Plan de Acción de Ciberseguridad (CyAP)

El Plan de Acción de Ciberseguridad (CyAP) de la Organización de Aviación Civil Internacional (OACI) es un documento que detalla cómo los Estados miembros, la industria y la OACI deben trabajar juntos para prevenir, detectar y mitigar los ciberataques a la aviación civil. El CyAP está diseñado para complementar la Estrategia de Ciberseguridad de la Aviación de la OACI, que fue adoptada en 2019. El documento establece una serie de principios, medidas y acciones para alcanzar los objetivos de los siete pilares de la estrategia, que son: cooperación internacional, gobernanza, leyes y reglamentos eficaces, política de ciberseguridad, intercambio de información, gestión de incidentes y planificación ante emergencias, y creación de capacidad, instrucción y cultura de ciberseguridad. El CyAP también incluye una hoja de ruta con acciones específicas, responsables y plazos para lograr los objetivos.

¿Cuál es el panorama actual de la ciberseguridad en la aviación civil y qué riesgos implica?

El panorama actual de la ciberseguridad en la aviación civil se caracteriza por una creciente vulnerabilidad a medida que la tecnología evoluciona rápidamente y las operaciones se vuelven más complejas.

• La dependencia cada vez mayor de los sistemas digitales interconectados ha ampliado la superficie de ataque, creando más oportunidades para los ciberataques.
• Las ciberactividades maliciosas pueden provocar desde breves interrupciones operativas hasta consecuencias catastróficas.

Aunque la ciberseguridad no es un concepto nuevo en la aviación, la frecuencia e intensidad de los ciberataques han aumentado, convirtiéndola en una preocupación central en los análisis de riesgos.

Los riesgos de ciberseguridad en la aviación civil son diversos y presentan desafíos únicos:

• Asimetría entre atacantes y defensores: Los atacantes cibernéticos son ágiles y se adaptan rápidamente, mientras que las defensas de la aviación civil suelen ser más lentas debido a la complejidad de los sistemas que protegen.
• Dificultad en la atribución y el enjuiciamiento: Identificar el origen de los ciberataques y perseguir legalmente a los responsables es complejo.
• Costos de recuperación: Las víctimas de ciberataques, junto con sus aseguradoras, suelen asumir los costos de la recuperación.

El Grupo Experto en Seguridad de la Aviación de la OACI califica el riesgo de explotación de vulnerabilidades en un contexto terrorista como "medio". Sin embargo, los riesgos cibernéticos evolucionan constantemente y deben evaluarse considerando todos los posibles atacantes.

Para abordar eficazmente estos desafíos, la OACI, los Estados y la industria deben colaborar para implementar una estrategia integral de ciberseguridad.

¿Cómo se propone el Plan de Acción de Ciberseguridad para fortalecer la seguridad de la aviación civil frente a las amenazas cibernéticas?

El Plan de Acción de Ciberseguridad (CyAP) propone una serie de estrategias para fortalecer la seguridad de la aviación civil frente a las amenazas cibernéticas. Estas estrategias se basan en siete pilares fundamentales, cada uno con acciones específicas para mitigar los riesgos y promover la ciberresiliencia del sector.

1. Cooperación internacional: El plan enfatiza la importancia de la colaboración a nivel global, regional y nacional entre todas las partes interesadas, incluyendo Estados, industria y la OACI. Esto implica:

• Reconocimiento mutuo de los esfuerzos realizados para proteger la aviación civil.
• Armonización de las regulaciones para garantizar la coherencia y la interoperabilidad de las medidas de protección.
• Participación activa de los Estados en el mantenimiento de la ciberseguridad en la aviación civil internacional.
• Facilitación y promoción de eventos internacionales sobre ciberseguridad.
• Compartir la responsabilidad de la ciberseguridad entre todos los segmentos del sistema de aviación civil mundial.

