redseguridad 080

protagonista segurtic entrevista ¿De qué manera trabajan en REE la ciberseguridad OT, un entorno que hasta hace unos años parecía ajeno a la seguridad? Para REE la seguridad OT siempre ha sido importante. En 2007 ya se empezó a hacer una apuesta por la protección a nivel de comunicaciones mediante la segmentación de redes. Desde entonces, hemos ido mejo- rando la seguridad del mundo OT, aunque evidentemente no al mismo ritmo ni madurez que en el mundo IT. Podríamos decir que se actuaba de una manera más reactiva que preventiva. También es cierto que antes no existía una visión de la ciberseguridad como ahora porque la OT era un entorno aislado y, por tanto, comple- tamente controlado. Sin embargo, ese entorno se ha ido abriendo con el tiempo, acercándose al mundo IT. Tenemos que aprovechar la madu- rez del mundo IT para ganar terre- no y proteger debidamente nuestro negocio; pero trasladarlo es compli- cado. Nuestra opción en REE ha sido empezar gestionando la seguridad bajo unos mismos principios y marco de control para ambos entornos, por- que vimos que, a la hora de ponerlos en marcha, ni las herramientas están igual de maduras ni las soluciones que se pueden aplicar tienen el mismo impacto. Así que la clave es empezar por la definición de principios, directri- ces y objetivos comunes en la parte de gestión y gobierno de seguri- dad, tener claro qué arquitecturas y modelos de seguridad se necesitan y, posteriormente, implementar la pro- tección atendiendo a la idiosincrasia de cada uno de los mundos. ¿Cree que esa brecha entre el entorno IT y el OT se cerrará en un tiempo razonable? Me gustaría que fuera más rápido de lo que está siendo y creo que se han dado condicionantes para ello. La Estrategia de Ciberseguridad Nacional ya hablaba en 2013 de la necesidad no solo de impulsar la seguridad y la resiliencia de los sistemas de infor- mación usados en las infraestructuras críticas, sino también de fomentar y mantener una actividad de I+D+i en materia de ciberseguridad de manera iteración para llevar a cabo el trata- miento automatizado de los riesgos de ciberseguridad IT y OT, incluyendo también los sistemas de seguridad físicos, y hemos dejado para este año la segunda parte, la automatización de los riesgos de seguridad física. Creemos que el mapa de riesgos de seguridad de una organización debe aunarlos todos, sean de la natu- raleza que sean. De esta forma se consigue una única foto completa de los riesgos más relevantes a los que se enfrenta la organización. Con esta información global se puede trabajar en el tratamiento de esos riesgos, priorizando lo realmente importante. No obstante, ¿dispone el mercado de herramientas que faciliten la integración de la seguridad? La verdad es que no me consta que haya soluciones que permitan esa integración como tal. Puede que uno de los motivos sea que, hasta la fecha, no se ha producido una demanda que empujara a los proveedores a ver esto como una oportunidad. No obstante, en el caso de la gestión de riesgos, por ejemplo, ya son muchas las pla- taformas que, aunque en su origen estaban pensadas para los riesgos de ciberseguridad IT, han abierto sus catálogos de amenazas y activos al mundo OT, e incluso algunas a la parte física. Pero si hablamos de herramien- tas que nos ayuden a integrar la segu- ridad, la mayoría todavía están poco maduras y requieren customización. Partiendo de una buena herramien- ta de gestión es posible completarla para aportarle esa capacidad integral. Pero lo primero que debemos tener claro es qué objetivo perseguimos, qué modelo buscamos y, a partir de ahí, podemos valernos de herra- mientas que nos puedan acompañar a conseguir ese hito. Lo realmente importante es una buena definición de tu estrategia y tu táctica. Si hablamos de otro tipo de herra- mientas, por ejemplo, de monitoriza- ción, las diferencias son aún mucho más tangibles. La realidad es que no hay integración real, lo que vale para el mundo IT no siempre sirve para OT. Sin embargo, es cierto que hay que aprovechar la madurez del mundo IT para llevarlo al OT adaptándolo. Adicionalmente, y siguiendo el con- cepto de las tres líneas de defensa, hemos separado el gobierno y la gestión de cada una de estas capaci- dades de la operación de las mismas. De esta forma, desde el departa- mento de Seguridad Corporativa de REE se lleva el gobierno y la gestión de la seguridad, asignando responsa- bles de cada una de las capacidades del modelo y dejando la seguridad operativa a los departamentos téc- nicos: la Dirección de Tecnologías de la Información y la Dirección de Mantenimiento de Instalaciones. El modelo está echando a andar, pero creemos que este es el camino y durante 2018 nuestro objetivo es aterrizarlo e implantarlo. De hecho hemos iniciado las primeras acciones conducentes a su puesta en marcha. Llevada a la práctica, ¿en qué beneficios se traduce esa integra- ción de la seguridad? El primero y más evidente es que da respuesta a un requisito demandado por la regulación nacional sobre pro- tección de infraestructuras críticas. Pero más allá de una obligación, este modelo nos ayuda a ser más eficien- tes, más eficaces, controlando costes y, sobre todo, aprovechando siner- gias. Para nuestra organización este es el mejor camino a seguir en aras de mejorar la protección y la resiliencia de nuestras infraestructuras. Porque si las amenazas son cada vez más sofisticadas, más especializadas y uti- lizan la confluencia del mundo físico y el ciber para su materialización, las organizaciones deben protegerse bajo un marco común, estableciendo las medidas de protección según el riesgo. Por tanto, no podemos seguir trabajando en silos o de forma aislada como se venía haciendo. Describe un modelo integral de la seguridad, pero ¿cómo se puede realizar un análisis de riesgos donde realmente confluyan ame- nazas físicas y tecnológicas? Para una gestión integral de los ries- gos debemos ser capaces de identifi- car cuáles son las amenazas de cada uno de los mundos, según los activos que los conforman. Durante el año pasado, en REE hicimos una primera red seguridad primer trimestre 2018 39