Red Seguridad 104

74 red seguridad primer trimestre 2024 entrevista D.M.: Aquí hay que hacer dos divisiones. La primera es la referente a las empresas del IBEX 35, que han ganado bastante madurez, sobre todo las energéticas. Y la segunda es el mundo de la pequeña y mediana empresa, que está muy verde. De hecho, en este último se ha hecho muy poquito o casi nada en ciberseguri- dad industrial. Pero el gran deber es la conciencia- ción de los directivos de las empresas españolas sobre lo que es y la impor- tancia que tiene la ciberseguridad indus- trial. Porque ésta no trata solamente de proteger la infraestructura, sino que va más allá. Aquí entra el término de seguri- dad integral y la seguridad de las perso- nas. Si se cae un servidor en el mundo IT, te quedas sin utilizarlo unas horas, pero si se manipula la integridad de un dato, por ejemplo, de una depuradora, se puede contaminar a una población. Por último, otro elemento primordial es la colaboración público-privada y privada-privada. ¿Cuál es, en su opinión, el enfoque que debería tener el director de cibersegu- ridad OT en una organización industrial y dónde debería estar ubicado en el or- ganigrama corporativo? D.M.: El mundo OT debe estar separado del mundo IT. Por tanto, en mi opinión, de- bería haber un director de seguridad OT a la misma altura del CISO. No en vano, el conocimiento de la operación no tiene nada que ver con el mundo de la infraes- tructura IT o de la seguridad IT. De hecho, hay grandes organizaciones cuyos res- ponsables de ciberseguridad OT reportan directamente al CISO o al CIO. Pero son personas totalmente diferentes. Lo mismo pasaría con el SOC IT y el SOC OT. Las per- sonas que operan en ellos tendrían que ser totalmente distintas. Eso sí, seguramente en un futuro no muy lejano, cuando todo esté en el cloud , el responsable será el mismo. Sobre todo, cuando este modelo tenga cierta madu- rez. Porque a la ciberseguridad industrial le falta, precisamente, madurez. Mientras tanto, quien la dirige debe estar en planta o conocer muy bien el proceso. Al final, el ámbito IT es muy distinto. Los ciberejercicios deberían ser parte de la estrategia de ciberseguridad en cualquier organización industrial. Pero ¿qué clase de pruebas o ejercicios considera que ofrecerían un buen re- sultado a la hora de prepararse para hacer frente a un ciberincidente en el ámbito OT? D.M.: La resiliencia es lo más importan- te. Tú puedes proteger la planta lo mejor posible, algo bastante complejo, pero lo más importante es probar. Lo primero que debe haber es una jerarquía de respuesta ante incidentes clara y que la organización tenga los backup correspondientes. Y todo eso se hace con un ciberejercicio real sobre la infraestructura. Esto es lo más importan- te que debería hacer cualquier empresa industrial que se digne. Hay grandes compañías energéticas en España que ya han realizado pruebas reales sobre su infraestructura, pero es cierto que hay gente que no está muy convencida todavía sobre ello. Aun así, la clave está en la resiliencia. Y para pro- bar la resiliencia de tu organización tie- nes que hacer un ciberejercicio y poner a prueba a tu compañía. Si no, nunca vas a saber con certeza dónde estás y si lo que estás haciendo está funcionando, por muchas medidas que pongas. La falta de talento es uno de los prin- cipales retos a los que se enfrenta el sector de la ciberseguridad. De hecho, BeDisruptive ha puesto en marcha la denominada Cyber Industrial Academy. Desde su punto de vista, ¿cuáles son los principales elementos a tener en cuenta para tratar de solventar este problema? D.M.: Efectivamente, hemos puesto en marcha la Cyber Industrial Academy por- que hemos detectado que hay una falta de formación en España en lo relaciona- do con la parte más operacional. Es decir, se suele explicar la ciberseguridad, pero no tanto lo básico del mundo industrial: qué es un lazo de control, una bomba, David Marco (camisa blanca) ro- deado del equipo de profesionales especializados que forman parte de la nueva línea de negocio OT de BeDisruptive.