La Voz de la Industria The Voice of the Industry

Encuentro Virtual de la Voz de la Industria Andaluza celebrado el 18 de junio de 2020

18/06/2020

CCI ha celebrado, en formado virtual, un encuentro dirigido a la industria andaluza, presentando por primera vez la prevención penal ante delitos tecnológicos en ambientes industriales conforme a los modelos de compliance.

 

Este encuentro ha tenido como objetivo principal compartir experiencias y lecciones aprendidas sobre ciberseguridad en distintos sectores de la industria. Durante el encuentro, un representante de la Junta de Andalucía ha presentado las iniciativas que se están desarrollando, con especial atención en los aspectos relacionados con la ciberseguridad en la industria.

El coordinador CCI para Andalucía, Juan Miguel Pulpillo ha presentado dos documentos desarrollados por el equipo de conocimiento del CCI «Buen gobierno y Compliance», grupo al que Juan pertenece y que verán la luz en el próximo Congreso Internacional del CCI en septiembre 2020.

Juan M. Pulpillo hace hincapié en el Compliance Global, y el esfuerzo que lleva a cabo el conjunto de CCI para analizar todos los elementos que lo componen.
La responsabilidad penal corporativa, es, el conjunto de políticas, códigos y cultura de cumplimiento que deben ser definidas en cualquier corporación empresarial e industrial. Tanto la responsabilidad individual jurídica como la seguridad deben ir de la mano.
También señala con un caso de uso sobre un delito tecnológico la responsabilidad personal que nos supondría.  Juan M. Pulpillo muestra la infografía creada por CCI como píldora concienciadora para toda la industria y técnica muy positiva entre los miembros de las organizaciones.

Todos los sectores industriales están avanzando en la transformación digital, y hemos podido conocer cómo integrar la ciberseguridad en la cadena de suministro en este escenario, así como las experiencias en la incorporación de la ciberseguridad industrial por parte de Phoenix Contact, OYLO y Entelgy Innotec Security, y como lograr la ciber resiliencia de las organizaciones industriales a cargo de Accenture Security.

Con una presentación técnica, Francisco Ramírez, de Entely Innotec Security, ha explicado la importancia de separar los campos IT y OT y las amenazas encontradas en los entornos industriales, los casos más conocidos de diferentes ataques a los sistemas de control industrial, el uso de un honeypot industrial que nos permita analizar los tipos de ataques que está recibiendo nuestra red, gestión de alertas y Threat Hunting.

También la creación de un portal de salto a la red OT, esto es, la centralización de las conexiones de ambos entornos.

Seguido, la presentación de guía para cubrir requisitos funcionales conforme al estándar IEC42443 4-2 de la mano de Ramón QuirósPhoenix Contact, menciona que cada vez hay más gente preocupada por la ciberseguridad y en concreto la industrial, pero también demanda un estándar firme que hable de requerimientos tecnológicos.

En los entornos OT, la seguridad ICS tiene como prioridad la disponibilidad de los equipos mientras que en un entorno corporativo/IT, la confidencialidad predomina ante la integridad o disponibilidad. Desde Phoenix Contact facilitan la tarea de interpretar y aplicar la norma IEC 62443 con las diversas guías disponibles desde su página web.

Eduardo Di Monte, Oylo Trust Engineering, puso en contexto la tecnología operacional (OT) y la importancia de certificarse.

Tras varios ejemplos aplicables en diferentes entornos industriales, Eduardo Di Monte, nos habla de la realidad aumentada, tecnologías adaptadas, y las diferentes capas y su ciberseguridad. Es importante la implementación de tecnologías con una buena reputación, madurez, experiencias y referencias ya que estamos hablando de infraestructuras críticas. También se pone de manifiesto las diferentes tipologías arquitectónicas de redes y otros factores involucrados. No es lo mismo hablar de un único dispositivo o de 140 que puede haber en una planta industrial. La etapa de diseño de la arquitectura de red y análisis se convierte en decisiva para posteriormente hacer un correcto despliegue de la tecnología sin necesidad de tener que invertir en más dispositivos para securizar la red.
Destaca la importancia de aportar valor al negocio y no solo pensar en la ciberseguridad.

Por último, y en lo que respecta a las ponencias de La Voz de la Industria Andaluza, David Marco, Accenture Security, nos habla sobre la resiliencia, la importancia de tener un plan de respuesta a incidentes definido.
La clave para el negocio es proteger los activos, la disponibilidad y la reputación. Es inminente tener que analizar el plan de respuesta de la organización sobre la que se va a trabajar o bien, si no existe uno, la realización de este. Para ello se debe dar un enfoque metodológico en el que se realiza el plan de respuesta a ciberincidentes flexible a cada tipo de ataque, el uso de guías técnicas de respuesta a ciberincidentes (Contención, realización y recuperación), la formación de los equipos y personal involucrados en el plan de respuesta, la realización de ciberejercicios regularmente y por último una evaluación sobre los resultados de los mismos para poder corregir errores en los procedimientos o la formación y entrenamiento del personal.

