infoPLC ++ / Eventos y Ferias / Conferencia anual ISA Spain: ¿y si la seguridad fuera un servicio?

Conferencia anual ISA Spain: ¿y si la seguridad fuera un servicio?


En la jornada de análisis sobre el safe & security un concepto común a todas las intervenciones: la construcción de un sistema de gestión de información de seguridad es la clave para blindar la industria.

Conferencia anual ISA Spain: ¿y si la seguridad fuera un servicio?

La Conferencia Anual de la Sección española de Sociedad Internacional de Automatización, ISA Spain, dedicó su edición 2019 a la seguridad en el nuevo entorno digital. "Seguridad, pieza clave de la Industria 4.0" entregó la oportunidad de compartir experiencias y conocimientos en relación a las bases tecnológicas y metodológicas sobre las que se ha de construir un sistema de safety & security para la empresa.

La cita arrancó con la intervención de Paul Gruhn, presidente de ISA Internacional 2019, quien desde su expertise de consultor de seguridad funcional con más de 30 años de experiencia desgranó con detalle la cadena de despropósitos que llevaron a la tragedia de Bhopal: en 1984, un escape de gas tóxico ocurrido en la planta de la empresa norteamericana Union Carbide en la India provocó una nube letal que en pocas horas mató miles de personas que vivían en los alrededores de la planta. Este caso, que no fue un sabotaje y ocurrió en una fábrica que contaba con la homologación de su instalaciones según las leyes americanas, es un terrible pero didáctico ejemplo de cómo en safety & security es más importante analizar el porqué se toman ciertas decisiones, en vez de centrarse en qué decisiones fueron tomadas.

"Bhopal pudo evitarse. Se normalizaron las desviaciones, las debilidades de diseño de planta se sumaron a la falta de conciencia del personal que se trataba de un problema serio", comento Gruhn. "Al analizar el caso, no me centro en lo que estaban haciendo en cada momento, sino en porqué lo hicieron: el porqué el diseño se alejó de su definición inicial, el porqué los supervisores aprobaban los cambios, el porqué los empleados improvisaban de manera constante... La clave cuando nos encontramos delante de un problema de seguridad no es intentar contenerlo –centrarnos en el qué–, sino contenerlo –centrarnos en el porqué–".

La seguridad como servicio

Tras esta conferencia, la jornada invitó a participar en dos itinerarios. Desde InfoPLC++ tuvimos la oportunidad de participar en las sesiones que propusieron Inerco y Schneider Electric. Manuel Carpio, Cibersecurity senior advisor de Inerco, introdujo uno de los conceptos que que quizás mayor interés nos generó durante la jornada: la Seguridad como Servicio. En opinión de Carpio, el desafío hoy es lo que se conoce como la "amenaza híbrida", una combinación de vulnerabilidades físicas y lógicas que expone a las empresas industriales desde todo los frentes. Ya no se trata de securizar la arquitectura de red o prohibir la entrada de USBs a la planta, los ataques son complejos y se articulan a través de inteligencia agregada: los atacantes se aprovechan de diversos gaps que por si solos quizás no representan una amenaza, pero que en una combinación con criterio y mentalidad hacker abren las puertas de la planta y los procesos. "El conocimiento hoy está conectado: de una fuente de datos puedes deducir comportamientos de otras y así vulnerarla", afirmaba el experto.

Manuel Carpio, Cibersecurity senior advisor de Inerco

La respuesta a esta amenaza compleja e inteligente es la estructuración de un Sistema de Gestión de Información de Seguridad que integre el sistema de control de procesos, el sistema de seguridad física y los sistemas de control y gestión de eventos de seguridad en tecnologías de control y automatización. Agrupar estas tres áreas claves de gestión en un único sistema permite crear una estructura superior capaz de establecer reglas de correlación entre eventos que sea capaz de alertar a los responsables industriales de cualquier amenaza.

A nivel tecnológico, las decisisones son múltiples y han de ser lideradas por un equipo de expertos en la materia. Ha de estructurarse como un ecosistema que facilite la recolección, agregación y filtrado de los datos, un sistema que sea capaz de descubrir los activos, además de rastreaslos sin intervenir en el procesos, en el que la normalización de los logs de cada uno de nuestros dispositivos de planta tiene que realizarse a consciencia y con lógica, y en el que cuestiones como la autenticación de nodos, sellado de tiempo, firma y cifrado sea manejados correctamente, sobre todo por temas de peritaje. En ese sentido, debe pensar cómo crear la BBDD, como será el almacenamiento y correlación, y a partir de ahí cómo se concectará con los repositorios externos que hagan falta (CMDB, CVE...) e incluso como se manejará en la nube si así se estima conveniente. Y un tema no menor, de hecho crucial: conectarla a un sistema de inteligencia artificial para conseguir descubrir esas correlaciones invisibles a los ojos de un sistema de seguridad convencional.

Así, en este nuevo sistema de seguridad transversal, la inteligencia artificial juega un papel determinante: a nivel de arquitectura se configura como un sistema neuronal donde los comportamientos anómalos se detectan no por la desviación de la regla que los expertos en seguridad u operaciones han definido, sino por métodos estadísticos cruzados que sacan sus propias conclusiones a través de inteligencia artificial. Así, el departamento de seguridad comienza atener valiosa información en contexto. Los miles o millones de logs generados por los procesos, generalmente difíciles de aprovechar, se convierten en valiosa información que detallan acciones y reacciones que permiten entender aquello en lo que Paul Gruhn tanto insistía: el porqué algo sucede, no lo que sucede en sí. "Seguridad se convierte en un servicio al negocio, porque eres una central de inteligencia, tiene visibilidad de todo lo que está pasando", explica Manuel Carpio. "No es un departamento de reacción ante las amenazas, sino que pasa a ser un departamento de inteligencia al que acuden el resto de departamentos para descubrir aquella información que puede ser útil para sus operaciones".

Carlos Marín, senior solutions architect de Schneider Electric

Para Carlos Marín, senior solutions architect de Schneider Electric la pregunta no es si nos veremos enfrentados o no a un problema de ciberseguridad, sino cuándo ocurrirá éste. Porque aunque se establezcan los niveles de proteccion recomendados por el fabricante (equipos con seguridad nativa, arquitecturas fortificadas, separación de redes de control y corporativa...) las amenazas son constantes. En este caso, también, el Sistema de Gestión Integral de la Ciberseguridad Industrial es capaz de gestionar los riesgos de manera holística. Algunas recomendaciones básicas realizadas pr el fabricante para implementarlo: adoptar un estándar, garantizar el control y gestionar la disparidad.   

Para David Marco Freire, Industrial CyberSecurity manager Iberia e Israel en Accenture, los estándares por sí sólo no son suficientes. "Son lentos. Se quedan en el papel, no se aplican con rigurosidad en la planta", explica. Por ello durante su intervención recordó que el Safety & Security es un "taburete de cuatro patas": la seguridad del entorno, la ciberseguridad, las operaciones y la seguridad física. En este ecosistema, las personas son la clave. "Hoy en día hay una gran escasez de perfiles de ciberseguridad industrial, las empresas, las instituciones de formación y las asociaciones han de apostar por capacitación en este ámbito".

Zona de exposición de la Conferencia Anual. De izq. a dcha. y de arriba a abajo: Emerson, Weidmüller, Samson y Weg.

ISA Internacional e ISA Spain: el valor de asociarse

Durante la jornada tuvimos también oportunidad de confirmar como la Sociedad Internacional de Automatización ha sido una institución clave para consolidar el sector. Si en la primera conferencia mundial celebrada en 1946 aisistieron 5.000 profesionales, en 1985, hace una eternidad, fueron más de 30.000. Ahora ya no se realizan en el formato global ampliado, sino que cada Sección a nivel mundial tienen sus encuentros como el que se celebró ayer en España. De hecho España, según explicó Gruhn, es uno de los capítulos más activos de la Sociedad.

