El Centro de Ciberseguridad Industrial ha presentado su estudio «Beneficios de la ciberseguridad para las empresas industriales»
En el marco del XVII Encuentro «La Voz de la Industria», celebrado el pasado 4 de mayo en Madrid, el Centro de Ciberseguridad Industrial (CCI) presentó el documento «Beneficios de la ciberseguridad para las empresas industriales«, que recoge los testimonios de un exclusivo grupo de directivos sobre la ciberseguridad. La necesidad de concienciar a los consejos de administración y otros dirigentes empresariales estuvo muy presente en las charlas, demostraciones y debates del encuentro.
José Valiente, director del CCI, inició la jornada anunciando que el Centro cuenta con tres nuevos coordinadores regionales, en Reino Unido, Bélgica y Turquía.
A continuación Miguel García-Menéndez, responsable de Gobierno Corporativo y Estrategia del CCI, presentó el documento «Beneficios de la ciberseguridad para las empresas industriales», con la presencia de Antonio Rodríguez, de Air Liquide e Ignacio Álvarez, de Siemens, quienes facilitaron el acceso a diversos directivos que aparecen en el texto.
También estuvo allí Manolo Palao, co-fundador del Innovation & Technology Trends Institute y uno de los co-autores del estudio, quien explicó que «la ciberseguridad debería estar en manos compartidas del consejo de administración y de los gestores tecnológicos, pero en la práctica esta distribución no existe; hay grandes barreras, grave incomprensión entre los CISOs y el comité de administración«.
Miguel García-Menéndez explicó que el estudio incide en el papel del consejo de administración y del director general respecto a la ciberseguridad, así como las amenazas para la industria en la era digital, los habilitadores para el desarrollo de la ciberseguridad industrial, los beneficios para las empresas industriales y los testimonios de personas de dirección.
García advirtió: «No tratamos de convertir a los miembros de consejos en tecnólogos«, pero destacó que «en Estados Unidos ya ha habido un cambio de chip en consejeros y directivos, se empiezan a tomar la ciberseguridad bastante en serio y aquí, no». Acabó recordando cuando, en 1999, un oleoducto de la Olympic Pipeline Company explotó en Bellingham (Washington). Hubo tres muertos y un vicepresidente imputado porque tenían los sistemas SCADA desconectados, usándolos en labores de mantenimiento.
A continuación habló Óscar Bou, socio-director de Govertis, quien mostró cómo implementar un sistema de gestión de ciberseguridad industrial con la plataforma SandaS GRC. Bou expuso la necesidad de un enfoque holístico en entornos tan complejos como los industriales, con diferentes sistemas, criterios de valoración, amenazas y niveles de riesgo. Destacó: «Hay que bajar a nivel de campo, es muy importante implicar a los responsables de planta para que reporten lo que está pasando, incluso en subestaciones remotas, todos deben velar para que los controles sean efectivos«.
Loic Guezo, «cybersecurity strategist» de Trend Micro, aportó un interesante elenco de ejemplos donde destacó una demostración de ataques contra robots industriales: la introducción de un pequeño defecto, como sería una diferencia de 2 mm en el dibujo realizado por el robot, puede significar pérdidas millonarias. Según un reciente estudio de Trend Micro, un 10% de sistemas industriales están infectados y algunos virus han sido responsables de importantes ataques, como la suspensión de 13 líneas de producción en una empresa afectada por el virus Zotob, que provocó pérdidas de 14 millones.
Enrique Domínguez, director de estrategia de InnoTec System, y David Marco, responsable de la línea de negocio de ciberseguridad industrial en la misma empresa, explicaron que los ciberincidentes gestionados por CCN-CERT e InnoTec han pasado de 4.003 hace cinco años a 20.940 en 2016, siendo la mayoría de criticidad «Alta». Domínguez y Marco alertaron especialmente contra la extorsión: «Es tendencia en todos los sectores, en la industria demuestran que están en la planta y, si no se les paga, atacan«. El 20% de empresas no están preparadas para responder a incidentes informáticos, aseguraron.
La mañana acabó con una mesa de debate sobre «La resiliencia corporativa y la dependencia tecnológica«, moderada por Susana Asensio, responsable de Proyectos del CCI. Susana habló del mundo VUCA (Volátil, Incierto, Complejo, Ambiguo) en el que las empresas solo pueden «adaptarse o sucumbir». En el debate participaron Antonio Rodríguez, de Air Liquide; Jesús Mérida, de Técnicas Reunidas; Juan Mataix, de Palo Alto Networks, y Eusebio Nieva, de Check Point.
Los ponentes valoraron como claves del éxito en el camino hacia la adaptación digital la toma de decisiones rápida, la adecuada recogida de datos, la flexibilidad y adaptabilidad, la integración interna de la complejidad tecnológica o la adopción de medidas de ciberseguridad «de arriba a abajo, en toda la empresa«, especificó Juan Mataix. En cuanto a la estrategia para conseguirlo, Eusebio Nieva resaltó que «la mayoría de empresas quieren ir a la digitalización, pero no saben cómo«.
Susana Asensio aportó un estudio del MIT y Deloitte que muestra como barreras a esta digitalización la falta de estrategia, tener demasiadas prioridades, que la dirección no lo entiende, la falta de especialistas y la ciberseguridad. Antonio Rodríguez añadió a la lista «uno de los temas que más nos encontramos en el mundo industrial, que es la obsolescencia de los equipos».
En cuanto a la resiliencia tecnológica de los sistemas de control industrial, Rodríguez destacó que «esto es como antes, cuando en las fábricas no se llevaba casco, es lo mismo ahora con los procedimientos de ciberseguridad para USBs y otros». Jesús Mérida incidió en la falta de compartición de información en el sector y en el hecho de que «todo se queda en la teoría, no se implementan las medidas». Eusebio Nieva criticó el «inmobilismo» y todos coincidieron en la necesidad de concienciar a la dirección. Asensio apuntó también a la necesidad de tener plenamente identificado al responsable de ciberseguridad dentro de la empresa.
Con la tarde llegaron los casos prácticos. Edorta Echave, consultor de Grupo CMC, y José Luis Laguna, director técnico de Fortinet, mostraron cómo proteger un entorno industrial de alguien que realiza un escaneo de la red, cara a recabar información para un ataque dirigido. Los expertos aseguraron que en su trabajo siguen topándose con equipamiento antiguo, nulas o escasas medidas de seguridad nativas, sistemas no actualizados o actualizables, nuevas vulnerabilidades y amenazas cada vez más sofisticadas.
Echave y Laguna apuntaron como medidas a tomar internamente la creación de grupos de trabajo multidisciplinares, la formación del personal, la necesidad de implementar SGCI, de requerir a los proveedores convivir con herramientas de ciberseguridad y de realizar auditorías internas. Recomendaron monitorizar, tener copias de seguridad, realizar un inventario de activos, la automatización, gestión y parametrización de eventos, respuesta a ataques y la adquisición de equipamiento con características de seguridad embebidas.
A continuación, José Valiente explicó un caso de uso ficticio, aunque basado en hechos reales, acontecido en una planta de extracción y otra de tratamiento petroquímico de Argentina, que provocó dos paradas de emergencia y el sobrellenado del tanque del gaseoducto, sin que los sistemas de seguridad detectasen ni emitiesen ninguna alerta, y cómo el CCI ayudó a resolverlo.
Después fue el turno de Juan José Gómez, CEO de ENKI, que mostró una herramienta de simulación para entrenamiento en ciberseguridad industrial, en el hipotético escenario de un hospital. Por último, José Valiente habló de la «fábrica inteligente» y qué ciberseguridad se está aplicando actualmente en las instalaciones industriales que tienen sus sensores y dispositivos conectados a la nube.
Valiente aportó una buena noticia para acabar: «Se han reducido los ataques a proveedores en la nube porque las organizaciones que han sufrido incidentes están aplicando medidas».
04 de mayo de 2017
Hotel Meliá Avenida de América (C/ Juan Ignacio Luca de Tena, 36) Madrid