2. Gobernanza: Se busca establecer estructuras claras de gobernanza y rendición de cuentas a nivel nacional e internacional. El CyAP propone:

• Implementar la Estrategia de Ciberseguridad de la OACI.
• Establecer planes nacionales de gobernanza para la ciberseguridad de la aviación civil.
• Coordinar esfuerzos entre las autoridades de aviación civil y las autoridades nacionales de ciberseguridad.
• Integrar la ciberseguridad en los programas de seguridad operacional y seguridad de la aviación civil, tanto a nivel nacional como en los planes globales y regionales.
• Establecer una base de referencia común para normas y mejores prácticas de ciberseguridad.

3. Legislación y marco regulatorio eficaz: El CyAP aboga por un marco legal sólido que permita prevenir, investigar y sancionar los ciberataques contra la aviación civil. Se propone:

• Revisar los instrumentos jurídicos internacionales para identificar y abordar las deficiencias relacionadas con los riesgos cibernéticos.
• Analizar la legislación nacional para garantizar que existan leyes que permitan disuadir, investigar y procesar ciberataques contra la aviación civil.
• Crear leyes y reglamentos nacionales específicos para la ciberseguridad de la aviación.
• Elaborar directrices para ayudar a los Estados y a la industria a implementar las disposiciones relacionadas con la ciberseguridad.

4. Política de ciberseguridad: El plan promueve la integración de la ciberseguridad en los sistemas de seguridad operacional y seguridad de la aviación civil. Esto significa:

• Incluir la ciberseguridad en los marcos integrales de gestión de riesgos.
• Mantener la comparabilidad entre las diferentes metodologías de evaluación de riesgos de ciberseguridad.
• Desarrollar políticas de ciberseguridad que consideren el ciclo de vida completo de los sistemas de aviación.

5. Intercambio de información: El CyAP destaca la importancia de compartir información sobre amenazas, vulnerabilidades e incidentes cibernéticos para mejorar la capacidad de prevención, detección y respuesta. Se propone:

• Desarrollar o fortalecer las plataformas y mecanismos de intercambio de información existentes para crear conciencia sobre la situación de la ciberseguridad.
• Asegurar la notificación obligatoria de cualquier ciberincidente o vulnerabilidad que pueda representar un riesgo significativo para la seguridad operacional o la seguridad de la aviación.

6. Gestión de incidentes y planificación ante emergencias: Se busca garantizar la continuidad de las operaciones aéreas seguras en caso de ciberataques. El plan propone:

• Desarrollar planes de emergencia y respuesta a incidentes que incluyan disposiciones para la ciberseguridad.
• Fortalecer los planes de contingencia existentes para responder y recuperarse de incidentes cibernéticos.
• Realizar ejercicios periódicos para probar la capacidad de detección, respuesta y recuperación ante ciberincidentes.

7. Creación de capacidad, instrucción y cultura de ciberseguridad: El CyAP subraya la necesidad de desarrollar una fuerza laboral capacitada y consciente de los riesgos cibernéticos. Se propone:

• Garantizar la formación adecuada del personal en ciberseguridad, adaptada a sus funciones.
• Aumentar la conciencia sobre la ciberseguridad mediante actividades que promuevan la ciberhigiene.
• Incluir la ciberseguridad en los planes de estudio del sistema educativo nacional para desarrollar una cultura de seguridad operacional y seguridad de la aviación en todas las organizaciones.
• Fomentar la innovación y la investigación en ciberseguridad.
• Integrar la ciberseguridad en la Estrategia para la próxima generación de profesionales de la aviación de la OACI.

En resumen, el Plan de Acción de Ciberseguridad propone un enfoque integral para fortalecer la seguridad de la aviación civil frente a las amenazas cibernéticas, basándose en la cooperación, la gobernanza, la legislación, la política, el intercambio de información, la gestión de incidentes y la formación. La implementación de estas estrategias es fundamental para garantizar la seguridad, eficiencia y resiliencia del sector de la aviación civil a nivel mundial.

Fuentes:

CIBERSEGURIDAD.pdf/storage/emulated/0/Download/PLAN DE ACCIÓN DE CIBERSEGURIDAD.pdf