«Solo cuando se integre la ciberseguridad dentro de la organización se minimizarán los riesgos»
Belén Pérez Rodríguez es coordinadora del Centro de Ciberseguridad Industrial para la región de Galicia, Network and Cybersecurity Engineer en Balidea Consulting & Programing, así como vocal segunda del Colegio Oficial de Ingenieros Técnicos Industriales de Vigo. Además, ha desarrollado su carrera profesional desde 1999 en el mundo IT en Operadores de Comunicaciones y Consultores realizando tareas de O&M, QA y gestión de proyectos IT, entre otros, y durante los últimos años en proyectos de ciberseguridad. Ingeniera técnica industrial por la Universidad de A Coruña y grado en Ingeniería Electrónica Industrial y Automática por la Universidad de León, compagina su trabajo con la impartición de charlas de forma habitual en centros educativos, universidades, asociaciones y colegios profesionales como miembro del programa Cibercooperantes del Instituto Nacional de Ciberseguridad de España (INCIBE).
En marzo de 2013 se puso en marcha el Centro de Ciberseguridad Industrial (CCI). ¿Cuál fue la motivación y qué funciones desempeña?
Hace cinco años, los fundadores del CCI (Samuel Linares, Ignacio Paredes y José Valiente) analizaron el mercado de la ciberseguridad industrial, sus actores y necesidades, así como los casos de éxito y fracaso de otros países de Europa y Estados Unidos. Se trata del primer centro de estas características que nace desde la industria y sin subvenciones públicas, independiente, internacional y sin ánimo de lucro. Tiene como misión principal impulsar y contribuir a la mejora de la ciberseguridad industrial principalmente en España y Latinoamérica. El centro cuenta con el apoyo de la industria (usuarios finales, consultoras, ingenierías, fabricantes industriales, organismos e instituciones, por no citar a la mayoría de profesionales de la industria), y se ha convertido en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la ciberseguridad industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito.
«Las vulnerabilidades afectan a los tres principios de la seguridad: disponibilidad, integridad y confidencialidad»
En la actualidad, es coordinadora del Centro de Ciberseguridad Industrial para la región de Galicia, ¿qué actuaciones lleva a cabo?
La labor básica de los coordinadores como representantes del CCI en nuestra comunidad autónoma, en el caso de España, consiste en dar a conocer el centro a los profesionales y empresas de la comunidad autónoma de Galicia, intentar desarrollar un ecosistema local tanto con miembros como con patrocinadores, contribuir a la mejora del centro proponiendo nuevos temas, enfoques, documentos, actividades y todas aquellas actividades que puedan enriquecer el ecosistema. Dentro de las tareas realizadas en este año, me gustaría reseñar la presentación del centro, el pasado 22 de marzo, en el evento organizado por la Rede Galega de Ciberseguridade (RGC), con el lema Investigación en Ciberseguridade en Galicia. Además, el próximo 20 de septiembre se celebrará, por primera vez en nuestra comunidad, el evento La Voz de la Industria, en el que se presentará el estado de la ciberseguridad industrial en Galicia.
Como ingeniera técnica industrial y graduada en ingeniería electrónica industrial y automática, ¿qué diría que le ha aportado esta formación para desarrollar su labor en ciberseguridad?
En realidad, me siento privilegiada en ese aspecto. Aunque mi formación es industrial, toda mi trayectoria profesional la he desarrollado en el mundo IT (Information Technology). A lo largo de los años, en el mundo IT hemos aprendido a securizar sistemas, generando nuevas soluciones en función de los problemas que surgen en el día a día. Puede decirse que sé cómo funcionan los sistemas y las comunicaciones en ese entorno, pero además, debido a mi formación, también entiendo las funcionalidades y particularidades del mundo OT (Operational Technology).
¿Cómo pueden contribuir estos profesionales en la preservación de la ciberseguridad en una empresa o industria?
Desde el punto de vista de ciberseguridad, es mucho más sencillo securizar un sistema desde la base, el diseño, que una vez que ya está implantado y funcionando. El problema es que los encargados del diseño de los procesos y de dirigir su instalación y puesta en marcha, a menudo desconocen la problemática de introducir en los mismos, sistemas/dispositivos IT, y las posibles soluciones de ciberseguridad a aplicar. En la actualidad, se están incluyendo dispositivos y mecanismos propios de entornos IT porque su implantación tiene menores costes y plazos de implantación. Esto facilita la aceptación de las organizaciones, pero a la par, los profesionales deberían introducir mecanismos de seguridad que limiten la superficie de exposición, que acoten el riesgo y configuren sistemas resilientes que se recuperen rápido y eficazmente de los inevitables fallos o ataques.
