Es urgente concienciar a la gerencia sobre la ciberseguridad

En el marco del XVII Encuentro "La Voz de la Industria", celebrado el pasado 4 de mayo en Madrid, el Centro de Ciberseguridad Industrial (CCI) presentó el documento "Beneficios de la ciberseguridad para las empresas industriales", que recoge los testimonios de un exclusivo grupo de directivos sobre la ciberseguridad. La necesidad de concienciar a los consejos de administración y otros dirigentes empresariales estuvo muy presente en las charlas, demostraciones y debates del encuentro.

"La ciberseguridad debería estar en manos compartidas del consejo de administración y de los gestores tecnológicos, pero en la práctica esta distribución no existe; hay grandes barreras, grave incomprensión entre los CISO (chief information security officer) y el consejo de administración", afirmó Manolo Palao, cofundador del Innovation & Technology Trends Institute y uno de los co-autores del estudio.

A su vez, Miguel García-Menéndez, responsable de Gobierno Corporativo y Estrategia del CCI, explicó que el estudio incide en el papel del consejo de administración y del director general respecto a la ciberseguridad, así como en las amenazas para la industria en la era digital, los habilitadores para el desarrollo de la ciberseguridad industrial, los beneficios para las empresas industriales y los testimonios de personas de dirección. "No tratamos de convertir a los miembros de consejos en tecnólogos", advirtió García, pero destacó que "en Estados Unidos ya ha habido un cambio de chip en consejeros y directivos, se empiezan a tomar la ciberseguridad bastante en serio y aquí, no". Acabó recordando cuando, en 1999, un oleoducto de la Olympic Pipeline Company explotó en Bellingham (Washington). Hubo tres muertos y un vicepresidente imputado porque tenían los sistemas scada desconectados, usándolos en labores de mantenimiento.

No es un peligro teórico

Loic Guezo, cybersecurity strategist de Trend Micro, aportó muchos ejemplos de ataques contra robots industriales y afirmó que según un reciente estudio de Trend Micro, un 10% de los sistemas industriales están infectados y algunos virus han sido responsables de importantes ataques, como la suspensión de 13 líneas de producción en una empresa afectada por el virus Zotob, que provocó pérdidas de 14 millones.

Por su parte, Enrique Domínguez, director de estrategia de InnoTec System, y David Marco, responsable de la línea de negocio de ciberseguridad industrial en la misma empresa, explicaron que los ciberincidentes gestionados por CCN-CERT e InnoTec han pasado de 4.003 hace cinco años a 20.940 en 2016, siendo la mayoría de criticidad "alta". "Ocurre en todos los sectores y en la industria los intrusos demuestran que están en la planta y que, si no se les paga, atacarán", señalaron, afirmando que el 20% de empresas no están preparadas para responder a incidentes informáticos serios.

"Adaptarse o sucumbir"

En una mesa redonda titulada "La resiliencia corporativa y la dependencia tecnológica", que fue moderada por Susana Asensio, responsable de Proyectos del CCI, esta hizo una especial llamada a las empresas para que se adaptaran en un mundo que calificó de VICA (Volátil, Incierto, Complejo, Ambiguo) y aportó un estudio del MIT y Deloitte que muestra cómo las barreras a la necesaria digitalización se deben a una falta de estrategia por parte de las empresas, como si la dirección de las mismas no considerara la digitalización y la ciberseguridad como prioritarias.   

Los ponentes de la mesa, pertenecientes a diversas empresas, valoraron como claves del éxito en el camino hacia la adaptación digital la toma de decisiones rápida, la adecuada recogida de datos, la flexibilidad y la adaptabilidad y la integración interna de la complejidad tecnológica, así como la adopción de medidas de ciberseguridad "de arriba a abajo, en toda la empresa", especificó Juan Mataix, de Palo Alto Networks. En cuanto a la estrategia para conseguirlo, Eusebio Nieva de Check Point.resaltó que "la mayoría de empresas quieren ir a la digitalización, pero no saben cómo".

En todo caso, fueron varios los ponentes que criticaron el inmovilismo por parte de muchas direcciones de empresa, coincidiendo en la necesidad urgente de concienciar a la dirección. Asensio apuntó también sobre la necesidad de tener plenamente identificado a un responsable de ciberseguridad dentro de la empresa.

Casos prácticos y varios consejos

La segunda parte del encuentro se dedicó a presentar un buen número de casos prácticos por parte de diversas empresas.  Edorta Echave, consultor de Grupo CMC, y José Luis Laguna, director técnico de Fortinet, mostraron cómo proteger un entorno industrial de alguien que realiza un escaneo de la red, de cara a recabar información para un ataque dirigido. Los expertos aseguraron que en su trabajo siguen topándose con equipamiento antiguo, nulas o escasas medidas de seguridad nativas, sistemas no actualizados o actualizables, nuevas vulnerabilidades y amenazas cada vez más sofisticadas.

Echave y Laguna apuntaron como medidas a tomar internamente la creación de grupos de trabajo multidisciplinares, la formación del personal, la necesidad de implementar SGCI, de requerir a los proveedores convivir con herramientas de ciberseguridad y de realizar auditorías internas. Recomendaron monitorizar, tener copias de seguridad, realizar un inventario de activos, la automatización, gestión y parametrización de eventos, respuesta a ataques y la adquisición de equipamiento con características de seguridad embebidas.

Por su parte, Juan José Gómez, CEO de ENKI, mostró una herramienta de simulación para entrenamiento en ciberseguridad industrial, en el hipotético escenario de un hospital. Por último, José Valiente, del Centro de Ciberseguridad Industrial, habló de la "fábrica inteligente" y qué ciberseguridad se está aplicando actualmente en las instalaciones industriales que tienen sus sensores y dispositivos conectados a la nube.

Valiente aportó una buena noticia para acabar: "Se han reducido los ataques a proveedores en la nube porque las organizaciones que han sufrido incidentes están aplicando medidas". Una buena noticia que ha quedado enturbiada después de los últimos ataques.