CCI presenta un estudio sectorial sobre la ciberseguridad de las infraestructuras críticas españolas

CCI presenta un estudio sectorial sobre la ciberseguridad de las infraestructuras críticas españolas 5 de julio de 2017

20 representantes de operadores de infraestructuras críticas y representantes de MINETAD y CNPIC participaron en este encuentro

El Centro de Ciberseguridad Industrial presentó el pasado 5 de julio el estudio "Estado de Ciberseguridad en los Operadores de Infraestructuras Críticas Españolas" en el encuentro "Experiencias de la Industria", al que asistieron 20 representantes de operadores de infraestructuras críticas en España. La transformación digital en infraestructuras críticas y el estado de la cuestión de la Directiva NIS se debatieron también en este encuentro.

Desarrollado por el CCI y patrocinado por CheckPoint, el informe "Estado de Ciberseguridad en los Operadores de Infraestructuras Críticas Españolas" muestra cómo se maneja la ciberseguridad en seis sectores clave: Eléctrico, Gas y Pétroleo, Nuclear, Financiero y Tributario, Agua y Transporte. El estudio aborda diferentes aspectos como la evaluación del riesgo, la gestión de incidentes, la conexión de redes o las principales medidas aplicadas.

Miguel García-Menéndez, Vicepresidente del CCI, fue el encargado de presentar el estudio, que ve la luz justo cuando se cumple una década de la aprobación del Plan Nacional para la Protección de Infraestructuras Críticas. García explicó que Los sectores del Gas y Petróleo y Nuclear destacan por tener los "deberes hechos" en todas las cuestiones y el sector Financiero excele en la concienciación de sus directivos. Los sectores del Agua y Transportes serían los que quedan más "desdibujados", explicó García-Menéndez.

Según el vicepresidente del CCI, "llama la atención" que casi un 20% de los encuestados no haya aún evaluado sus riesgos, cuando la ley así lo indica, otro 20% no tenga un proceso de gestión de incidencias y un 11% solo realice actuaciones de ciberseguridad si hay un accidente. Los sistemas de protección más usados son los cortafuegos, copias de seguridad y antivirus. García-Menéndez echó en falta "los firewalls industriales y la gestión de seguridad en la cadena de suministro", así como la participación en la toma de decisiones de "las áreas de ingeniería o automatización de procesos".

El vicepresidente del CCI acabó destacando que todos los sectores consultados, de forma unánime, tienen previsto incrementar sus presupuestos en ciberseguridad y concluyó que faltaría mejorar en las áreas de evaluación del riesgo, conexión de redes industriales y sensibilización de la dirección.

Eusebio Nieva, Director Técnico de Check Point, habló a continuación de la transformación digital en las infraestructuras críticas, destacando especialmente la necesidad de la prevención no solo en este sector sino en todos en general: "Las grandes empresas atacadas recientemente tenían muy pocas tecnologías de seguridad en modo prevención; si nos quedamos con la seguridad tradicional, reactiva, estamos muertos", avisó Nieva.

El director técnico de Check Point explicó también que en la era de la transformación digital "cambia totalmente la forma de comunicarse, de llegar a los clientes y de hacerse entender". Y sorprendió a los asistentes con esta interesante aseveración: "Cuando ya no quede nadie en la empresa con el título "digital" será porque su transformación digital habrá acabado, habrá sido absorbida por la compañía".

Por último, se realizó un debate sobre la Directiva NIS, moderado por José Valiente, Director de CCI, con la participación de Ángel León, del Ministerio de Energía, Turismo y Agenda Digital, y de Rafael Pedrera, del Centro Nacional de Protección de las Infraestructuras Críticas. En el debate se constató que la transposición de la directiva europea sobre infraestructuras críticas va poco a poco, existe ya un borrador de un anteproyecto de ley pero falta aún "hablar con mucha gente y definir muchas cosas", aseguraron los contertulios.

Un ejemplo de esta situación sería la necesidad de una ventanilla única como punto donde reportar los incidentes en infraestructuras críticas, tal como se recoge en la legislación. Los ponentes valoraron muy positivamente este tema, pero explicaron también que es difícil que actores, como los bancos, que llevan años reportando de una forma puedan cambiar fácilmente sus procedimientos. Se destacó también que las sanciones previstas por el borrador del anteproyecto son "de perfil bajo".