Ciberseguridad, la gran olvidada del ámbito industrial

La irrupción de nuevas tecnologías no sólo conlleva un aumento de la productividad, una reducción de los costes y tiempos de fabricación. También, como cara negativa, aparecen los riesgos asociados a la seguridad de las máquinas, los datos y los procesos. ISA España quiso dedicar su mesa de debate en las JAI a la Ciberseguridad Industrial, un aspecto que, aunque es de vital importancia, no está teniendo tanto calado en España como se necesita. Resumimos tosas las conclusiones en el siguiente artículo.

¿Cuáles serían los principios básicos para hacer a una industria segura? Ésta es la primera cuestión que el moderador del encuentro, David Marco, OT Cybersecurity Director en KPMG España, lanzó a los participantes. “Lo primero, se debe conocer el proceso”, respondió Belén Pérez, GRC en Govertis, a esta cuestión. En sus palabras, “industria es otro mundo, es un montón de dispositivos que conectan entre sí y un montón de dependencias. Además, nuestros ciclos de vida son muy largos y esto es un handicap. Tú montas una línea de producción y mientras funcione y produzca para lo que fue diseñada, puede estar 15 o 20 años funcionando como se montó. Entonces, meter seguridad de lo que tenemos ahora, un simple antivirus en un dispositivo de hace 15 o 20 años, deja de funcionar. Por eso digo que la soluciones de seguridad al uso de IT que tenemos todos en mente no nos valen para industria. Tienes que entender el proceso y saber lo que tienes, dónde puedes meter medidas de seguridad, qué medidas tienes que meter... Y eso sólo lo puedes saber si conoces el proceso”. 

La ciberseguridad gana, por tanto, cada vez más importancia en el entorno insudrial. Pero, ¿Se le está dando en España la importancia que tiene? En nuestro país, “no se da la importancia en sí a la ciberseguridad, imagínate en la industria”, lamentó Antonio Fernandes, Cybersecurity Manager – CISO en Finsa, si tú ves el número de ataques en entornos industriales está aumentando muchísimo, en parte porque la parte TI está saturada. Lamentablemente, si no vas a través de la normativa que va con multas, es cuando ocurre algo. Esto pasa en industria y en TI. La diferencia es que en TI a veces se pueden caer las cosas, tú sigues con el negocio adelante, en industria se cae todo. Cuando ocurre un problema, se acaba la producción y se pierde mucho dinero. Y es cuando somos conscientes de la importancia que tiene la ciberseguridad”. 

En esa misma línea se mostró Mario Castro, Jefe del Departamento de Telecomunicaciones / Cybersecurity OT Manager en REE: “Desde nuestro sector tampoco se ve muy en positivo. El nivel de madurez de las empresas es muy bajo. Además, no es algo mediático, hay muy pocas noticias al respecto. Esto nos lleva a que tenemos que poner un foco en esta actividad en todas las industrias. Empresas como la nuestra, que da un servicio crítico de país, tiene un foco muy importante sobre ello para minimizar el impacto. Ya no digo eliminarlo, porque eso es misión imposible. A nosotros nos preocupan muy poco los actores pequeños, lo que nos preocupa son los grandes actores cuyo objetivo es que tú tengas una disrupción de tu servicio esencial. Y eso puede tener un impacto muy muy negativo. Es una preocupación máxima, que sabemos que no se extiende a todas las compañías, y que también confiamos en que la normativa se adecúe en los próximos años y nos facilite la labor a todos nosotros”. “Lo normal es que lo ciber en la parte OT no esté ni se la espere”, insistió también Belén Perez. Y añadió: “Originalmente la ciber en la parte industrial se hacía por ‘oscuridad’: mi entorno es cerrado y aquí no entra nadie. Pero esto no es control y el problema es que ahora lo conectamos todo. Llegó la digitalización, por lo que estamos abriendo puertas por todos lados. Securizar eso es complicado. Lo ideal es hacerlo en el diseño. Primer problema: los profesionales industriales que generan los proyectos de automatización industrial son brillantes, pero no saben de ciberseguridad. Y, si no van de la mano de un equipo de ciber que les diga que en el pliego deben incluirse determinadas cosas, seguiremos teniendo problemas. Porque una vez que el sistema ya está montado, meter seguridad es una tortura”.
 

