Red Seguridad 081

ca. Es algo que se va a explotar más a partir del éxito que tuvo WannaCry", comentó a continuación. El representante de ISACA alertó también sobre el tipo de amenazas que van a surgir a partir de ahora: los ataques combinados, cuyo cometido es dañar, de forma simultánea, tanto componentes físicos como lógicos de las instalaciones industriales. "Es imposible modelizar la malicia huma- na", manifestó al respecto. Todos los presentes estuvieron de acuerdo con este planteamiento, y señalaron que, tecnológicamente hablando, todo lo que venga en tér- minos de riesgos será más sofisticado de lo que hay ahora. Sin embargo, pusieron el acento en dos hechos sobre los cuales las empresas no deben descuidarse. El primero es que "las organizaciones siguen cayendo en las mismas vulnerabilidades de toda la vida, las de hace diez años. Siguen sin parchear, configurar sistemas, actuali- zar...", aseguró Cobo, de Ferrovial. El segundo problema, que planteó Díaz, de EDP España, es la entrada de los ciberdelincuentes en los sistemas a través de los proveedores de servicios. "En muchos casos, la infiltración de los ataques se produce a través de estas compañías, porque no tienen incorpo- rada una estrategia de seguridad ade- cuada. Hay que concienciar también a este colectivo", añadió. Al respecto, Valiente, del CCI, aña- dió la necesidad de solicitar a las empresas proveedoras que "cuenten con un interlocutor válido en términos de ciberseguridad" para poder trabajar conjuntamente en esta materia. Relación entre IT y OT El hecho de hacer frente a estas y otras amenazas implica un cambio en la estrategia y en la manera de acer- carse al concepto de la ciberseguridad por parte de las compañías industria- les, tal y como se trató a continuación en la mesa redonda. Y es que no se aproximan igual los equipos de IT que los de OT. Los primeros, en opinión de De Pablo, de ISACA, "están acostum- brados y concienciados en el uso de metodologías como ITIL, ISO 27001 y otras. En cambio, la preocupación de los profesionales OT es la producción y que esta salga adelante, por lo que las metodologías son complicaciones añadidas". Por eso, para este profe- sional, lo que hay que hacer es "poner IT y OT al mismo nivel". En este punto coincidieron todos los presentes. Por ejemplo, Díaz, de EDP España, confirmó que ahora cada una de estas áreas lleva su velocidad. "El mundo OT es más ágil a la hora de resolver un problema. No tienen tantos procedimientos, y están más acos- tumbrados al dicho: 'Yo me lo guiso y yo me lo como'". Por eso, considera importante igualar ambas. Así piensa también García, de Check Point: "La misma resistencia que hace unos años se encontraban los profe- sionales de la seguridad cuando iban a hablar con el área de IT es la que se encuentran ahora los de IT cuando van a hablar con OT". Sin embargo, reconoció que estos últimos, poco a poco, van venciendo esa resistencia. Por todo ello, es necesaria la con- fluencia entre los sistemas de IT y de OT. En palabras de Buitrago, de Fertiberia, "no se puede entender la ciberseguridad industrial sin ambos conceptos. De hecho, es imprescin- dible que haya una confluencia hacia la seguridad transversal con equipos multidisciplinares", manifestó. De igual manera se pronunció García, de Check Point: "La ciberseguridad debería ser una función transversal que afectara a todos los departamentos. Y se debería abordar de manera colabo- rativa". De hecho, continuó: "Cuanto antes se den cuenta las empresas del ámbito industrial, antes se pondrán al mismo nivel IT y OT". Pero, ¿qué tiene que suceder para que ambas partes avancen en la misma dirección?, se preguntaron seguidamente los asistentes. En este sentido, Cobo, de Ferrovial, aportó una de las respuestas. Para el direc- tivo, y aunque es consciente de que son distintas tecnologías, la clave está en contar con "una capa de ciberse- guridad similar para todo el mundo"; Agustín Valencia Coordinador del área OT de Iberdrola "La seguridad es un parámetro común a todas las tecnologías, por lo que se debería caminar hacia un mismo estándar. La colaboración público- privada es importante para facilitar vías de homogeneización de la tecnología" Arturo E. Díaz CISO de EDP España "En ocasiones, la infiltración de los ataques a compañías industriales se produce a través de los sistemas de sus proveedores, porque estos no tienen una estrategia de seguridad adecuada. Por tanto, es importante concienciar también a este colectivo" red seguridad segundo trimestre 2018 21 ciberseguridad industrial sobre la mesa