La ciberseguridad pasa primero por la concienciación y la formación de personal

“Lo fundamental es  trabajar juntos e inyectar la ciberseguridad desde el diseño hasta la construcción y operación de cualquier proyecto”, ha afirmado el experto Samuel Linares en una jornada organizada por el Basque Cybersecurity Centre (BCSC) y el Grupo SPRI

El director del Grupo SPRI, Alex Arriola, anuncia la apertura del primer programa de ayudas dirigido a la ciberseguridad Industrial

“Para nosotros, la seguridad es el protagonismo activo de todo el negocio. No nos queda otro remedio”, ha aseverado Juan Bosco, director de sistemas de información de Batz

La ciberseguridad en el sector industrial vasco va calando pero queda aún un largo camino, Una de las claves para su implantación es la concienciación y la formación de los empleados, según se ha constatado en el Congreso IndusSec2018 organizado por Basque Cybersecurity Centre (BCSC) y el Grupo SPRI con el objetivo de llevar a cabo un intercambio de ideas, experiencias y casos de éxito de la ciberseguridad en entornos industriales.

“Lo fundamental es  trabajar juntos, conseguir la máxima visibilidad de nuestras infraestructuras e inyectar la ciberseguridad desde el diseño a la construcción y operación de cualquier proyecto”, ha afirmado Samuel Linares, de Ihacklabs, en la jornada celebrada en la sede de Ideo-Orona en Hernani.

El congreso ha sido abierto por el director general del Grupo SPRI, Alex Arriola, quien ha anunciado la apertura del primer programa de ayudas dirigido a la ciberseguridad Industrial y más concretamente a proyectos que aborden la convergencia e integración de los sistemas de protección ante ciberataques para entornos IT/OT (Information Technology/Operational Technology) en empresas industriales manufactureras. Este programa está dotado este año con 600.000 euros y financiará el 50% de los gastos e inversiones destinadas a hardware, software y gastos de consultoría y/o ingeniería con un límite de subvención de 18.000 euros por proyecto. “La ciberseguridad es transversal y cada vez coge más fuerza. Va a venir masivamente como producto para la empresa o porque el cliente nos va a obligar”, ha apuntado el director general del Grupo SPRI. Javier Diéguez, director del BCSC, también ha intervenido en el congreso y ha apuntado que el nuevo centro, además de ofrecer este servicio, quiere ayudar a las empresas vascas para que se incorporen a este nuevo nicho de mercado.

El experto Samuel Linares ha aseverado que la protección no debe limitarse solo a las organizaciones empresariales sino también al ecosistema, “porque un impacto en una infraestructura crítica (como la energía o el agua)  tiene un efecto devastador”. Ha añadido que la ciberseguridad “es una de las patas de nuestra protección, junto a la seguridad laboral y medioambiental, la física y la de operación” y que para cualquier avance en este campo de la protección “es imposible actuar solo. Las personas son la clave. Hay un déficit enorme de profesionales formados”.

Ha considerado como fundamental  el trabajo conjunto, conseguir la máxima visibilidad de las infraestructuras e inyectar la ciberseguridad desde el diseño a la construcción y operación de cualquier proyecto. “Cuanto antes incluyamos la ciberseguridad más dinero ahorraremos. Hay que formar y entrenar las personas”, ha insistido.

La recomendación  a cualquier empresa lanzada por Linares “para mañana mismo” es establecer un grupo de trabajo de ciberseguridad industrial, cambiar el pensamiento de reactivo a proactivo y darle el mismo peso que a la seguridad laboral o medioambiental. Y en los próximos meses, “desarrollar una estrategia,  realizar un plan y establecer una oficina de ciberseguridad industrial”.

Edorta Echave, consultor e ingeniero de cibertseguridad industrial de Innotec System, ha incidido en la comunión entre los equipos de gestión y producción de las empresas industriales, tradicionalmente sin apenas conexión mutua. “La seguridad industrial necesita equipos interdisciplinares” entre los dos equipos.

Ha resaltado que las empresas deben ver la necesidad de minimizar los riesgos y éstos deben estar adaptados a cada sector. “No puedes poner el mismo plan de seguridad en una empresa de automoción y en una petroquímica. Primero las empresas deben concienciarse, luego formar a personas  y que vean los beneficios de aplicar la ciberseguridad”.

«Una nueva era»

Ignacio Álvarez, director de ciberseguridad industrial de Siemens, también ha comentado la necesaria colaboración entre los equipos de gestión y de producción de las empresas industriales. “Estamos en una nueva era, la industria 4.0, con nuevos modelos de negocio y en el que las máquinas no serán compradas sino alquiladas, con un pago por cesión y uso, pero estarán comunicadas, por lo que es necesaria la ciberseguridad”. Sobre las amenazas, ha indicado que “solo queda la concienciación y formación de todo el personal. Ahora no funciona el lema de que si algo funciona, no lo toques. Si funciona pero no es seguro, no hemos acabado porque tendremos más problemas en el futuro”.

Ha recomendado que el hardware y el software de las empresas estén fabricados “desde el principio pensando en la ciberseguridad. Aparecerán vulnerabilidades, por lo que la ciberseguridad es un ciclo continuo”.

El congreso ha tenido asimismo una mesa redonda para valorar si las empresas vascas están preparadas para hacer frente a las amenazas de ciberseguridad, en la que han participado David Imizcoz de Nextel; Hugo Llanos de LKS; Mikel Díaz de Arcaya de Jakincode; Alvaro Fraile de ITS; Iñaki Eguia de RKL Integral y Elyoenai Egozcue de S21sec.

Los participantes han apuntado que se debe abordar una transformación clara en las grandes empresas y que la estrategia de dar miedo “tiene que ser contenida, hay que asesorar a identificar el riesgo real”. Los ponentes han coincidido en que la puesta en marcha  de ciberseguridad en las empresas es  complicada, porque no tienen un diagnóstico de cómo están. “Tiene que haber una coordinación en toda la empresa y que tengan interiorizada la ciberseguridad como una pata del negocio”, han señalado antes de referirse a que “hay bastante margen de mejora pero las empresas que están  saliendo del internet de las cosas ya ven en la seguridad nichos de negocio”.

Juan Bosco, director de sistemas de información de Batz, ha afirmado que su compañía encargó una auditoria, que detectó la falta de un plan de seguridad ante un ataque y el escaso presupuesto destinado. “Pero teníamos bien identificados los riesgos y la protección. Y otro punto fuerte era que la dirección está totalmente involucrada en la ciberseguridad”.

Bosco, quien ha revelado que en 2017 aprobaron un código de conducta que incluía la protección de la información, se ha referido a las acciones implementadas en la compañía, como la capacitación del personal, alianzas con startups relacionadas con la seguridad o el encriptado de todos los ordenadores de la empresa. “Queremos llegar a que la ciberseguridad esté al inicio de cualquier proyecto: pasar de defendernos a ser proactivo para que las amenazas no se produzcan. Para nosotros, la seguridad es el protagonismo activo de todo el negocio. No nos queda otro remedio”.

Una máxima prioridad

José Luis Corona, manager  IT de Betapack, que fabrica 15 millones de tapones de plástico al día, ha señalado que ya nadie de la empresa puede introducir un USB en su ordenador. Ha señalado que, como las plantas no pueden detenerse, la implantación de una mayor seguridad en Betapack requirió más tiempo. Como otros ponentes, ha asegurado que el principal mecanismo de seguridad es la concienciación.

Jorge Eskoin, director de Sistemas de Euskotren, ha revelado que la compañía vasca de ferrocarriles ha realizado auditorias técnicas de seguridad y ha aplicado tecnologías basadas en inteligencia artificial que detectan anomalías. Ha señalado que el hackeo ha llegado a los trenes, como los ataques sufridos por el tranvía en Polonia, el tren en el Reino Unido o el metro en San Francisco.

“La ciberseguridad debe ser de prioridad máxima”, ha señalado antes de incidir en la educación de los usuarios y la protocolización de los incidentes.

Javier Jarauta, director de la consultora SIA, ha incidido en que se tiene que tener una visión integral de la ciberseguridad en toda la empresa, ha recomendado realizar auditorías independientes y la concienciación debe ser prioritaria “en los niveles altos de la dirección pero con el resto de los trabajadores debe haber persuasión”.