REDSEGURIDAD 083

ejemplo, "en el sector de los autobuses no es lo habitual", comentó, y añadió: "Hay mucha incultura en este sentido fuera de lo que no sea la seguridad en el transporte en carretera. Pero ahora se da la curiosa circunstancia de que los nuevos autobuses que incorporan todo tipo de tecnología ya pueden ser pirateados, por lo que el problema de la ciberseguridad también se traslada a la carretera", mencionó. Por cuestiones como esta, preci- samente, es importante contar en las empresas con un departamento de seguridad integral, tal y como mencio- nó Domínguez, de ElevenPaths. "Esta área une dos mundos: el digital y el físico, que cada día se encuentran más vinculados". Y como ejemplo, este profesional se refirió al estudio de medi- das en curso por su empresa para implantar una seguridad integral efec- tiva, como sería que si un empleado esta de vacaciones no podra acceder al parking de la organizacion con su tarjeta. "Es una medida que refuerza la seguridad uniendo la parte digital con la fisica", apunto. Ahora bien, hay que tener cuidado a la hora de designar al responsable de esa seguridad integral, porque, en opinión de los asistentes, no debería ser el director de informática, "que es quien se ocupa de que las cosas funcionen", comentó García, de Check Point. "En cambio, el director de segu- ridad se debe preocupar de que las cosas funcionen de forma segura", añadió. Por tanto, en su opinión, tiene que ser un profesional distinto, "con poder y equipo como para llegar al consejo de administración y al CEO y hacerse oír cuando la situación lo requiera". Esto puede resultar complicado en según qué sectores, especialmente el energético. Por ejemplo, Manchado, de Naturgy, expuso su caso, en el que tienen multitud de instalaciones indus- triales con equipos gestionados por los fabricantes, los cuales "son reticentes a una solución de ciberseguridad que no sea propietaria suya". Esto, a juicio del directivo, es un inconveniente que "no es sencillo, ni rápido", sobre todo cuando se tienen centenares de insta- laciones, con tecnología heterogénea y una gran cantidad de fabricantes. "Desde el punto de vista de negocio, interesa conectar IT y OT, porque se La nueva Ley NIS divide las infracciones en leves, graves y muy graves, con sanciones que pueden llegar hasta el millón de euros consigue una mayor eficiencia, pero el riesgo es muy importante", sentenció. Principales preocupaciones De esta forma, se llegó al bloque final de la mesa redonda, en el que se abor- daron cuáles son las principales pre- ocupaciones desde el punto de vista de la ciberamenazas para los repre- sentantes de las infraestructuras estra- tégicas presentes en el debate. Por ejemplo, Domínguez, de ElevenPaths, dejó claro que a su empresa le afectaría especialmente "cualquier amenaza que impacte directamente en la prestación de servicios a sus clientes". Y lo mismo sucede con García, de Mapfre: "Somos una aseguradora; por lo tanto, vivimos de la confianza del cliente. Así pues, lo que más nos preocupa es todo lo rela- cionado con la prestación del servicio a los asegurados y, además, que no haya ningún problema con sus datos personales". En el caso de la Estación Sur de Autobuses, su responsable de segu- ridad reconoció que un ataque a sus sistemas ralentizaría sus operaciones, "pero en ningún caso las pararía, por- que se podrían seguir haciendo de forma manual". Algo distinto sería si se atacara a su página web, donde tienen centralizada la venta de billetes. "En ese caso, sí nos haría más daño". Afortunadamente, para que estas preocupaciones no se hagan realidad, existen remedios, tal y como explicó García, de Check Point. "Más que uti- lizar una gran cantidad de tecnología, es más importante usar una estrategia de defensa en capas. Hay que tener en cuenta que muchos ataques utilizan partes de códigos usados anteriormen- te, por lo que este tipo de protección es efectiva; pero primeramente hay que establecer un plan de seguridad adecuado", puntualizó. A pesar de ello, también se está avanzando bastante. "En nuestro caso, tenemos un sistema de innovación en el que nuestros ingenieros participan en un certamen que organizamos para promover ideas con las que mejorar la seguridad", matizó García, de Check Point, quien continuó: "De ahí salen diferentes propuestas de mejora como la opción de indicar al CEO en el móvil el grado de amenaza que tiene su empresa en un momento dado. Sin duda, es una forma de que la dirección se vaya concienciando con los temas de seguridad", concluyó. Uno de los temas que se trató durante la mesa redonda fue el régimen sancionador que establece la nueva Ley y cómo el futuro reglamento debería desarrollarlo. red seguridad cuarto trimestre 2018 11 servicios esenciales sobre la mesa Patrocinado por: