La Administración de Seguridad del Transporte (TSA) de EE. UU. ha anunciado una enmienda de emergencia a los programas de seguridad de determinados aeropuertos y operadores de aeronaves regulados por la TSA.
Descargo de responsabilidad: este texto se escribió originalmente en inglés y se tradujo mediante inteligencia artificial.
El anuncio tiene como objetivo implementar la Estrategia Nacional de Ciberseguridad de la administración Biden, que exige la creación de una infraestructura crítica nacional más resiliente.
“Proteger el sistema de transporte de nuestra nación es nuestra máxima prioridad, y la TSA seguirá colaborando estrechamente con las partes interesadas de la industria en todos los modos de transporte para reducir los riesgos de ciberseguridad y mejorar la ciberresiliencia con el fin de respaldar un viaje seguro, protegido y eficiente”, declaró el administrador de la TSA, David Pekoske. “Esta enmienda a los programas de seguridad de la aviación amplía los requisitos similares basados en el rendimiento que actualmente se aplican a otras infraestructuras críticas del sistema de transporte”.
La TSA colaboró ampliamente con socios de la aviación para desarrollar esta enmienda, que está diseñada para fortalecer las medidas de ciberseguridad en el sector de la aviación y sigue a un anuncio similar realizado en octubre de 2022 para los transportistas ferroviarios de pasajeros y mercancías.
La TSA ha tomado esta medida debido a las persistentes ciberamenazas contra la infraestructura crítica de EE. UU., particularmente en el sector de la aviación.
En otoño de 2022, los sitios web de los aeropuertos estadounidenses sufrieron un ciberataque, y grupos de hackers prorrusos incluyeron varios aeropuertos estadounidenses como objetivos.
En años anteriores, grupos dentro de China lanzaron ataques contra el sitio web de Vietnam Airlines.
Estos incidentes resaltan la vulnerabilidad de la infraestructura crítica a las ciberamenazas y la necesidad de aumentar las medidas de ciberseguridad para evitar la interrupción y la degradación de las operaciones de la infraestructura. La nueva enmienda tiene como objetivo mejorar la ciberresiliencia de las entidades reguladas por la TSA y reducir el riesgo de ciberataques contra el sector del transporte.
Ibrahim Memis, jefe de ciberseguridad de BEUMER Group, afirma que la enmienda de la TSA es un hito importante. Sugiere que los aeropuertos y sus proveedores reconozcan este desarrollo y tomen medidas para mejorar su ciberresiliencia en consecuencia.
«Esta enmienda de la TSA establece un excelente ejemplo para otras organizaciones, demostrando que la ciberseguridad debe ser un aspecto continuo y activo de las operaciones», afirma Ibrahim Memis. «No es un ejercicio puntual, sino un esfuerzo continuo para supervisar y evaluar los riesgos y las vulnerabilidades, y tomar las medidas adecuadas para abordarlos».
Según Memis, tanto los aeropuertos como sus proveedores deben trabajar continuamente juntos para garantizar la seguridad y la alineación de la infraestructura crítica en toda la cadena de suministro de la industria de la aviación.
«Es fundamental implementar los procesos y las políticas que ha establecido y mantenerlos continuamente», afirma. «Debe supervisar y realizar un seguimiento periódico de lo que está sucediendo, llevar a cabo las lecciones aprendidas y esforzarse por mejorar continuamente dentro de su organización. En BEUMER, la ciberseguridad es un tema estratégico que se debate al más alto nivel de la dirección».
Per Engelbrechtsen, director de desarrollo empresarial de BEUMER Group, se hace eco de que es fundamental que todos los implicados mantengan un enfoque proactivo de la ciberseguridad, adaptándose constantemente a las nuevas amenazas en lugar de confiar en políticas estáticas sobre el papel.
«Esto destaca la importancia de trabajar con una organización cuya principal responsabilidad es garantizar que la ciberseguridad sea un aspecto continuo y activo de las operaciones”, afirma Per Engelbrechtsen. “A los hackers no les disuaden los documentos y los procedimientos”.
Ibrahim Memis enfatiza la importancia de adoptar un marco reconocido internacionalmente para el Sistema de Gestión de Seguridad de la Información:
«Cumplir con un estándar internacional significa que la organización tiene un conjunto de requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información. El cumplimiento de un estándar internacional ayuda a las organizaciones a identificar, evaluar y mitigar los riesgos de seguridad de la información y proporciona a los clientes y a las partes interesadas la garantía de que su información está protegida».
En general, la enmienda de la TSA se alinea con varios de los requisitos clave de la norma ISO 27001, un marco reconocido internacionalmente para el Sistema de Gestión de Seguridad de la Información (SGSI). Proporciona un enfoque sistemático para que las organizaciones gestionen y protejan su información confidencial a través de un proceso de gestión de riesgos, ayuda a las organizaciones a identificar, evaluar y mitigar los riesgos de seguridad de la información, y proporciona a los clientes y a las partes interesadas la garantía de que su información está protegida.
Ibrahim Memis considera que la alineación de la enmienda de la TSA con las normas ISO 27001 es un logro significativo. Recomienda que los aeropuertos y sus proveedores reconozcan este progreso e implementen medidas para fortalecer su ciberresiliencia en consecuencia.
«La enmienda de la TSA se centra en la higiene cibernética fundamental para establecer un nivel de seguridad básico», afirma. «La norma ISO 27001 es ampliamente considerada como el estándar mundial de referencia para la mayoría de las organizaciones, incluido BEUMER Group, que recientemente obtuvo la certificación».
La enmienda de la TSA está diseñada para mejorar las medidas de ciberseguridad en el sector de la aviación debido a las continuas ciberamenazas a la infraestructura crítica de EE. UU., particularmente en la aviación.
Para cumplir con la nueva enmienda de la TSA, los aeropuertos pueden seguir los cuatro pasos principales descritos en el anuncio y alinear sus obligaciones de cumplimiento con la norma ISO 27001 y trabajar en colaboración con sus proveedores para garantizar la seguridad y la alineación de la infraestructura crítica.
«La solicitud de la TSA se alinea con los diseños estándar para proteger las organizaciones, la tecnología y los productos en todas las regiones», afirma Ibrahim Memis. «Adaptarse a estas prácticas recomendadas ya es una práctica común, pero ahora se está convirtiendo en una obligación legal. Por lo tanto, estar certificado por la norma ISO proporciona una base sólida para el cumplimiento de estos requisitos legales en evolución».
