Tu explorador está configurado para bloquear JavaScript. Para usar nuestros servicios, es necesario que lo permitas.
La alta dirección, pieza clave en la ciberseguridad operacional
Diálogos La Vanguardia
Expertos reunidos por La Vanguardia y SIA destacan la importancia de garantizar la actividad de las instalaciones y abogan por una mayor concienciación de los operarios
Sin tregua. La ciberseguridad es un camino que se anda paso a paso, sin pausa, y que no termina nunca, porque la ciberdelincuencia siempre va por delante.
España es el cuarto país europeo con más ciberataques en el sector industrial. Se constata una tendencia anual al alza, que arroja cifras preocupantes, y una mayor sofisticación de los ataques. Con las técnicas de ingeniería social, estrategias para engañar a las personas y obtener información sensible, los ciberdelincuentes consiguen tasas de éxito muy altas, en parte debido a la falta de conocimiento y concienciación en ciberseguridad por parte de los empleados. Tradicionalmente, la estrategia de protección en las organizaciones se ha centrado en la ciberseguridad sobre el perímetro de las tecnologías de la información (IT). Aunque en los últimos años se está dando un protagonismo creciente a la ciberseguridad en los entornos industriales y operacionales (OT), continúa siendo, por lo general, una asignatura pendiente en las agendas estratégicas.
Video
Expertos reunidos por La Vanguardia y SIA destacan la importancia de garantizar la actividad de las instalaciones y abogan por una mayor concienciación de los operarios
La Vanguardia y SIA, la compañía del Grupo Indra especializada en ciberseguridad, reunieron a un grupo de expertos para poner en común estrategias de protección de las operaciones, así como el impacto, tanto en costes como en reputación, de un eventual ciberataque y abordar los retos de futuro. En la mesa redonda participaron Roberto Espina, CEO de SIA; David Esteban, CISO del Ajuntament de Barcelona; Albert Vives, CISO/CSO en Applus+ IDIADA; Alonso Flores, CISO/CIO en ATL Ens d'Abastament Aigua Ter-Llobregat; y Andrés Prieto, global manager D&T Infra & OT Cyber Security en dsm-firmenich. La implicación de la alta dirección es, en opinión de todos los expertos, una pieza clave para proteger los entornos industriales y operacionales.
La ciberseguridad es un elemento estratégico corporativo para crecer y competir
El panorama presenta luces y sombras. Según un estudio realizado por SIA, las compañías energéticas han hecho los deberes, invirtiendo en planes específicos de ciberseguridad OT, mientras que el sector industrial está a años luz. “No hay una apuesta significativa en términos de organización, muchas empresas no tienen un responsable de ciberseguridad centrado en el ámbito OT, ni por supuesto han realizado las inversiones necesarias para desplegar las herramientas de seguridad”, afirmó Espina. Al estar menos protegido, el ámbito operacional está siendo foco de los ciberdelincuentes que “atacan allí donde más impacto puedan tener con menor coste”. Queda, pues, mucho trabajo por hacer.
La alta dirección debe incorporar a su estrategia medidas específicas de ciberseguridad para mejorar la resiliencia de las infraestructuras
Roberto EspinaCEO de SIA
La ciberseguridad operacional, prosiguió el CEO de SIA, es clave para proteger las infraestructuras críticas, como pueden ser las plantas de producción de energía, pero también las fábricas o las mismas ciudades. En este sentido, explicó que la transformación digital ha permitido evolucionar y mejorar significativamente la eficiencia de estas infraestructuras, pero al mismo tiempo las ha hecho más vulnerables. Habida cuenta de que el impacto de los ciberataques puede tener efectos sobre la seguridad de las personas y sobre la operatividad de estas infraestructuras críticas, Espina insistió en que “la alta dirección de las compañías y de las instituciones públicas deben incorporar medidas específicas de ciberseguridad operacional a su estrategia de protección para mejorar la resiliencia de estas infraestructuras”. Y eso pasa por invertir en organización y recursos, pero también por dar voz al responsable de ciberseguridad. “Hay que empoderarlo”, terció Esteban, mientras que Vives advirtió que las direcciones no deben ver “la ciberseguridad como un gasto, sino como una inversión en confianza, en imagen y en la continuidad de las operaciones”. Los ponentes coincidieron en que la ciberseguridad en el entorno OT es un elemento estratégico corporativo para poder crecer y competir.
No hay que ver la ciberseguridad como un gasto, sino como una inversión en confianza y en la continuidad de las operaciones
Albert VivesCISO/CSO en Applus+ IDIADA
Partiendo del convencimiento de que “nadie está a salvo”, y de que las empresas se dividen entre las que han sido atacadas y las que lo serán, las corporaciones participantes en el debate, así como el Ayuntamiento de Barcelona, trabajan y se focalizan para mejorar todos los aspectos de ciberseguridad para poder tener un entorno seguro y que, ya sean fábricas, laboratorios o la propia ciudad, sigan funcionando. “La ciberseguridad no es solo tecnología, es un modelo de gestión en el que están implicados desde la alta dirección hasta el último empleado. La operativa diaria de todos los procesos debe estar concebida y diseñada teniendo en cuenta la seguridad”, proclamo el CISO de ATL. “Somos un servicio esencial, con infraestructuras críticas, y eso marca toda la operativa”, añadió. Tanto Flores como Prieto abogaron por una fusión de los equipos de IT y de OT para contar con una ciberseguridad más robusta. “Es necesario que ambos equipos se entiendan, porque cuanto más alineados estén, más protegida estará la empresa. Es necesario ese cambio cultural”, enfatizó el responsable de seguridad de dsm-firmenich.
