El pero procede del también creciente riesgo de que el sistema pueda sufrir ciberataques. Los ciberataques pueden afectar a la seguridad, interrumpir el funcionamiento de toda la red, arruinar la reputación de la empresa y generar enormes pérdidas económicas. Por eso, los operadores de transporte público deben plantearse hoy una protección coherente en materia de ciberseguridad en todos sus procesos, especialmente en la contratación. El Sector no puede permitirse la autocomplacencia y debe aplicar urgentemente las mejores prácticas de ciberseguridad para garantizar que siga siendo así, tal y como apunta Serge Van Themsche, consultor de ciberseguridad de la empresa Waterfall Security Solutions y miembro del Comité de Ciberseguridad de la UITP.
Integrar los requisitos de ciberseguridad operativa es más fácil de decir que de hacer
>La organización internacional (que celebrará, por cierto, su Congreso Mundial en Barcelona a comienzos del próximo mes de junio), reconoce que este tipo de ataques no suponen una amenaza inmediata para los pasajeros o los empleados, pero pueden provocar grandes retrasos en los viajes, fallos en la red y la inevitable pérdida de confianza de los pasajeros, dado que incluso están en juego sus datos personales.
Por eso, aunque ofrecer una conexión gratuita a Internet puede ser una gran ventaja para los viajeros, los operadores y las autoridades deben mantener sus redes a salvo de los piratas informáticos, algo que, a juicio de UITP, no es solo una expectativa de los pasajeros, sino una obligación legal del responsable del tratamiento. Cualquier violación de la confidencialidad de los datos es un delito punible con multas de hasta el 2-4% del volumen de ventas.
Parte del proceso desde el principio
Para que la experiencia de los pasajeros sea segura y fluida, la ciberseguridad es la base de la infraestructura digital del transporte público. Sin embargo, a la hora de incorporar la ciberseguridad, muchos operadores y autoridades fracasan en el primer obstáculo: integrar los requisitos en su proceso de licitación.
UITP entiende que en lugar de incorporar los procedimientos de seguridad necesarios desde el principio de la ampliación de una línea de metro o del despliegue de nuevos servicios compartidos a la carta, los operadores y las autoridades suelen presentar solicitudes demasiado vagas para ofrecer soluciones seguras que satisfagan sus necesidades. Luego pueden revisar sus requisitos después de haber experimentado ciertas amenazas, lo que conlleva costes adicionales y retrasos en los proyectos.
Ahora bien, también somos todos conscientes de que integrar los requisitos de ciberseguridad operativa es más fácil de decir que de hacer, sobre todo porque pocos operadores y autoridades disponen de especialistas internos que puedan apoyar el proceso de licitación. Además, los compradores no proporcionan directrices que les ayuden fácilmente a gestionar el proceso, lo que en la mayoría de los casos acaba en un desajuste entre las expectativas del operador/autoridad y los servicios del vendedor.
Así las cosas, y reconociendo la amplia discrepancia entre lo que debe hacerse durante las licitaciones y los recursos disponibles para garantizar una protección adecuada de la ciberseguridad, el Comité de Ciberseguridad de la UITP ha elaborado un extenso Informe al respecto: Directrices prácticas sobre requisitos de ciberseguridad: Requisitos en las licitaciones, que explicaremos mañana más en detalle.
