CCI celebra el XI encuentro de la Voz de la Industria sobre el marco normativo de Ciberseguridad Industrial

CCI celebra el XI encuentro de la Voz de la Industria sobre el marco normativo de Ciberseguridad Industrial
En esta ocasión el tema central del encuentro fue "Regulaciones, Responsabilidades y Capacidades en Ciberseguridad Industrial". El objetivo ha sido dar a conocer de una forma cercana y en detalle el Marco Normativo de Ciberseguridad Industrial en España, a las puertas de la publicación del próximo Reglamento de Seguridad Privada.

Tras una presentación de intenciones y objetivos de la mano de José Valiente (CCI), Miguel García Menéndez, Responsable de Gobierno Corporativo y Estrategia de CCI realizó una exposición inicial del tema, destacando el profuso mapa regulatorio de la Ciberseguridad en nuestro país, con una carga normativa muy superior a la media de los países de la OCDE (más de 100.000 normas vigentes en la actualidad), lo que no necesariamente viene acompañado por una mayor ni más eficaz calidad en la protección.

Muy al contrario, el maremágnum de normas genera dispersión y en muchas ocasiones, sensación de pérdida y desamparo, entre los distintos agentes involucrados en el contexto de la Ciberseguridad Industrial: Sociedad, Gobierno, organizaciones industriales, infraestructuras críticas... y en definitiva, supone un problema para el empresario en su día a día expuso Miguel García.

A continuación se presentó el mapa normativo de la Ciberseguridad Industrial en España que recogerá desde regulaciones que aplican a cualquier sector, hasta normativas específicas y que permitirá que las organizaciones puedan identificar la legislación que les aplica en el ámbito de la ciberseguridad industrial.

Rubén Sanz, de S21Sec, dedicó su ponencia a analizar las lecciones aprendidas en la aplicación de normativa en Ciberseguridad Industrial. Sanz indicó que, a pesar del evidente exceso normativo existente, hoy día no existe en la UE una normativa que pueda aplicarse con carácter general a todo el ámbito de la Ciberseguridad, ni tampoco una normativa específica por sector o instalación. En consecuencia, encontramos que es frecuente aplicar normativas estadounidenses, a falta de unos estándares de normativa industrial a nivel europeo.

Sanz evidenció otro problema: el escaso grado de cumplimiento de los estándares fijados, especialmente en el ámbito de las infraestructuras críticas, donde la situación podría considerarse alarmante.

Estos pasos son muy concretos y pueden resumirse en un acceso inicial a la red corporativa, que en muchos casos no está aislada de la de fábrica, entrada en la red de SCADA y desde allí ataque al entorno industrial.

La imposición de sanciones por incumplimientos al respecto se barajó como una posible solución, apostillada también por algunos asistentes al encuentro, como Francisco Javier García Carmona, director de Seguridad de la Información y Comunicaciones de IBERDROLA.

Ciertamente, las empresas cuentan en la actualidad con numerosos dispositivos de trabajo, requisito parejo a la movilidad laboral, y muchos de ellos ofrecen escasa o nula capacidad de seguridad.

La concienciación de la importancia de la seguridad se apuntó como clave del éxito, lo cual supone vencer las resistencias que ofrecen los empleados, y en ocasiones, también los directivos, que en ocasiones se muestran recelosos a realizar cualquier cambio que no reporte compensación económica, y que además pueda implicar un parón en su trabajo, como es la implantación de nuevos sistemas de seguridad.

Angel Serrano, de Palo Alto Networks, centró su ponencia en la Industria 4.0, la Seguridad 4.0 y los retos que supone trabajar en seguridad en un mundo en el que todo está interconectado, las empresas tienden a externalizar cada vez más sus servicios, el uso de dispositivos móviles en el trabajo es una realidad y en definitiva, existe un caldo de cultivo óptimo para los ciberataques.

Serrano recalcó incluso la existencia de una economía sumergida en torno a los ciberataques, siendo posible para cualquiera adquirir, por un precio asequible, herramientas de hacking (las temidas Botnets). Ciertamente, la ingeniería social y las redes sociales son grandes puertas de ataque que conviene conocer y controlar.

La docotra Anja Wiedemann, de TÜV NORD, expuso la importancia de la seguridad en el diseño de software. La existencia de niveles óptimos de seguridad en áreas clave como los Centros de Procesamiento de Datos sería así un punto esencial en la lucha contra los ciberataques. Por ello, la concienciación de la importancia de la Ciberseguridad debe incluir también a los fabricantes para desarrollar soluciones contemplando la ciberseguridad desde el diseño.

Javier Larrañeta, de PESI – Plataforma española de Seguridad Industrial, cerró el ciclo de ponencias, dando a conocer la intensa labor de la Plataforma tanto en el terreno de Safety como de Security, y recordó a las empresas que tienen diversas oportunidades de financiar sus actividades de I+D en Ciberseguridad, especialmente en el marco europeo.

Larrañeta estuvo de acuerdo en indentificar la ingeniería social como punto clave para reforzar la seguridad en la empresa, y en relación con ello expuso uno de los recientes proyectos liderados por PESI y financiados por la Comisión Europea: el proyecto PSOPHIA, que analiza el factor humano en la Seguridad de infraestructuras críticas europeas.

Javier Larrañeta animó además a los asistentes al encuentro a trabajar activamente de cara a la próxima convocatoria H2020 SEC (2016-2017), que girará en torno a tres áreas clave: protección de infraestructuras críticas (CIP); Security; y Digital Security (esta última incluida en el instrumento Pyme).

La jornada finalizó con una mesa redonda que contó con la participación de Julio Camino (CNP); Rafael Pedrera (CNPIC); Marian Perdiguero (TELEFÓNICA España); Eutimio Fernández (CISCO) y Eusebio Nieva (CHECK POINT).

La mesa fue moderada por José Valiente que introdujo cada una de las preguntas presentando la Guía CCN-STIC 817 que recoge la gestión y coordinación de incidentes para los organismos del sector público español, a través del Sistema de Alerta Temprana de Red SARA (SAT-SARA) y del Sistema de Alerta Temprana de Internet (SAT-INET), así como su nueva herramienta, LUCIA, desarrollada para la Gestión de Ciberincidentes y puesta a disposición de los organismos del ámbito de aplicación del ENS (Esquema Nacional de Seguridad).

Valiente comentó que la Guía recoge una clasificación con nueve tipos de ciberincidentes distintos y 36 subcategorías, entre las que se incluyen algunos de los ataques y vulnerabilidades más detectados.Y planteo como pregunta: ¿Cómo debería ser la tipificación de incidentes?

 Siendo unánime la respuesta en la necesidad de tener una categorización nacional simple y unificada.