Las necesidades formativas de nuestros ingenieros en ciberseguridad
Colaboración del Colegio Oficial de Ingenieros Técnicos Industriales de Vigo
La creciente proliferación de los sistemas industriales conectados a redes públicas de comunicaciones ha supuesto la aparición de riesgos adicionales a los que tradicionalmente se vienen contemplando en el diseño, operación y mantenimiento de estos sistemas. Estos riesgos se han venido materializando en los últimos años en incidentes, con repercusiones lógicas y físicas de mayor o menor gravedad, que han afectado a empresas y sistemas industriales públicos y privados, de distintas dimensiones, sectores económicos y nacionalidades, con diferentes niveles de afectación, repercusión pública y costes derivados del incidente.
La gestión de dichos riesgos se incluye comúnmente en la nueva denominada ciberseguridad industrial, como extensión de la tradicional disciplina de ciberseguridad (a veces llamada también seguridad informática o seguridad de la información) vinculada a las tecnologías de información y comunicaciones (TIC) ordinarias.
En respuesta a esta amenaza, los Gobiernos han aprobado legislación de aplicación (por ejemplo, la Ley de Infraestructuras Críticas en España) y han creado organismos e instituciones (CCN, OSI, INCIBE, etc.) con el objetivo de informar sobre los riesgos, difundir las mejores prácticas y organizar iniciativas de capacitación de profesionales en este campo. Organizaciones internacionales de relevancia en el sector (ISO, IEC, ISA, etc.) están comprometidas en la elaboración de normativa específica para ciberseguridad adaptada a las particularidades de la empresa moderna (ISO 27002, ISO 27018, ISA/IEC-62443 entre otras). A su vez, empresas relevantes dentro de los sectores considerados más sensibles se han agrupado para poner en marcha iniciativas conjuntas de forma privada, como foro de encuentro y compartición de información y experiencias en este ámbito (Centro de Ciberseguridad Industrial, Asociación Nacional de Ciberseguridad y Pericia Tecnológica, entre otras).
La directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, es la norma de referencia de rango europeo que pretende reforzar la vigilancia de las redes informáticas que sostienen servicios esenciales como son: sanidad, energía, distribución de agua, transporte y banca.
Las competencias de ciberseguridad no se encuentran a esta fecha atribuidas de forma exclusiva por la legislación en vigor a ninguna profesión regulada en particular, si bien sus contenidos suelen estar presentes en los currículos de las titulaciones universitarias de telecomunicaciones e informática, al ser estas las que tradicionalmente se relacionan con el diseño y operación de sistemas TIC.
En el ámbito de la ciberseguridad industrial, el perfil de los profesionales es en su gran mayoría también el de un titulado universitario en informática o telecomunicaciones, con formación en ciberseguridad, y que ha intentado adaptar sus capacidades al entorno industrial, superando su desconocimiento de las particularidades (equipos, instalaciones, organización, recursos humanos, etc.) del mismo. Esto lleva a un potencial desajuste entre las estrategias y soluciones de seguridad propuestas y la realidad de la operación de una planta industrial.
Respecto a los titulados de la rama industrial, tanto de los planes de estudios actuales como de los anteriores, si bien en diversas titulaciones (electrónica y automática, por ejemplo) se imparten conocimientos de redes de comunicaciones. Estos abordan fundamentalmente aspectos de conectividad, sin contemplar los aspectos de ciberseguridad de las mismas, incluso los más básicos. En lo que respecta a los sistemas y dispositivos, la situación no es mucho mejor, ya que en su desarrollo y programación no se tienen en cuenta tampoco la ciberseguridad.
Por ello es imprescindible la puesta en marcha de acciones formativas destinadas a capacitar a los alumnos de último curso y titulados de la rama industrial, al menos en los principales conceptos y técnicas relacionadas con la ciberseguridad industrial, de manera que adquieran las competencias necesarias para incorporarlas a su actividad profesional en el marco de las empresas industriales. Se deberían abordar tanto los aspectos normativos y legislativos en vigor que afectan a estas empresas como aquellos otros más propios de la ingeniería, tanto de carácter organizativo como puramente tecnológico, contemplando las casuísticas propias de los entornos industriales para poder abordar desde el origen diseños seguros.
No sería objetivo de esta formación entrar en profundidad ni ser exhaustivo en los temas a tratar, como se requeriría para poder llevar a cabo labores de pruebas de intrusión o de auditoría forense en sistemas, sino complementar la formación especializada de los profesionales con la incorporación de las habilidades y competencias de la nueva disciplina a su actividad como ingenieros. El perfil profesional que se desea alcanzar es complementario a los de los profesionales de la ciberseguridad clásicos, de manera que con su colaboración se puedan implantar, mantener y auditar las políticas y medidas de seguridad definidas por la empresa para cumplir con la normativa en vigor.
Sin duda, la demanda de profesionales con este perfil se verá incrementada una vez que las empresas afectadas por la normativa y legislación sobre ciberseguridad desarrollen de forma detallada los planes de protección y de incidencias. Entonces se verán obligados a tener en cuenta los aspectos de la empresa más relacionados con la tecnología y los procesos industriales, en los que los ingenieros son los más capacitados para intervenir.