ENTREVISTAS

El encuentro ha finalizado con entrevistas a responsables de organizaciones industriales andaluzas que han compartido valiosas experiencias y retos para implementar la protección de infraestructuras industriales.

Los tres profesionales andaluces de distintos sectores (Oil&Gas, Eléctrico y Agua) respondieron a las siguientes preguntas:

¿Qué considera que podría facilitar la incorporación de requisitos de ciberseguridad OT en organizaciones de vuestro sector?
¿Cuál considera que es la diferencia más importante entre gestionar incidentes de ciberseguridad OT y gestionar incidentes ciberseguridad IT en vuestro sector?

Miguel Moreno profesional del área de sistemas de control, en Cepsa con más de 30 años de experiencia en varias empresas relevantes del sector expresa la necesidad actual de contar con el apoyo de la alta dirección para facilitar la incorporación de requisitos de ciberseguridad OT. Señala que estos requisitos deben ser proporcionados según los security level targets en cada zona y siempre con un buen soporte técnico y económico detrás. Esto unido a una buena concienciación es una buena base para la posterior gestión y evaluación de los posibles riesgos.

Por otro lado, Miguel Moreno considera que la diferencia más importante entre gestionar incidentes de ciberseguridad OT y gestionar incidentes de ciberseguridad en entornos IT en el sector petroquímico son los diferentes niveles dentro del gabinete de crisis e incluir a los profesionales responsables de OT en dicho gabinete, (anteriormente esta área no era participe) e informar al responsable de comunicación tanto interno como externo.

Por su parte Pablo Gómez-Calvente, profesional en ciberseguridad en Smart Grid devices en ENEL considera que podría facilitar la incorporación de requisitos de ciberseguridad OT en organizaciones como ENEL, sector eléctrico, la inclusión de políticas internas de seguridad, basado en estándares internacionales o recomendaciones de organizaciones internacionales especializadas en ciberseguridad, NIS, ENISA o el propio CCI. También el análisis de la tecnología que no cumpla con los requisitos de seguridad y posteriormente evaluar la criticidad de los dispositivos para considerar actualizarlos o cambiarlos por unos que sí cumplan. Hoy en día ya existen fabricantes que cumplen con varios de los estándares solicitados u obligatorios dentro de la organización.

Para Pablo Gómez-Calvente, la diferencia más importante es que los incidentes OT son más críticos que los que puedan darse en el entorno IT. Las empresas pueden tener sanciones mucho más altas.

Alfonso López-Escobar, responsable de ciberseguridad de EMASESA con un amplio recorrido en la automatización industrial considera que no hay tantas diferencias entre sectores. Señala que el mundo OT empieza a aproximarse mucho al IT, y los entornos operacionales deben ser una parte importante que hay proteger. El aprendizaje por casos conocidos externos son los más fáciles y seguros en lo que respecta a nuestra propia organización, lo peor, es que le ocurra un incidente a uno mismo y tenga que aprender a la fuerza.

En referencia a las infraestructuras críticas, Alfonso López-Escobar induca que las obligaciones legales tienen un peso muy grande lo que facilita la incorporación de requisitos de ciberseguridad OT en organizaciones. La ciberseguridad se debe abordar de forma conjunta y con una comunicación efectiva entre aquellos involucrados. Tambíen señala que la volumetría, el impacto y el tipo de amenaza, sobre todo si es interna, son algunas de las diferencias a destacar entre la gestión de incidentes de OT e IT.

Agenda Schedule

  • 9:00 am
    Bienvenida y contexto de Incidentes de Ciberseguridad Industrial. CCI
  • 9:15 am
    Iniciativas para impulsar la ciberseguridad en la Junta de Andalucía. Junta de Andalucía
  • 9:40 am
    Prevención penal ante delitos tecnológicos en ambientes industriales. CCI
  • 10:00 am
    Demostración práctica de saltos entre entorno IT y OT. Entelgy Innotec Security
  • 10:30 am
    Como cubrir los requisitos de seguridad de IEC62443 4-2. Phoenix Contact
  • 11:00 am
    Como desplegar tecnologias en un entorno industrial. OYLO
  • 11:30 am
    Ciber resiliencia en entornos industriales. Accenture Security
  • 12:00 am
    Entrevistas a responsables en ciberseguridad que comparten experiencias sobre ciberseguridad
  • 12:20 am
    Clausura del encuentro