¿Cuál es el panorama en el ámbito de las empresas industriales en nuestro país en materia de ciberseguridad?
Creo que lo que se pueden encontrar las empresas de España no difiere mucho de lo que se encontraría en cualquier otro lugar del mundo. En el momento en que el mundo IT ha accedido a los procesos industriales para obtener respuestas en cualquier lugar y en cualquier momento, la superficie de exposición es ya ilimitada y globalizada, y por tanto, los riesgos van a estar siempre presentes. Solo cuando se integre la ciberseguridad como un proceso más, dentro de la organización, se minimizará el riesgo y se evitará que las consecuencias de un incidente sean más graves y costosas. Al final, un incidente puede generar directamente problemas económicos (por falta de producción, fallos en los procesos o paradas inesperadas), pero también fallos reputacionales que de forma indirecta pueden generar un coste superior.
¿Existe un mapa normativo de la ciberseguridad industrial en España?
Como consecuencia de la Directiva 2008/114/CE (NIS) del Parlamento Europeo y del Consejo de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión Europea (UE), España aprobó la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC), y su texto de desarrollo, el Real Decreto 704/2011, de 20 de mayo (Reglamento PIC), en el que se fue más allá de las exigencias de la propia Directiva PIC, regulando aspectos que no estaban considerados en la misma.
¿Cuáles son las principales vulnerabilidades en la pirámide de automatización industrial?
En todos los niveles de la pirámide de la automatización industrial hay multitud de vulnerabilidades que afectan a los tres principios de la seguridad: disponibilidad, integridad y confidencialidad. En todos los elementos de la organización, especial-mente de los procesos productivos, hay dispositivos con sistemas operativos (más o menos abiertos), aplicaciones (generalmente licenciadas y bajo las premisas propias de cada desarrollador) y, por supuesto, las redes y los medios de transmisión, ajustados a estándar en el caso del entorno IT, pero mucho más específicos en el mundo OT, donde la diversidad y características es muy compleja.
¿Y las medidas más recomendables de protección?
En seguridad no hay soluciones estándar, sino múltiples mecanismos de seguridad y procedimientos que implementar. Cada organización debe hacer su propia evaluación de riesgos y conforme a sus propias características, presupuesto disponible y riesgos que se quieran asumir, decidirá implementar aquellas soluciones más adecuadas. Cada empresa es un mundo, y solo la evaluación indicará los activos críticos, los riesgos existentes y las posibles soluciones que se podrán implementar.
¿Qué puede hacer una empresa que ya ha sido atacada?
La respuesta a problemas de ciberseguridad debe empezar mucho antes de un incidente. Evidentemente, hay casuísticas específicas que podrán aplicarse a una empresa, y que dependerá en primer lugar de si está sujeta a la Ley PIC, es decir, si es operador crítico o no; en el primer caso, la notificación es obligatoria. En cualquier caso, si hay un plan integral de seguridad en la empresa, habrá procedimientos claramente definidos que incluirán qué hay que hacer y cómo hacerlo.
¿Cómo piensa que evolucionará la ciberseguridad industrial y cuáles serán los próximos retos?
La ciberseguridad, en general, y en el ámbito industrial, en particular, seguirá en su evolución a la propia tecnología. A medida que se introduzcan nuevos mecanismos y sistemas que mejoren los procesos (machine learning, inteligencia artificial, etc.), se generarán nuevos retos y, por tanto, y de forma inevitable, se irán creando nuevos sistemas que palíen los riegos y mejoren la seguridad. El gran reto será el introducir todos esos avances en las pymes.
También se habla mucho de los problemas de ciberseguridad que pueden tener las smart cities. ¿Hasta qué punto es preocupante el tema?
Es preocupante en la medida en que se incluyan o no los mecanismos de seguridad adecuados. Todos los mecanismos tecnológicos son beneficiosos en la medida en que mejoran el confort y el nivel y la calidad de vida de las personas. El problema es cuando esos dispositivos puedan permitir su uso para un fin no lícito, debido a una falta de medidas de seguridad en su implantación. Afortunadamente, el nuevo reglamento de protección de datos ayudará a proteger, en cierta medida a la población, pero aun así, mientras no haya normas claras y de obligado cumplimiento, como ya hay en el entorno safety o de prevención de riesgos, será muy complicado evitar estar expuestos y, frecuentemente descubriremos cómo se hace un mal uso de esas tecnologías.