Alumnos del Centro San Juan Bosco de Cartagena represnetantes de ISA Spain en los 2019 World ISA Student Games

Entre las iniciativas presentadas en la conferencia están dos del ámbito de la formación que captaron nuestra atención: la participación de un equipo español de formación profesional patrocinado por ISA Spain –alumnos del Centro San Juan Bosco de Cartagena– que asistieron a la competición convocada anualmente por ISA Internacional y el Southern Alberta Institute of Technology (SAIT) de Canadá, los 2019 World ISA Student Games, unos juegos internacionales de instrumentación que celebraron en marzo su séptima edición. Los juegos consistieron en realizar por equipos de cuatro miembros seis pruebas o retos relacionados con la instrumentación industrial durante tres días. Los equipos se constituyen al comienzo de la competición y están formados por estudiantes de diferentes secciones, por lo que no se conocen hasta el momento de iniciar la competición. De esta manera se pretende fomentar el espíritu de trabajo en equipo y la comunicación, además de los conocimientos en instrumentación. A cada equipo se le asigna un color y de manera rotatoria realizan las pruebas en los laboratorios de la MacPhail School of Energy del SAIT en el impresionante campus del Southern Alberta Institute of Technology, equivalente a una escuela de formación profesional de grado superior. Las seis pruebas que se realizaron están relacionadas con mantenimiento de instrumentación, sintonización de lazos PID, analizadores de variables de proceso, configuración de comunicaciones y SCADA, programación de Sistemas de Control Distribuido y una prueba denominada McGyver, donde se deben realizar diferentes tareas de construcción de circuitos y conexionado de válvulas.

También se dieron detalles de la primera edición del programa de mentoring de ISA Spain, una iniciativa que tiene como objetivo facilitar el paso de la vida estudiantil a la laboral a alumnos de últimos cursos de ingeniería eléctrica. Explicaron su experiencia dos de los participantes, Francisco Díaz-Andreu, VP del Distrito 12 de ISA Internacional que ejercio como mentor, y Iago, un estudiante gallego de Ingeniería quien recibió los consejos y el acompañamiento del profesional veterano. El objetivo a partir de ahora es ampliar el alcance del programa y su duración, ya que todos los participates de esta primera edición lo valoraron muy positivamente.

La jornada también fue la oportunidad de presentar el nuevo libro de ISA Spain: El libro del diseño de los centros de control (Editorial Diaz de Santos). Coordinado por Armando González, tal y como detallaron algunos de sus autores presentes en la reunión, la publicación propone un viaje en el que se hace una visita a aspectos claves de los Centros de Control: entender la importancia que tiene para la dirección de una compañía, disponer de un lugar en el que se pueda observar y procesar toda la información en tiempo real, asimilar la importancia de la ergonomía y las condiciones ambientales en estos lugares, comprender la gran relevancia que tiene la conjunción hombre/máquina... "El diseño, la planificación la puesta en marcha y la operación en estos Centros de Control son conceptos que solo unos pocos entienden y dominan. Tenemos en este libro grandes expertos que profundizan en estos conceptos ofreciendo una experiencia única de conocimiento", detalló Armando González.

Algunos de coautores de la publicación El libro del diseño de los centros de control

Premios ISA Spain 2019

También hubo tiempo durante la conferencia para la entrega de galardones. El Premio Patrocinador de Honor 2019 para Alava Ingenieros por su apoyo a las actividades de ISA Spain. El Premio Profesionales recayó este año en Ignacio Armesto, coordinador del Máster en Mecatrónica de la Escuela de Ingeniería Industrial de la Universidad de Vigo e impulsor de las Jornadas de Automatización Industrial (JAI). "A nivel personal, al recibir este premio, estoy muy orgulloso de mí mismo, pero debo aclarar que este reconocimiento es, sobre todo, un premio por la actividad que realizamos en el grupo de investigación al que pertenezco en el Departamento de Ingeniería de Sistemas y Automática, en la Escuela de Ingeniería Industrial y, por supuesto, en la Universidad de Vigo". Nacho Armesto tuvo también unas palabras para dos de nuestras consejeras editoriales, Cristina Bernabeu y Laura Tremosa, de quienes comentó recibió todo el apoyo que necesitaba cuando las JAI recién arrancaba, y confirmó que InfoPLC e InfoPLC++ Magazine se encuentran entre sus publicaciones de cabecera. Por último para el próximo año se aunció un nuevo galardón, el de Mejor Colaborador de ISA Spain.

Nacho Armesto recibiendo su premio de manos de Paul Gruhn

 




Leave a comment