están colaborando más estrechamente con organizaciones del sector privado y proveedores de tecnología de ciberseguridad como parte de acuerdos de estilo de asociación público-privada. Estas colaboraciones pueden incluir el intercambio de inteligencia sobre amenazas, el desarrollo de capacidades cibernéticas, la investigación y las investigaciones conjuntas. A medida que la amenaza cibernética sigue creciendo en la región de Asia Pacífico, incluso por parte de atacantes de ransomware y actores de estados nacionales, la esperanza es que la colaboración integrada entre gobiernos y empresas conduzca a una respuesta más cohesiva. ¿Qué es una asociación público-privada de ciberseguridad? Una asociación público-privada en materia de ciberseguridad nacional es típicamente un marco de colaboración entre entidades gubernamentales y organizaciones del sector privado destinado a mejorar la seguridad digital de un país. Estas asociaciones, ya sean acuerdos formales o colaboraciones informales, involucran a agencias públicas responsables de la ciberseguridad que trabajan con empresas privadas como firmas tecnológicas u operadores de infraestructura crítica para responder mejor a las amenazas y generar resiliencia. Países como Estados Unidos y el Reino Unido han sido pioneros en una participación más estrecha en materia de ciberseguridad para infraestructura crítica, reconociendo la necesidad de una colaboración estrecha a medida que muchos activos estatales pasaron a manos privadas a través de la privatización. Hoy, la asociación público-privada de ciberseguridad se considera un esfuerzo social esencial. ¿Por qué están creciendo las asociaciones público-privadas en materia de ciberseguridad? Sabeen Malik, vicepresidenta de asuntos gubernamentales globales y políticas públicas de la empresa de ciberseguridad Rapid7, dijo en una entrevista con TechRepublic que el aumento de las asociaciones público-privadas, incluso en APAC, se ha producido a medida que los gobiernos reconocen que gran parte de los datos de telemetría, la tecnología y los activos necesarios para abordar las ciberamenazas ahora residen en el sector privado en lugar de estar bajo el control del gobierno. «Los gobiernos están reconociendo que no son los únicos capaces de evaluar gran parte del panorama de amenazas, y que gran parte de la información en tiempo real que buscan se encuentra fuera de las bóvedas gubernamentales», dijo. «Los gobiernos no están creando internamente un aparato si pueden pasar por alto todas las formas en que fluyen los datos». Aumento de los ataques en la región APAC La falta de control de los gobiernos sobre la creciente superficie de ataque coincide con el crecimiento de las amenazas. La investigación de Check Point encontró que la región APAC experimentó el mayor aumento interanual de ataques semanales en 2023, con un promedio de 1.835 ataques por organización, un aumento del 16%. Según Statista, muchas de las industrias más atacadas a nivel mundial en 2023, como la fabricación y los servicios financieros, son importantes para la región APAC. Las actividades cibernéticas patrocinadas por el estado, incluido el ciberespionaje, también son importantes preocupaciones geopolíticas y de seguridad, particularmente en los servicios financieros. Más cobertura de Australia Australia adopta asociaciones más estrechas con el sector privado La Estrategia de Ciberseguridad Australiana 2023-2030 enfatiza las PPP sólidas para convertirse en un líder en ciberseguridad. Esta estrategia ejemplifica cómo las jurisdicciones de APAC están adoptando individual y colectivamente la cooperación con el sector privado para impulsar la ciberseguridad. La creación de una nueva Junta de Revisión de Incidentes Cibernéticos El gobierno australiano ha propuesto una Junta de Revisión de Incidentes Cibernéticos, diseñada conjuntamente con la industria, para realizar revisiones de incidentes sin culpa para mejorar la ciberseguridad australiana. Las lecciones aprendidas de las revisiones se compartirán con el público y las empresas para fortalecer la resiliencia cibernética nacional y ayudar a prevenir que ocurran incidentes similares. Romper los modelos comerciales del ransomware El gobierno quiere trabajar con el sector privado para reducir los ataques de ransomware. Se ha comprometido a diseñar conjuntamente opciones para la presentación de informes de ransomware obligatorios, sin culpa y sin responsabilidad con socios de la industria. Esta iniciativa ayudará a informar incidentes de ransomware y pagos de rescate, apoyando la creación de un manual de ransomware para ayudar a las empresas a prepararse y manejar ataques. La Dirección de Señales de Australia se asocia con Microsoft La plataforma de intercambio de inteligencia sobre amenazas cibernéticas de la ASD, que permite a las organizaciones participantes compartir amenazas, se ha conectado con la plataforma Sentinel de Microsoft. Al crear un «sistema de inteligencia de amenazas cibernéticas global», permitirá a los clientes australianos de Microsoft que forman parte del CTIS compartir información sobre amenazas cibernéticas a la velocidad y escala necesarias para mitigar las amenazas. Formación de un Consejo Ejecutivo Cibernético Se ha establecido un Consejo Ejecutivo Cibernético para mejorar el intercambio de información sobre amenazas en toda la economía australiana e impulsar la colaboración público-privada en otras iniciativas prioritarias de la estrategia cibernética australiana. El grupo está formado por altos representantes del sector privado de Australia, incluidas asociaciones como el Consejo Empresarial de Australia y marcas como el Commonwealth Bank of Australia, Optus y el operador de supermercados Coles Group. Creación de capacidades nacionales de bloqueo de amenazas El gobierno australiano está trabajando con socios de la industria a través de la National Cyber Intel Partnership para probar una capacidad automatizada y casi en tiempo real de bloqueo de amenazas que se basará en las plataformas gubernamentales e industriales existentes y se integrará con ellas.