«Aire fresco y nuevo» ha sido el comentario que varios asistentes hacían sobre el primer evento de la voz de la industria de 2015, celebrado en Madrid el pasado 11 de Febrero, y donde se han reunido casi 80 profesionales para conocer el estado en el que se encuentran algunas organizaciones industriales respecto a sus capacidades de ciberseguridad.
El evento comenzó con una presentación a cargo de Samuel Linares y Susana Asensio en la que se hizo balance de los dos años de concienciación y colaboración, en los que se han dado pasos muy importantes para crecer en las capacidades de ciberseguridad del sector industrial.
El trabajo de estos dos años ha derivado en una comunidad fuerte, referente a nivel internacional (es el país europeo más avanzado en este entorno), con un número creciente de organizaciones y profesionales que se están incorporando a este nuevo campo, y donde se ha creado un ambiente de confianza que permite compartir experiencias y aprender los unos de los otros. Por lo tanto, esta nueva etapa se aborda bajo el lema de «Intercambio de Experiencias».
José Valiente, nuevo director del Centro de Ciberseguridad Industrial, acompañado de Ignacio Paredes, presentaron la herramienta de evaluación de madurez de ciberseguridad diseñada y desarrollada por el CCI y, que tiene la particularidad de haber recogido más de 50 aportaciones y comentarios de las empresas que forman parte del ecosistema del Centro.
Esta herramienta se ha aplicado a cuatro organizaciones, dos operadores de infraestructuras críticas y dos organizaciones industriales. Es una herramienta muy práctica, que puede adaptarse a las características de cada organización y cuya evaluación se realiza conforme a criterios tales como el grado de automatización, el tipo de infraestructuras y el sector al que pertenece.
En esta primera versión se han considerado 122 objetivos para las organizaciones con exposición alta y 99 para las de exposición baja. La base de la herramienta han sido modelos ampliamente implantados y consensuados pero adaptados a las necesidades y requisitos de las empresas y entidades participantes en el Centro.
La herramienta permite no solo la evaluación de la propia organización respecto a Ciberseguridad Industrial, si no su comparación con otras empresas del sector, ofreciendo posibilidades de Benchmarking.
Javier Urtiaga, socio de PwC, y responsable de ciberseguridad para España y Latinoamérica presentó la necesidad de identificar métricas e indicadores significativos como paso previo para medir la madurez de las organizaciones.
Es un hecho importante en este planteamiento, la relación entre Riesgo y Gobierno como factores fundamentales de la madurez de las organizaciones.
En el caso de la Ciberseguridad Industrial, el valor del CCI es inigualable por no existir un modelo ampliamente aceptado y consensuado que poder implantar. Para medir la madurez de las organizaciones es necesario conocer su contexto y tener en cuenta que no todos los vectores de ataque son tecnológicos.
Por esta razón, PWC propone un modelo basado en tres niveles:
· Indicadores de Gobierno, consistente básicamente en tres factores: la capacidad de la organización para hacer frente a las amenazas, la existencia de recursos especializados y los planes de formación en marcha para conseguir dicha especialización.
· Indicadores de riesgo.
· Identificación de KPI’s.
Estos tres niveles llevan a conocer el nivel de madurez de la organización respecto a la Ciberseguridad Industrial y actuar por lo tanto con una gestión eficiente de la misma.
Susana Calvo, de la empresa certificadora DEKRA presentó su propuesta de ERM bajo el modelo ISO 31000.
Conforme a la experiencia de DEKRA es muy importante que las organizaciones que incluyen ya indicadores de negocio incluyan también indicadores de ciberseguridad.
Para esto hay que tener en cuenta tres factores fundamentales:
· Conocimiento de la competencia
· Conocimiento de los accionistas
· Análisis de los riesgos de todos los aspectos de la organización
De momento, y dada la general inmadurez del sector respecto a este tema, los indicadores de ciberseguridad no están todavía integrados en el negocio. DEKRA urge a las organizaciones a incluir este tipo de indicadores por el impacto que tienen en el rendimiento empresarial, ya que «lo que no se mide no se puede mejorar».
Una de las características de los eventos del CCI es su tono eminentemente práctico, donde se intercambian experiencias y opiniones. En esta ocasión, Jose Luis Vega, Responsable de infraestructuras y seguridad de CAPSA FOOD presentó su caso de aplicación de la herramienta de Gestión de Madurez de la Ciberseguridad Industrial a su organización.
CAPSA es una prestigiosa empresa del Sector de Alimentación, que está en proceso de expansión internacional. Su proceso de fabricación está muy ligado al de calidad contando con alrededor de 50.000 sensores en sus plantas industriales ; al pertenecer al Sector Alimentación tiene que seguir una normativa muy estricta.
La aplicación de la herramienta de madurez en 27 objetivos, ofreció a CAPSA diversos beneficios inmediatos, tales como:
· Identificar áreas de mejora de manera inmediata.
· La importancia de la creación de una cultura de ciberseguridad para trasladar los resultados de una manera eficaz a la Dirección.
· Valoración de los activos más críticos para el negocio.
· Planes de inversión más eficaces.
· Estandarización de los procesos industriales.
Todas estas medidas, ayudan sin duda a crear un mayor valor de la Compañía para los accionistas.
La Mesa Debate que cierra los eventos de «La Voz de la Industria» contó en esta ocasión con una representación industrial de cuatro sectores altamente significativos tales como:
· Energía, representada por Gas Natural
· Alimentación, representada por CAPSA
· Ingeniería, representada por Técnicas Reunidas
· Telecomunicaciones, representada por Telefónica
El Moderador de la Mesa, Miguel García-Menéndez, tras una breve introducción, planteó a los ponentes las siguientes preguntas:
· ¿Son las organizaciones activas o proactivas respecto a la Ciberseguridad Industrial?
· ¿Qué riesgos asumen las organizaciones reactivas?
· ¿Qué es necesario para que una empresa sea proactiva respecto a la Ciberseguridad Industrial?
· ¿Cuál es el papel de la regulación en la proactividad de las organizaciones?
· ¿Qué otras acciones impulsarán la ciberactividad?
Es difícil resumir las respuestas dadas a estas preguntas, pero sí podemos apuntar algunas conclusiones importantes:
· En el Ciberespacio todos los países son vecinos
· La concienciación de la cúpula directiva es esencial para minimizar los riesgos, puesto que si se da esta circunstancia, inmediatamente se dota de presupuesto estas actividades.
· Es muy importante la concienciación de los fabricantes, ingenierías y proveedores industriales para dotar a sus dispositivos de los medios de seguridad oportunos.
· El entorno regulatorio es un importante catalizador de las medidas de ciberseguridad que se tomen aunque hay el riesgo de que dichas medidas se limiten a cumplir la normativa vigente.
La ciberseguridad ha pasado de ser de un tema «de expertos» a un valor competitivo diferencial.