Red Seguridad 081

18 red seguridad segundo trimestre 2018 ciberseguridad industrial sobre la mesa importantes", asegura el representante de la compañía. Quienes sí tienen una cultura más arraigada en el mundo de la ciber- seguridad industrial, y así lo pusie- ron de manifiesto sus representan- tes, son Iberdrola y Ferrovial. En el caso del primero, la ciberseguridad se incluye dentro del área de Seguridad Corporativa de la empresa, a partir de la cual "están buscando la adecuada convergencia entre IT y OT en un modelo centralizado", afirmó Valencia. Por su parte, para Ferrovial este tema es "una prioridad" sobre el que el área de seguridad "debe reportar periódicamente al comité de direc- ción", en palabras de Cobo, quien añadió: "Hemos avanzado mucho en los últimos años, sobre todo en con- cienciación, que es la base para que los consejos de administración se den cuenta de la importancia que tiene la ciberseguridad industrial". Más apoyo de la alta dirección Al respecto también se refirió De Pablo, de ISACA, quien confirmó "la baja sensibilidad" que hay actualmente en los consejos de administración con respecto a la ciberseguridad industrial. "Uno de los temas más preocupantes es que la alta dirección no es cons- ciente de este problema", puntualizó, y continuó: "Resulta chocante que en las empresas industriales el riesgo de ciberseguridad no esté tan asumido. Tanto el sector OT como el IT tienen tendencia hacia el trabajo endogá- mico, y sus necesidades no afloran suficientemente hacia arriba". En estas afirmaciones coincidió punto por punto García, de Check Point, quien aportó su experiencia al respecto al tratar con distintas orga- nizaciones del sector. "A mi juicio, este es un tema con muchas luces y sombras. Hay comités de direc- ción que lo llevan trabajando desde hace mucho tiempo, y otros, en cam- bio, que no saben nada de nada". Afortunadamente, desde el punto de vista de este directivo se ha avanzado mucho en los últimos años. "La aten- ción que recibe ahora la ciberseguri- dad industrial no tiene nada que ver con lo que se hacía a principios del año 2000", matizó. En el caso del área que dirige Buitrago, de Fertiberia, están traba- jando para "demostrar a la dirección la importancia de crear un departamen- to de seguridad integral para abordar el problema"; y confirmó que, sin el apoyo de los responsables de la com- pañía, avanzar en ese sentido "cuesta mucho". Igualmente, Valencia conside- ró básico ese compromiso. "Tenemos que encontrar el apoyo desde arriba, porque si no es así, acabamos siendo profetas en el desierto; y eso debe partir desde el propio presidente o consejero delegado". Por su parte, Asún también ve claro que "la estrategia de ciberse- guridad más eficaz es aquella que viene desde la propia alta dirección". El problema, desde el punto de vista de De Pablo, de ISACA, llega porque "todos los riesgos relacionados con la seguridad son lineales. En cambio, los de la ciberseguridad son exponencia- les". "La alta dirección asume los ries- gos, pero cuando le preguntas cuál es su pérdida esperada en este sentido, su suposición es menor que la reali- dad. Por ejemplo, las vulnerabilidades que se produjeron el año pasado en Internet fueron el doble de las encon- tradas el anterior", añadió al respecto. En este punto, todos los asistentes estuvieron de acuerdo en que, para conseguir ese apoyo, es preciso avan- zar en la concienciación, tanto de la dirección como del resto de la plantilla. "Normalmente, los empleados no son conscientes de lo tienen que hacer, porque este tema no les preocupa. La seguridad física está más asumida, pero la digital todavía les cuesta. Es un tema de responsabilidad", sentenció García, de Check Point. Afortunadamente, según matizó Díaz, de EDP España, "WannaCry ha marcado un antes y un después en temas de concienciación en las empre- sas". Además, este caso también puso de manifiesto otro hecho que apuntó Cobo, de Ferrovial. "Se trata de la importancia de hacer ver a los emplea- dos que si se actúa de una determina- Erik de Pablo Director de Investigación de ISACA Madrid "Resulta chocante que en muchas empresas industriales el riesgo de ciberseguridad no esté tan asumido. Precisamente, uno de los temas más preocupantes es que la alta dirección no sea consciente de este problema" José Valiente Director del CCI "Un reciente estudio que hemos presentado sobre la ciberseguridad industrial revela que los sectores eléctrico, gasístico y petrolero son los que más avanzados están. En cambio, el químico, el de transporte y el de agua son los que más tienen que mejorar"