La ciberseguridad no es solo tecnología; es un modelo de gestión que implica desde la alta dirección al último empleado
Alonso FloresCISO/CIO en ATL Ens d'Abastament Aigua Ter-Llobregat
El representante de Applus + IDIADA aseguró, por su parte, que el “gran reto es aplicar la seguridad sin que se vean afectadas las operaciones y actualizar los sistemas que no están preparados para la conectividad”, sino para fueron concebidos para “la eficiencia y durabilidad”. Y esa seguridad es la que permite a la compañía realizar “ensayos de calidad y contar con la confianza de socios y accionistas”. Vives recordó que IDIADA es una empresa innovadora, cuyo principal cliente es la industria del automóvil.
Los entornos operacionales deben contar con planes de resiliencia y recuperación
El consistorio de Barcelona, declaró su CISO, trata “la seguridad de forma global”. No solo se centra en garantizar la seguridad de los datos de los ciudadanos, sino también en asegurar que “la ciudad funcione correctamente”. Porque, como explicó, los entornos OT en las ciudades son sensores y redes wifi, pero también semáforos, alumbrado o los depósitos que recogen aguas pluviales para evitar inundaciones. Esteban añadió que Barcelona pone el foco en ser una ciudad ciberresiliente porque tarde o temprano tendrá que enfrentarse a un incidente. “Tenemos que ser capaces de recuperarnos lo antes posible”, sentenció, no sin antes afirmar que se están rehaciendo los planes de emergencia para reaccionar ante un ataque cibernético. “Vamos a ser de las primeras ciudades en tener planes de emergencia ciber; esto es lo que va a marcar la diferencia entre una buena gestión o un problema serio”, aseveró.
Es necesario que los equipos de IT y de OT se entiendan, porque cuanto más alineados estén, más protegida estará la empresa
Andrés PrietoGlobal manager D&T INFRA & OT CYBER SECURITY en dsm-firmenich
Si importante es saber cuáles son los activos que hay que proteger, analizar los riesgos a los que se pueden ver sometidos y priorizarlos en función del impacto que tienen en el negocio, no lo es menos contar con planes de recuperación y resiliencia para volver a la operativa en el menor tiempo posible, advirtió Espina. Y es que los ciberataques tienen impacto sobre la cuenta de resultados, pero también sobre la reputación. Este impacto reputacional depende de la capacidad de respuesta. Los ponentes argumentaron que, si la empresa o institución es capaz de responder de forma “diligente, adecuada, en tiempo y transmitiendo seguridad”, puede que incluso el impacto sea positivo.
La falta de expertos ‘ciber’ se estima entre 70.000 y 80.000 personas en España
Tan importante es que la alta dirección tome cartas en la ciberseguridad operacional como que todos los operarios estén sensibilizados. “Todos somos seguridad. Hay que hacer conscientes a los usuarios de su inconsciencia”, apostilló Esteban. Prieto abogó por focalizarse en pequeños y sencillos esfuerzos para que los trabajadores aprendan y asuman que “son el primer cortafuegos”. A su juicio, para que la estrategia surta efecto, hay que moldear el mensaje para los operarios de fábrica. “Hay que ser conscientes de que la seguridad no se ve, pero está ahí. El gran reto de sus responsables es tangibilizar el trabajo de seguridad”, dijo por su parte Flores, quien, no obstante, constató que ahora los trabajadores están más abiertos y receptivos a las campañas de divulgación y sensibilización.
La alta dirección debe incorporar a su estrategia medidas específicas de ciberseguridad para mejorar la resiliencia de las infraestructuras
Roberto EspinaCEO de SIA
Otro de los grandes desafíos es sumar a toda la cadena de valor en las buenas prácticas de seguridad. Y aunque la normativa ayuda, no es una varita mágica. “Si tú te fortaleces, no puedes olvidarte de los proveedores, porque ahí pues tener un agujero grande de seguridad”, avisó el representante de ATL, mientras que Vives explicó que IDIADA exige unos estándares de seguridad a sus proveedores y se monitoriza que cumplan con la normativa. Ante la dificultad que entraña este punto, SIA, según avanzó su CEO, ofrece un servicio externo de seguridad de terceros para monitorizar la relación con clientes y proveedores. “El contrato está, pero no se vuelve a mirar y, pasados dos o tres años, las compañías están en manos de terceros que son mucho menos tecnológicos y con una capacidad de defensa menor”, argumentó Espina.
Barcelona, ciudad pionera en tener planes de emergencia en ciberseguridad
Los expertos también señalaron la necesidad de hacer simulaciones y un sinfín de ensayos. “No podemos tener un incidente que no hayamos ensayado antes, porque así cuando pase, sabremos qué tenemos que hacer”, defendió Esteban. La falta de talento en ciberseguridad, más acuciante si cabe en los entornos operacionales, que además auguraron se verá agravado en los próximos años, es un gran reto de futuro. Según diferentes estudios, en España hay un déficit de entre 70.000 y 80.000 expertos en ciberseguridad. Prieto relató que, para suplir la falta de talento en el mercado, en dsm-firmenich han decidido apostar por formar en OT al personal de IT, mientras que Vives señaló que en Applus+ IDIADA pueden observar que el talento de la ciberseguridad clásica se mueve hacia la ciberseguridad del automóvil y no tanto hacia el OT. “Con el vehículo autónomo, es un entorno más novedoso y atractivo”, puntualizó. De la misma forma que la IA, que en palabras del CEO de la compañía del Grupo Indra es “escudo y arma” para la ciberseguridad, permitirá una mejora de los tiempos de respuesta y favorecerá planes de acción más ágiles y fáciles de implementar, también ayudará a minorar esa falta de talento.
