Diciembre de 2015. El ataque sincronizado y coordinado contra tres compañías de electricidad ucranianas, que fueron infectadas con el malware BlackEnergy, provocó un apagón de seis horas que afectó a 80.000 clientes.
Enero de 2016. Un ciberataque contra la Autoridad Eléctrica Israelí motivó que algunos de sus sistemas estuvieran inoperativos durante dos días, en un momento en el que se consumían cifras récord de electricidad debido a las bajas temperaturas.
Estos son solo dos ejemplos reales de las consecuencias que puede tener el hecho de que prospere un ciberataque a instalaciones industriales de cualquier tipo. Para abordar esta cuestión, Red Seguridad, en colaboración con el fabricante de soluciones de seguridad Check Point, organizó este «Sobre la mesa…» donde se analizaron los posibles ámbitos de mejora en estos entornos. El encuentro contó con la presencia de Juan Cobo, CISO de Ferrovial; Manuel Buitrago, CISO de Fertiberia; José Valiente, director del Centro de Ciberseguridad Industrial (CCI); Erik de Pablo, director de Investigación de ISACA Madrid; Arturo E. Díaz, CISO de EDP España; Agustín Valencia, coordinador del área OT de Iberdrola; Carlos Asún, presidente de Equipo Retén y CISO de Initec Plantas Industriales; y Mario García, director general de Check Point Iberia.
Durante el debate se abordaron diversos aspectos relacionados con la ciberseguridad industrial, pero todos los presentes coincidieron en una máxima: se están haciendo progresos en este ámbito, pero todavía queda mucho camino por recorrer. En palabras de Valiente, de CCI, «desde 2013 ha aumentado bastante la madurez con respecto a la ciberseguridad industrial. Por ejemplo, el año pasado elaboramos un documento con Check Point en el que se ponía de manifiesto que los sectores eléctrico, gasístico y petrolero son los que más avanzados están en este sentido. En cambio, el químico, el de transporte y el de agua son los que más tienen que mejorar. En otras palabras, todavía queda camino por recorrer».
De igual forma se pronunció Asún, de Equipo Retén, entidad especializada en la realización de planes de resiliencia para la sostenibilidad del negocio: «Tenemos buenos organismos públicos, como el CNPIC, el CCN-CERT o Incibe; el apoyo de consultoras y asociaciones; y la experiencia de los fabricantes. Sin embargo, hay que seguir en esa línea. De hecho, según un estudio de Forrester, en España un 29 por ciento de las empresas contratarán expertos de ciberseguridad este año, cuando la media mundial será de una de cada tres».
Precisamente, en ese camino de mejora se encuentran varias de las empresas participantes en la reunión. Por ejemplo, el representante de Fertiberia confirmó que, desde al año 2016 han avanzando en este sentido. «Ahora estamos en proceso de reorganización para incorporar la seguridad lógica en todos nuestros procesos».
Y lo mismo sucede con EDP España. A partir de 2014 y a raíz de la Ley para la Protección de las Infraestructuras Críticas, la seguridad de la información pasa a ser una de las mayores preocupaciones. «Desde entonces, los avances son notables y la concienciación es uno de los aspectos más importantes», asegura el representante de la compañía.
Quienes sí tienen una cultura más arraigada en el mundo de la ciberseguridad industrial, y así lo pusieron de manifiesto sus representantes, son Iberdrola y Ferrovial. En el caso del primero, la ciberseguridad se incluye dentro del área de Seguridad Corporativa de la empresa, a partir de la cual «están buscando la adecuada convergencia entre IT y OT en un modelo centralizado», afirmó Valencia.
Por su parte, para Ferrovial este tema es «una prioridad» sobre el que el área de seguridad «debe reportar periódicamente al comité de dirección», en palabras de Cobo, quien añadió: «Hemos avanzado mucho en los últimos años, sobre todo en concienciación, que es la base para que los consejos de administración se den cuenta de la importancia que tiene la ciberseguridad industrial».
Más apoyo de la alta dirección
Al respecto también se refirió De Pablo, de ISACA, quien confirmó «la baja sensibilidad» que hay actualmente en los consejos de administración con respecto a la ciberseguridad industrial. «Uno de los temas más preocupantes es que la alta dirección no es consciente de este problema», puntualizó, y continuó: «Resulta chocante que en las empresas industriales el riesgo de ciberseguridad no esté tan asumido. Tanto el sector OT como el IT tienen tendencia hacia el trabajo endogámico, y sus necesidades no afloran suficientemente hacia arriba».
En estas afirmaciones coincidió punto por punto García, de Check Point, quien aportó su experiencia al respecto al tratar con distintas organizaciones del sector. «A mi juicio, este es un tema con muchas luces y sombras. Hay comités de dirección que lo llevan trabajando desde hace mucho tiempo, y otros, en cambio, que no saben nada de nada». Afortunadamente, desde el punto de vista de este directivo se ha avanzado mucho en los últimos años. «La atención que recibe ahora la ciberseguridad industrial no tiene nada que ver con lo que se hacía a principios del año 2000», matizó.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
Archivado en: