Red Seguridad 081

es decir, "disponer de una visión gene- ral en materia de ciberseguridad. Debe ser algo transversal, por encima de todo, porque, en caso de no ser así, seguiremos teniendo esas dos veloci- dades que comentábamos". En ello también estuvo de acuerdo Valencia, de Iberdrola, para quien la ciberseguridad no es un tema que deba corresponder exclusivamente al departamento de seguridad, sino que "debe ser algo propio de cada área de la empresa". Además, ve necesa- ria esa convergencia, para la cual es cuestión de "voluntad, entendimiento, tiempo y dinero", enumeró. De Pablo, de ISACA, sugirió una serie de medidas para avanzar hacia esa confluencia. Por ejemplo, se mos- tró convencido de que los equipos de OT deben desarrollar modelos de control similares a los que desde hace varios años están implantando los profesionales de IT para mitigar los riesgos. "El objetivo con ello sería potenciar la madurez, lo que, a su vez, redundaría en una mejora de la resiliencia", sostuvo. Algo con lo que estuvo de acuerdo Cobo, de Ferrovial, para quien los modelos de riesgo y control serían "perfectamente aplicables" a ambos entornos. Eso sí, lo que cambiaría sería la forma de llevarlos a cabo. Sobre el tema abundó un poco más De Pablo, de ISACA, para quien los análisis de riesgos serían uno de los puntos débiles sobre los que la parte OT tendría que trabajar para acabar con esa doble velocidad de la que se hablaba anteriormente. "Los análisis de riesgos tienen una metodología antigua, porque se desarrollaron en la década del 2000, muy enfocados a los activos; pero lo que realmente movi- liza el problema es la amenaza y su característica evolutiva y cambiante". Por tanto, consideró que habría que desarrollar modelos que representen lo que se tiene entre manos, que no es el mismo que antes. Claro que, a juicio de Valiente, del CCI, estos modelos de análisis de ries- gos no dejan de ser "una herramien- ta más" que complementa a otras, pero que no se encuentra por encima de ninguna. Todas ellas proporcionan "fotos que se hacen para tomar mejo- res decisiones"; es decir, "aportan una visión para ayudar a saber cómo actuar", manifestó. ¿Tecnología madura? A continuación, el debate derivó en saber si, a juicio de los presentes, exis- te hoy en día una tecnología madura que permita avanzar en el ámbito de la ciberseguridad industrial. Para García, de Check Point, el aspecto fundamen- tal en este punto es que los dispositi- vos incluyan, de forma nativa, el con- cepto de seguridad. "Al menos, como mínimo, deben incorporar un usuario y una contraseña", apuntó. Y es que, con la proliferación del Internet de las Cosas, "se ha aumentado la superfi- cie de ataque de forma exponencial". Precisamente, su empresa, comentó, está trabajando en una tecnología de "nanoagentes" que se pueden instalar en los dispositivos IoT de las empresas industriales, con la finalidad de contro- lar la seguridad de cada uno de esos aparatos. Finalmente, en opinión del directi- vo, esto también se debería comple- mentar con medidas desde el punto de vista regulatorio, algo en lo que coincidieron los presentes. Por ejem- plo, tanto para Díaz, de EDP España, como para Valencia, de Iberdrola, resulta fundamental la homologación, y que esta se produzca desde un punto de vista internacional, no por países. "La seguridad es un parámetro fundamental común a todas las tec- nologías. Por tanto, se debe caminar hacia un mismo estándar", dijo Díaz, mientras que Valencia sostuvo: "de la mano de IoT tienen una influencia decisiva, por que lo hay que añadir una capa de seguridad extra". En este punto sugirió "la colaboración público- privada para facilitar las vías de la homogeneización". Precisamente, De Pablo, de ISACA, también ve necesa- rio "ayudar a madurar a OT a través de la regulación y las exigencias de homologación". Con estas reflexiones se llegó a la finalización del debate. Según conclu- yeron los presentes, los aspectos más destacados para avanzar en el fomen- to de la ciberseguridad industrial son: contar con la colaboración de la alta dirección, mejorar la concienciación de los usuarios, alinear el mundo de IT con el de OT y, finalmente, hacer de la ciberseguridad una función transversal en la organización de cada empresa. La implicación de la alta dirección en temas de ciberseguridad es una de las claves que se apuntaron durante el debate para avanzar en este sentido en el ámbito industrial. La ciberseguridad debe ser una función transversal que afecte a cada uno de los departamentos de las empresas industriales ciberseguridad industrial sobre la mesa 22 red seguridad segundo trimestre 2018