Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

José Valiente, Director del Centro de Ciberseguridad Industrial (CCI)

Estado actual de la ciberseguridad de la industria española

La ciberseguridad industrial evoluciona desde la mera prevención hasta la resiliencia.

La economía hoy está conectada globalmente. Lo que ocurre en cualquier lugar del mundo afecta a las organizaciones españolas, y viceversa. Las organizaciones industriales tienen un gran desafío ante el presente –y futuro– escenario de la era digital: cada vez es más importante fabricar con una mayor orientación a la demanda; hacerlo de manera más flexible; y, por si esto no fuera suficiente, hacerlo bajo el compromiso de contener los costes del producto final. 

La competencia de las empresas españolas ya no se limita exclusivamente a otras organizaciones que operan físicamente en el ámbito nacional. Hoy cualquier organización española, independientemente de su tamaño, compite con organizaciones internacionales. Salvo excepciones, cualquier cliente de una organización española podría adquirir el mismo tipo de producto de una empresa ubicada en cualquier otra parte del mundo. Y todo ello gracias a la tecnología y a las nuevas plataformas virtuales de comercio y sus capacidades logísticas. Por tal motivo, ninguna empresa que pretenda sobrevivir hoy en día podrá hacerlo de forma local, sino que deberá adaptarse al nuevo contexto global.

Este cambio, que se ha acelerado en la última década, se debe en gran medida a la evolución tecnológica que ha facilitado la interdependencia entre sociedades y economías.

Este nuevo entorno, al que se ha denominado "universo VUCA" (acrónimo, empleado en inglés para describir un mundo Volatil -Volatile-, Incierto -Uncertain-, Complejo -Complex- y Ambiguo -Ambiguous-), refleja el dinamismo y las turbulencias del cambio. La actual incertidumbre implica que las acciones o los resultados que espera una organización son cada vez menos predecibles. La complejidad manifiesta la extensión del mercado. Por último, la ambigüedad se evidencia en la multitud de alternativas y resultados del cambio.

grafico1
Figura 1: Representación de la participación en el estudio realizado en 2016. Fuente: CCI.

Esta transformación, favorecida por la irrupción de lo digital, supondrá una gran oportunidad, tanto para la industria española en su conjunto, como para la ciberseguridad industrial, en particular. Las crecientes, en número, experiencias en la materia y el consiguiente incremento de la concienciación están facilitando que los requisitos de ciberseguridad se incorporen desde el diseño de las tecnologías, en sus nuevas arquitecturas y también en las plataformas que darán soporte a la interoperabilidad entre los sistemas de operación y de información para adoptar el nuevo modelo de industria 4.0. Así queda reflejado en el estudio Estado de la Ciberseguridad Industrial en España. Evolución y futuro, recientemente publicado por el Centro de Ciberseguridad Industrial, con la colaboración del CERTSI (CERT de Seguridad e Industria).

La protección evoluciona

Cada vez son más los expertos que defienden que hoy la protección, especialmente la tecnológica, no debe estar basada de forma exclusiva en la prevención mediante barreras de control. Así lo indica el profesor e investigador colombiano Jeimy Cano, cuando dice: "Tarde o temprano las barreras definidas van a caer, tarde o temprano la organización será objeto de un incidente y, para ello, la postura de seguridad por vulnerabilidad habilita a la organización para responder de manera ágil y efectiva, pues no estará distraída en el 'que dirán del incidente', sino tomando acciones concretas que permitan entender, contener, recuperar y comunicar lo que ha ocurrido, para aprender rápidamente y aumentar su capacidad de resiliencia frente a eventos futuros".

De igual modo, el director del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) español, Fernando Sánchez, señala en el prólogo del mencionado documento Estado de la Ciberseguridad Industrial en España. Evolución y futuro que "la ciberseguridad industrial, caracterizada casi en exclusiva hasta hace unos años por la mera prevención de ciberataques que pudiesen afectar al normal funcionamiento del entorno productivo, ha evolucionado hacia un ecosistema más maduro, en el que la prevención se ve acompañada por el desarrollo de herramientas, técnicas y procedimientos orientados a garantizar la fortaleza de las organizaciones en un entorno cambiante como es el de la ciberseguridad".

grafico2
Figura 2: El proceso de gestión de incidentes según las organizaciones industriales. Fuente: CCI.

Desafortunadamente, en España, la adopción de herramientas, técnicas y procedimientos orientados hacia la resiliencia de la organización, hoy solo se encuentran en algunas grandes empresas industriales. Ello es debido, en primer lugar, a que las organizaciones más concienciadas acerca de la necesidad de implantar y mantener medidas de ciberseguridad industrial son las que están directamente afectadas por algún requisito regulatorio; y, en segundo, porque son las que disponen de recursos especializados. Piénsese en los operadores de infraestructuras consideradas estratégicas y que podrían ser catalogadas como críticas (o que ya lo han sido). Típicamente, dichas infraestructuras pertenencen a organizaciones de gran tamaño; o a aquellas otras que, debido a su alto perfil de exposición, son objeto de ataques cibernéticos. Finalmente, a ellas podrían sumarse otras empresas caracterizadas por la deslocalización de sus centros productivos y la consiguiente necesidad de acceder de forma remota a sus sistemas de control industrial, que, al mismo tiempo, se vean expuestas a riesgos cibernéticos de alto impacto.

La industria española

Según el ya mencionado estudio Estado de la Ciberseguridad Industrial en España (disponible en www.cci-es.org/publicaciones), la mayor conciencia sobre la necesidad de implantar y mantener medidas de ciberserguridad industrial se concentra en los sectores eléctrico, nuclear, petrolero y gasista. Se da la circunstancia de que éstos son, de hecho, los sectores industriales mayoritariamente representados, tanto en el presente estudio como en sus dos ediciones anteriores. No obstante, no es menos cierto que dicha conciencia comienza a hacerse palpable en otros sectores, como el del transporte, el químico y el del agua, debido seguramente a los requisitos regulatorios de la Ley para la Protección de Infraestructuras Críticas (LPIC) española. (Ver figura 1)

Las empresas de menor tamaño, al ser menos probable que estén afectadas por los requisitos regulatorios de la LPIC, no cuentan con la ciberseguridad industrial entre sus prioridades. Sin embargo, ésta es una tendencia que también está cambiando gracias al mayor nivel de concienciación general en los sectores industriales; debido, en parte a que las organizaciones de menor tamaño están empezando a ser víctimas de ciberataques. Así lo demuestran informes, como el publicado por la firma de servicios profesionales PwC 2015 Information security breaches survey, en el que se recoge el siguiente dato: el 74 por ciento de las pymes ha sufrido incidentes de ciberseguridad.

grafico3
Figura 3: Medidas de seguridad implantadas por organizaciones industriales. Fuente: CCI.

Volviendo al estudio del CCI, en el mismo se revela que casi el 60 por ciento de las organizaciones analizadas están inmersas en la formalización de sus procesos de gestión de incidentes o ya los tienen establecidos, lo cual indica que un alto porcentaje de organizaciones industriales están gestionando o empezando a gestionar los riesgos tecnológicos. Sin embargo, todavía hay más de un 10 por ciento de organizaciones en las que no existen tales procesos o en las que solo se aplican medidas de forma reactiva (ver figura 2).

Es significativo destacar la importancia de la identificación y notificación de incidentes de seguridad en el caso de los incidentes sobre infraestructuras críticas. Desde el CERTSI se elaboró, en 2013, una guía pública, titulada Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras, para promover esta práctica entre los operadores de este tipo de infraestructuras.

Las organizaciones industriales españolas están incorporando cada vez mejores medidas de ciberseguridad. Entre las medidas técnicas, las más habituales, como muestra la figura 3, son los antivirus, los cortafuegos convencionales, las copias de seguridad y la documentación de la arquitectura de red. El estudio de CCI refleja, además, que las soluciones de detección y prevención de intrusiones (IDS/IPS) se han incrementado de forma significativa respecto a las ediciones anteriores del estudio, pasando de un grado de adopción inferior al 50 por ciento, hasta casi el 60 por ciento actual. Ello demuestra, a su vez, que en el entorno industrial se está optando en primera instancia por medidas de protección a nivel de red.

Conclusión 

La situación de la ciberseguridad en la industria española refleja una evolución, un incremento en la madurez –especialmente de los sectores con mayor regulación– impulsada por organismos públicos como el CNPIC, Incibe y el CCN, o privados como CCI. Este nivel de evolución no se está produciendo con la misma rapidez en otros países europeos, lo cual puede convertirse en una buena oportunidad para que la industria española pueda diferenciarse en un entorno tan competitivo como el actual.

Por otro lado, el principio de que en el ciberespacio la vecindad es compartida entre todos los países permite pensar que esa evolución deberá producirse necesariamente al unísono; y, en todo caso, aprovechando las lecciones aprendidas por unos y otros, en un escenario en el que la colaboración multinacional y la puesta en común de información y experiencias –positivas y, particularmente, negativas– alcanza más relevancia que nunca. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual