OPINIÓN

Joseba Enjuto, Director de Consultoría de Nextel

No es ciberseguridad industrial todo lo que reluce

Desde que en 2011 viese la luz la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas, comúnmente conocida como Ley PIC, la ciberseguridad industrial empezó a ponerse de moda, al menos a escala nacional.

No es algo que surgiese de la nada. De hecho, probablemente fuese el descubrimiento del malware Stuxnet, en 2010, lo que provocó que el mundo de la ciberseguridad empezase a poner su foco de atención en los sistemas industriales. Sin embargo, no fue hasta la aparición de la citada Ley PIC, del posterior Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas y, sobre todo, de la constatación por parte del sector nacional de la ciberseguridad de que detrás de la protección de las infraestructuras críticas se iba a empezar a mover dinero en grandes cantidades, cuando se empezó a vislumbrar una creciente atención por parte de los profesionales de la ciberseguridad hacia el mundo industrial, hasta entonces abandonado a su suerte en términos de seguridad. 

La Ley PIC provocó el redescubrimiento del mundo industrial y de su hasta el momento escasa preocupación por la ciberseguridad, derivada de que históricamente el mundo OT (Operation Technologies, como contrapunto del mundo IT, Information Technologies) siempre había estado aislado y la seguridad por oscuridad había sido el paradigma predominante hasta el momento. Esa ley provocó la constatación de que ese teórico aislamiento había venido siendo cada vez más teórico y menos real, y que si los sistemas industriales eran vulnerables las infraestructuras críticas que las soportaban también lo eran. 

Nextel_ot
Históricamente, el mundo OT (Operation Technologies) siempre había estado aislado y la seguridad por oscuridad había sido el paradigma predominante.

La aparición de la regulación en protección de infraestructuras críticas provocó una eclosión en el sector de la ciberseguridad nacional, que inicialmente utilizó el término PIC para tratar de lograr el posicionamiento ante unos grandes operadores críticos que estaban obligados a afrontar, de una vez por todas, que iban a tener que "meter mano" en términos de seguridad a unas infraestructuras OT que hasta el momento habían podido mantener sin demasiadas preocupaciones, siguiendo la máxima de no tocar aquello que funciona. 

En paralelo, de manera inicialmente sorprendente, el sector tradicional de las infraestructuras OT veía con cierto escepticismo todo el frenético movimiento que desde el sector de la ciberseguridad tradicional (IT) se estaba llevando a cabo por posicionarse rápidamente en el "nuevo" mundo OT, probablemente conscientes de los ritmos habituales en este sector, mucho más lento y pausado, pero también más garantista que el frenético y excesivamente propenso a cometer errores mundo IT. 

Eclosión de la ciberseguridad

El punto de inflexión probablemente se produjo en 2013, cuando el término ciberseguridad industrial empezó a cuajar y consolidarse como estándar para referirse a la seguridad informática aplicada al mundo de las tecnologías utilizadas por el entorno industrial. Hasta ese momento solo los operadores críticos con sistemas industriales, con razón, se habían dado por aludidos. Sin embargo, con la aceptación y adopción generalizada del término, la preocupación por la ciberseguridad industrial empezó a extenderse más allá de los operadores críticos, calando poco a poco en todas aquellas organizaciones cuyos sistemas industriales constituían un elemento central de su negocio y, por tanto, empezaban a ver con cierta preocupación el riesgo de que un incidente de ciberseguridad pudiera afectar negativamente a su facturación. 

Al mismo tiempo que se consolidaba el término de ciberseguridad industrial, las noticias relacionadas con ella empezaron a saltar de los medios especializados a las páginas de la prensa generalista, posiblemente espoleadas por la propia industria de la ciberseguridad tradicional, que descubrió en la ciberseguridad industrial un potencial sensacionalismo capaz de impulsar su labor de marketing-concienciación a un nuevo nivel. Es muy probable que también Edward Snowden contribuyera, con sus revelaciones, a la creación del caldo de cultivo idóneo para que se produjera este salto, que provocó que la ciberseguridad industrial comenzase a ser un objeto de deseo por cada vez más organizaciones, tanto proveedoras de servicios y soluciones como receptoras de los mismos. 

Desarrollo de la ciberseguridad

El efecto que supuso la consolidación del concepto ciberseguridad industrial en el sector tecnológico fue muy importante. Mientras las empresas de ciberseguridad tradicional seguían posicionándose en el mercado OT y adaptando sus servicios y tecnologías a este nuevo entorno, las empresas del sector industrial clásico se fueron dando cuenta de que la ciberseguridad industrial había llegado para quedarse. Empezaron entonces a revisar sus productos y servicios desde este nuevo foco, introduciendo mejoras y creando nuevas tecnologías que, por primera vez, abordaban de manera seria y clara la ciberseguridad.

Además, al mismo tiempo que los fabricantes de ciberseguridad IT se acercaban al mundo OT y que los fabricantes de tecnologías OT empezaban a introducir la ciberseguridad en sus productos, aparecían nuevas empresas y tecnologías específicamente orientadas a la ciberseguridad industrial. Al su vez, los pocos fabricantes especializados que existían hasta el momento en este ámbito veían cómo el destino les ponía en bandeja unas posibilidades de crecimiento antes siquiera soñadas. 

En efecto, a partir de 2013 empezaron a ser cada vez más habituales en los porfolios de los principales fabricantes de ciberseguridad IT los firewalls "ruggerizados", a la vez que los fabricantes de sistemas de control industrial integraban módulos de control de acceso, firewalling y cifrado en sus dispositivos. Mientras tanto, los fabricantes de firewalls industriales y diodos de datos se tenían que afanar en resaltar las virtudes de sus productos y en explicar a sus crecientes clientes potenciales las diferencias entre sus tecnologías y los nuevos productos que la industria de la ciberseguridad IT estaba introduciendo con gran ímpetu en el mercado, a riesgo de que la ola acabase por sepultar su negocio en caso de no conseguirlo. 

La ciberseguridad industrial hoy

A día de hoy, el sector de la ciberseguridad industrial es un sector confuso, en el que, entre tanto eslogan manido y tanta inversión en marketing y posicionamiento, puede costar separar el grano de la paja y discriminar cuáles son las tecnologías y productos realmente útiles para proteger los sistemas industriales.

Este artículo no pretende ser una guía de compra, pues para eso haría falta mucho más espacio (y tiempo) que el disponible en estas líneas, pero sí trata de ayudar al lector a recordar el origen de la ciberseguridad industrial, con la esperanza de que una reflexión al respecto le pueda servir para discernir de manera más precisa cuáles son los vicios de cada uno de los jugadores en esta partida y, por tanto, le sirva de ayuda para interpretar de forma más acertada las señas que cada uno envía. Porque, parafraseando el conocido refrán, no es ciberseguridad industrial todo lo que reluce…  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual