redseguridad 077

jornada

noticias

Ahora bien, en ese proceso, pue- den surgir complicaciones, en tanto en cuanto hay una dependencia muy grande de los fabricantes y de los sistemas que ya llevan funcionando muchos años. "Esto provoca que el cliente no sea autónomo en la toma de decisiones y tenga que consultar con el fabricante", explicó el directivo. Y a ello se añade la existencia de una serie de "leyendas urbanas", como que se trata de instalaciones tan específicas y especializadas que el atacante desiste debido a su com- plejidad; que el sistema está aislado, porque no se conecta a Internet; o que una empresa no puede ser el objetivo de los cibercriminales porque tiene poco interés para ellos. "Todo esto es mentira", subrayó Zubieta. Para el directivo, la solución es considerar la ciberseguridad como "un proceso" para que acabe convir- tiéndose "en una característica propia de cada empresa". De hecho, según comentó, ya hay servicios y tecnolo- gías maduras para el entorno indus- trial. Por ejemplo, están los "cyber assessments", para tener una foto real de lo que hay; los estándares, para saber dónde colocar las cosas; y las bases de datos críticas. En definiti- va, resumió, "la transformación digital es imparable y la ciberseguridad es un habilitador de esa estrategia". Caso de uso de integración Seguidamente, la mesa sobre ciberse- guridad continuó con la ponencia de José Valiente, director del Centro de Ciberseguridad Industrial (CCI). Para comenzar, indicó que la seguridad de procesos industriales se aborda mediante capas de protección, que van desde los sistemas que controlan lo básico, como la temperatura, hasta los operadores que monitorizan todo, pasando por otras tecnologías auto- máticas que comprueban si se produ- ce alguna anomalía en la instalación. Y si estos sistemas fallan, hay otros de mitigación. Ahora bien, según Valiente, "esto no es cien por cien eficaz y puede haber fallos de programación". De hecho, según algunos estudios, el 35 por ciento de los errores en la indus- tria química son a causa del software ; el 30 por ciento, por fallos humanos; y el 15 por ciento, por el hardware . A continuación, el directivo abordó la situación legal en España que tiene

Más de 500 personas acudieron a estas jornadas en las que, durante dos días, se abordó la seguridad industrial desde diferentes perspectivas.

que ver con la seguridad de proce- sos. Al respecto, el 21 de septiembre de 2015 se publicó el Real Decreto 840/2015 de medidas de control de riesgo de accidentes graves con sus- tancias peligrosas. Esto tiene que ver con la normativa europea SEVESO III, que obliga a notificar estos incidentes; a pesar de que, a juicio del directivo, "hay empresas que no lo hacen". Y no solo eso. "También tienen que elaborar una política de prevención de acciden- tes graves y presentar un informe para demostrar que se cumple con el Real Decreto, identificando los fallos que haya podido haber, incluidos los tec- nológicos", afirmó. Esto es importan- te porque, según comentó Valiente, "entre 2010 y 2016 se produjeron 140 accidentes graves en Europa, pero gracias a esta normativa se están reduciendo poco a poco". Para finalizar, el directivo expuso un caso de uso ficticio, pero basado en hechos reales, sobre una planta de extracción y tratamiento de petróleo y gas, en el que explicó algunos de los incidentes que se pueden producir si la empresa no asegura adecuada- mente las instalaciones. La Directiva NIS en la industria Para finalizar la sesión, intervino María Pilar Torres, directora del área de Ciberseguridad de Everis, para hablar de qué forma afecta la aprobación de la Directiva NIS en el ámbito industrial. Comenzó su intervención repasando los hechos más destacados hasta la ratificación de este texto legal, que los Estados miembros tienen la obliga- ción de transponer a sus respectivos ordenamientos jurídicos.

Precisamente, para examinar el proceso, el contenido y las medidas de las transposiciones en los ope- radores esenciales se ha creado el Grupo de Cooperación. "En febrero de 2018, este equipo tiene que haber desarrollado un grupo de trabajo para establecer las acciones que deben emprenderse para alcanzar los objetivos de la Directiva NIS; y en noviembre de ese mismo año, todos los operadores de servicios esencia- les tienen que estar identificados", comentó Torres. No en vano, el objetivo de la Directiva es establecer medidas de seguridad que garanticen un grado común de seguridad de redes y sistemas de la información en la UE. "De nada sirve que España tenga una buena ley con medidas para proteger sus infraestructuras, si nos conectamos a sistemas de otros países que no tienen unas medidas adecuadas de seguridad", puntualizó esta especialista. Partiendo de esta base, tanto si se trata de un operador crítico como de un proveedor de servicios digitales, es obligatorio cumplir esta normativa. A partir de ahí, en palabras de Torres, "deberíamos hacer un análisis com- pleto de riesgos en nuestra infraes- tructura", con el fin de "conocer las vulnerabilidades y amenazas de cada proceso de negocio; así como la dependencia a otras infraestructuras digitales". Y es que, tal y como resu- mió la directiva, "solo cuando esta- mos protegidos, podemos colaborar con otros sistemas en estandariza- ción de procedimientos o intercam- bio de información".

26 red seguridad segundo trimestre 2017