Algo más optimista se mostró Cristina Martínez, Facilities Maintenance Manager, Stellantis: “La visión que tengo de fábrica es que poco a poco nos vamos concienciando de lo que es la ciberseguriedad. Los que estamos dentro vamos viendo el ritmo y el crecimiento de ataques y te conciencias por ti sola. Vamos remontándolo porque a la hora de pedir inversiones para los siguientes años puede haber recortes pero, si yo pido para ciberseguridad, sabemos que ahí no tocan por el riesgo que eso supone. El problema que tenemos es que desplegarlo es muy complejo. El ritmo al que nosotros podemos intervenir protegiendo y aplicando medidas no tiene nada que ver con el ritmo al que crecen los ataques y se descubren. En los nuevos proyectos, sí que se nos tiene muy en cuenta a la hora de diseñarlos. Todo proyecto te pide conectarse hacia fuera; desde el principio estamos asesorando, la ciberseguridad ya nace con la definición del proyecto”. 
 

Más allá de las normativas

Para finalizar, la mesa le dedicó su tiempo a hablar de normativas y regulaciones relacionadas con ciberseguridad. Para los participantes, los diversos estándares no dejan de ser unas buenas prácticas que están muy bien para dar los primeros pasos, es decir, “está muy bien como una base para que todos estemos de acuerdo en unos básicos, pero sería interesante que detrás de esto hubiera unas intenciones reales de hacer las cosas bien. Aún no se ve que la ciberseguridad es un negocio en sí mismo: tu negocio funciona si estás seguro, es una ventaja competitiva frente a tu competencia”, subrayó el CISO de Finsa. 

Mario Castro fue más allá: “Nosotros no conocemos ninguna regulación pero las cumplimos todas de largo, es por sentido común, por conocimiento y por autoprotección; también por compromiso de la alta dirección. Ése creo que es el enfoque que hay que darle. Evidentemente, si llegamos a una empresa que no sabe lo que tiene, tienes que darle algo y eso lo proporciona toda esa normativa. Es por donde se empieza. Tiene que haber un compromiso activo de todos los componentes de la compañía para abordar la ciberseguridad”. 

“Yo soy tecnóloga convencida y llevo dos años leyéndome directivas europeas, reales decretos…”, reconoció la GRC de Govertis, “pero yo siempre digo que las normas son catalizadores. Si tú no eres consciente de que estás asumiendo un riesgo, tendrá que venir alguien que si te ve, te ‘pilla’ y te multa e impide que cometas un delito. En ciber nos pasa igual: si las empresas no son conscientes de que hay determinadas cosas que hay que hacer sí o sí, tiene que venir un regulador y decir que si no lo cumples hay una sanción. Yo creo que sí nos van a ayudar las normas, pero hay que hacerlo con el consentimiento y con el apoyo de la dirección”. 

----

La clave: ¿Qué puede aportar un ingeniero industrial a la ciberseguridad?

“Yo creo que el gran punto que tenemos los industriales es la visión general que tenemos de todo el proceso, porque tú como industrial tienes la sensibilidad de saber qué equipos son críticos, qué preventivos tenemos que hacer, qué equipos son los que tenemos que tener bien protegidos... Tener esa visión macro del proceso, yo creo que la tenemos nosotros, sin desmerecer a otras ingenierías”, respondió a esta cuestión Cristina Martínez, Facilities Maintenance Manager en Stellantis. 

----

Este artículo aparece publicad0 en el nº 562 de Automática e Instrumentación pág 40 a 41.