redseguridad 076

No es ciberseguridad industrial todo lo que reluce D esde que en 2011 viese la luz la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas , comúnmente conocida como Ley PIC, la ciberseguridad industrial empezó a ponerse de moda, al menos a escala nacional. No es algo que surgiese de la nada. De hecho, pro- bablemente fuese el descubrimiento del malware Stuxnet, en 2010, lo que provocó que el mundo de la ciberse- guridad empezase a poner su foco de atención en los sistemas indus- triales. Sin embargo, no fue hasta la aparición de la citada Ley PIC, del posterior Real Decreto 704/2011, de 20 de mayo, por el que se aprue- ba el Reglamento de Protección de las Infraestructuras Críticas y, sobre todo, de la constatación por parte del sector nacional de la ciberseguridad de que detrás de la protección de las infraestructuras críticas se iba a empezar a mover dinero en grandes cantidades, cuando se empezó a vislumbrar una creciente atención por parte de los profesionales de la ciber- seguridad hacia el mundo industrial, hasta entonces abandonado a su suerte en términos de seguridad. La Ley PIC provocó el redescubri- miento del mundo industrial y de su hasta el momento escasa preocupa- ción por la ciberseguridad, derivada de que históricamente el mundo OT ( Operation Technologies , como con- trapunto del mundo IT, Information Technologies ) siempre había estado aislado y la seguridad por oscuridad había sido el paradigma predominan- te hasta el momento. Esa ley provocó la constatación de que ese teórico aislamiento había venido siendo cada vez más teórico y menos real, y que si los sistemas industriales eran vul- nerables las infraestructuras críticas que las soportaban también lo eran. La aparición de la regulación en protección de infraestructuras críticas provocó una eclosión en el sector de la ciberseguridad nacional, que inicialmente utilizó el término PIC para tratar de lograr el posicionamiento ante unos grandes operadores críti- cos que estaban obligados a afrontar, de una vez por todas, que iban a tener que "meter mano" en términos de seguridad a unas infraestructuras OT que hasta el momento habían podido mantener sin demasiadas preocupaciones, siguiendo la máxima de no tocar aquello que funciona. En paralelo, de manera inicialmente sorprendente, el sector tradicional de las infraestructuras OT veía con cierto escepticismo todo el frenético movimiento que desde el sector de la ciberseguridad tradicional (IT) se esta- ba llevando a cabo por posicionarse rápidamente en el "nuevo" mundo OT, probablemente conscientes de los rit- mos habituales en este sector, mucho más lento y pausado, pero también más garantista que el frenético y excesivamente propenso a cometer errores mundo IT. Eclosión de la ciberseguridad El punto de inflexión probablemente se produjo en 2013, cuando el tér- mino ciberseguridad industrial empe- zó a cuajar y consolidarse como estándar para referirse a la seguridad informática aplicada al mundo de las tecnologías utilizadas por el entorno industrial. Hasta ese momento solo los operadores críticos con sistemas industriales, con razón, se habían dado por aludidos. Sin embargo, con la aceptación y adopción generalizada del término, la preocupación por la ciberseguridad industrial empezó a extenderse más allá de los operado- res críticos, calando poco a poco en todas aquellas organizaciones cuyos sistemas industriales constituían un elemento central de su negocio y, por tanto, empezaban a ver con cierta preocupación el riesgo de que un inci- dente de ciberseguridad pudiera afec- tar negativamente a su facturación. Al mismo tiempo que se consoli- daba el término de ciberseguridad industrial, las noticias relacionadas 46 red seguridad primer trimestre 2017 especial Joseba Enjuto Director de Consultoría de Nextel A rtículo ciberseguridad industrial monográfico