El 30 de noviembre de 2023, dentro del marco de las XVII Jornadas STIC CCN-CERT | V Jornadas de Ciberdefensa ESPDEF-CERT, 2023 se celebró el panel
“¿Cómo los SOC industriales gestionan los riesgos de la Ciberseguridad tecnológica del SOC Industrial, de su personal y de sus procesos?”
Durante este coloquio, los invitados, Antonio Villalón, director de Seguridad de la compañía de Ciberseguridad, ciberinteligencia y operaciones de sistemas de misión crítica S2 Grupo, Javier Sevillano, director del Centro de Operaciones de Seguridad del especialista en Ciberseguridad Innotec Security, Part of Accenture, Aarón Flecha, Industrial Security Research en el proveedor de Ciberseguridad S21sec by Thales, y José Valiente, director del Centro de Ciberseguridad Industrial (CCI), como moderador, compartieron sus experiencias en lo relacionado con la gestión interna de los ciberriesgos, así como de la tecnología, el personal y los procesos necesarios para prestar un servicio de SOC Industrial.
En el panel se hizo una recopilación en la que se destacaron los puntos más trascendentales en opinión de los miembros que compusieron dicho panel.
Personas, procesos y tecnología: el trinomio de cualquier estrategia de Ciberseguridad
Las personas, los procesos y la tecnología son los tres elementos más importantes a tener en cuenta en cualquier estrategia de Ciberseguridad, también en el ámbito industrial. Tres aspectos sobre los que giró precisamente el panel
La primera pregunta que respondieron cada uno de los participantes estuvo relacionada con las que, dado el caso, serían sus preocupaciones a la hora de contratar un SOC industrial: la falta de confidencialidad de información de los sistemas industriales que tiene el proveedor, la indisponibilidad del servicio de monitorización y del personal que gestiona el ciberincidente o la alteración de los datos recopilados por sondas y otros sistemas que provoquen actuaciones incorrectas y graves.
Y pese a que la mitad del público −quien pudo participar a través de una votación interactiva en directo− señaló la segunda opción, apenas Javier Sevillano (Innotec Security) la eligió. El resto de los panelistas se decantó por la última. “El hecho de empezar a trabajar sobre un material que puede ser difuso respecto a la realidad del propio incidente conlleva ya grandes complejidades”, razonó al respecto Aarón Flecha, de S21sec.
Responsabilidad y certificaciones
Responsabilidades
A continuación, los expertos se pronunciaron sobre quién es el responsable de gestionar los riesgos dentro de un SOC y sobre qué medidas se adoptan principalmente en sus organizaciones para llevar a cabo la protección requerida.
En el caso de Innotec Security, el responsable de los riesgos de Ciberseguridad es el responsable del sistema de gestión de Seguridad de la información de la entidad, que finalmente reside en el director de operaciones y, en última instancia, en el CEO. “En una compañía dedicada solo a Ciberseguridad, obviamente, la responsabilidad está en los niveles más altos de la dirección”, manifestó Sevillano.
S2 Grupo se encuentra en la misma situación: el responsable final es la dirección general. Y en cuanto a las medidas, para Antonio Villalón es muy importante la detección de anomalías; “es decir, un horno que empieza a funcionar fuera de sus márgenes de temperatura estándar, una IP que genera de repente un tráfico hacia un sensor… Todo lo que nos permite, finalmente, detectar cosas mínimamente avanzadas”, ejemplificó.
Otras medidas técnicas, en este caso expuestas por Aarón Flecha, son contar con un canal fluido entre diferentes departamentos – “al final, cuando se produce un incidente deben entrar en juego multitud de perfiles”, razonó el representante de S21sec−, las certificaciones especializadas en la parte de Ciberseguridad Industrial −de las que se pronunciaron a continuación− o la correcta formación de los trabajadores.
Certificaciones
Tras exponer cada uno de los panelistas con qué certificaciones cuentan sus respectivos SOC, todos ellos se pronunciaron sobre la presencia −o no− de un excesivo número de ellas. No en vano, tal y como reflexionó el moderador del debate, José Valiente, “el alcance que se debe tener de ese elevado número de certificaciones es una exigencia tremenda que resulta muy complicada”. Una situación que, en opinión de Javier Sevillano, de Innotec Security, irá a más. De hecho, señaló la carga administrativa que suponen como el principal problema.
De opinión similar se mostraron Antonio Villalón y Aarón Flecha. El director de Seguridad de S2 Grupo, pese a que “no sabe si son excesivas”, se lamentó de dicha sobrecarga que conlleva obtenerlas, mantenerlas y renovarlas.
Procedimientos
El siguiente punto que trataron los panelistas estuvo relacionado con los procedimientos más críticos en la gestión de ciberincidentes en un entorno industrial.
En este sentido, Aarón Flecha, de S21sec, puso el foco en las personas: “La idea es disponer de un procedimiento bien establecido, con roles y responsabilidades, teniendo en cuenta que es necesario hablar el lenguaje de la gente de planta. Y esto es muy importante no solo en la respuesta a incidentes, sino en casi todos los servicios de Ciberseguridad que se proporcionan. La gente de planta está especializada, son grandes ingenieros y tienen su vocabulario, pero cuando introduces el concepto ‘Ciberseguridad’ también hay que explicarles que es necesario colaborar entre todos. No en vano, al final tú aprendes de esos ingenieros que están en planta y ellos pueden llegar a aprender de ti a nivel de Ciberseguridad”, razonó al respecto.
A continuación, José Valiente, el moderador del panel, quiso saber si los integrantes del coloquio, todos ellos con grandes responsabilidades, incluso a nivel directivo, pueden acceder a toda la información con la que cuenta el SOC o cambiar parte de ella. Y la respuesta fue unánime: no.
Siguiendo el caso de S21sec, su representante explicó que cada incidente se gestiona de manera aislada y que no todos los perfiles de la organización tienen acceso a dicho suceso: solo los que se han activado. “Es decir, yo, si estoy inmiscuido en el incidente, no me interesa ni exfiltrar, ni cambiar información, porque ya estoy en la ‘guerra’”, aseguró con rotundidad.
En el caso de Antonio Villalón, de S2 Grupo, tampoco tiene acceso a toda la información, pese a ser el director de Seguridad de la compañía. “Si pido una información a la que no tengo acceso, la obligación de la persona a la que se lo solicito, por muy director que yo sea, es notificar. Y si yo quiero llevarme la información de mis servicios o la información financiera, tendría acceso a parte de ella y me la podría llevar al igual que la puedo ver en pantalla. Pero sería detectado en muy poco tiempo”, explicó.
Finalmente, en Innotec Security, Javier Sevillano aseguró que “solamente requieres la información necesaria para ejecutar tu parte del procedimiento”. “Lo primero es restringir los permisos de acceso a la información al mínimo para hacer que el riesgo sea el menor posible”, completó.
Confidencialidad
El último gran asunto del coloquio estuvo relacionado con la confidencialidad de los datos críticos. Unos datos con los que cuentan los entornos industriales y que, según afirmó José Valiente durante el evento, “son muy sensibles dada su naturaleza y dada su relación con determinados diseños, configuraciones, accesos, etcétera”.
Y los ciberdelincuentes son plenamente conscientes de que pueden encontrar esta información en los proveedores de telemantenimiento o en aquellos que proporcionan servicios a los SOC industriales, por ejemplo. De ahí que la pregunta del director del CCI a los integrantes del panel estuviera relacionada con la garantía de la confidencialidad de los datos manejados por su personal.
Sobre ello intervino, para cerrar el debate, Antonio Villalón: “Garantizar no garantizo nada, pese a que la empresa dispone de medidas de Seguridad para intentar incrementar o trabajar con ciertas garantías la confidencialidad de nuestra información en la parte industrial”, aseguró rotundamente. Unas medidas que están relacionadas con el trinomio personas-procesos-tecnología. Y en las que la mencionada empresa da mucha importancia a la monitorización; es decir, poder detectar ciertos comportamientos o actitudes que pueden ser anómalos o levantar sospechas.
Conclusiones
Desde el CCI, a raíz de las ideas expuestas en el panel, se presentan las siguientes conclusiones:
- La alta dirección de las organizaciones ha de encontrarse en la cúspide de responsabilidad en relación con la gestión de los riesgos dentro de un centro de operaciones de Seguridad. De hecho, así se cumple en el caso de las tres empresas de Ciberseguridad que participaron en la mesa redonda.
- El alto número de certificaciones de Ciberseguridad con las que deben contar las compañías supone una enorme carga administrativa a nivel de obtención, mantenimiento y renovación. Pese a ello, es necesario tenerlas.
- La comunicación entre todos los perfiles con responsabilidades en Ciberseguridad es crucial. Por ejemplo, en el caso de los trabajadores de planta, es necesario adaptar el vocabulario a la hora de introducir el propio concepto de ‘Ciberseguridad’ para colaborar conjuntamente.
- Los integrantes de un SOC industrial no deben tener acceso a la totalidad de la información. De hecho, es necesario restringir los permisos de acceso al mínimo con el objetivo de que el riesgo sea el menor posible.