Seguritecnia 399

SEGURITECNIA Julio - Agosto 2013 53 Colaboran S i hubo un asistente especial- mente complacido por la irrup- ción de la ciberseguridad indus- trial en el Seg 2 , ése fue Samuel Linares, director del Centro de Ciberseguridad Industrial (CCI), que presenta este mes el “Estudio de la Ciberseguridad Indus- trial en España”. Eulen Seguridad, el pa- trocinador más fiel de este encuentro, al que no ha faltado ni una sola vez, fue el artífice de poner en valor este concepto y relacionarlo con la Seguridad Integral. “En el año 2009, cuando Eulen, Red Se- guridad y Seguritecnia empezamos con esto de la Seguridad Integral, muchos nos llamaban locos”, recordó Ricardo Cañizares Sales, director de Consulto- ría de Eulen Seguridad, que hizo un re- paso de la evolución de su compañía, paralela a la adopción de la conver- gencia en todas las instancias. “En 2010 estábamos seguros de que la Ley PIC ayudaría a impulsar esta idea y no nos equivocamos”, apuntó Cañizares, que definió 2011 como el año en que la inte- ligencia se puso al servicio de la Seguri- dad, integrando capacidades, personas y procedimiensos porque “lo deman- daba la sociedad”. En 2012, Eulen co- menzó a ofrecer una solución a los pro- blemas existentes, que ha evolucionado de la mano de la tecnología hasta llegar a proteger las instalaciones industriales desde una óptica convergente. “La ciberseguridad industrial ha apa- recido en nuestro camino y tuvimos la suerte de que en 2011 ya hubo opera- dores de infraestructuras críticas que confiaron en nosotros”, declaró el inge- niero. A la hora de afrontar la protección de una instalación industrial, uno de los condicionantes que destacó Cañizares es la heterogeneidad tecnológica, donde conviven tecnologías como los últimos sistemas operativos junto a sistemas ma- inframe y aplicaciones Cobol. A este reto, el de entender el “mapa de los sistemas industriales”, se suma el constante peli- gro que supone la actual conectividad: “La información para hacer un ciberata- que industrial está ahí fuera [Internet]”. En este sentido, el portavoz de Eulen ma- nifestó que, aunque con cierto retraso, a la ciberseguridad industrial también le ha llegado su turno. Adaptación y plan de acción Según explicó el ponente, el trabajo de adaptar a las organizaciones menos avanzadas tecnológicamente, es mu- cho más complejo: “Es mejor cambiar primero los sistemas obsoletos. Sucede como con la certificación TAPA (siglas de Transported Asset Protection Association ) de seguridad tradicional, que si la nave no cumple con los requisitos, es preferi- ble irse a otra o construirla de nuevo”. Eulen Seguridad propone una serie de acciones, diferenciadas en función de los medios necesarios para acome- terlas: “Las más básicas son la formación y la concienciación, establecer mecanis- mos de alerta temprana y una buena coordinación”, reveló Cañizares. En segundo término, las “acciones so- bre el terreno” pasan por comprobar el nivel de aislamiento de las instalacio- nes industriales: “Hay que buscar los pa- trones de comportamiento de estos sis- temas, que son diferentes a los de ges- tión”. Según sus palabras, es necesario crear manuales para facilitar configura- ciones seguras de los equipos e “incluir la seguridad como un requisito en el di- seño de estos sistemas”. En una fase más avanzada, asociada a la madurez tecnológica, Ricardo Cañiza- res apuesta por un Sistema de Gestión de Seguridad de la Información (SGSI), pero que entienda las necesidades de la ciberseguridad industrial. “Es esencial una hoja de ruta para seguir avanzado de esta fase”. Eulen sugiere su fórmula: trabajo en equipo y bajo el enfoque de la seguridad privada”. Desde la compañía defienden el tra- bajo coordinado de equipos de especia- listas en cada área. Por ejemplo, Ciber- seguridad Industrial contaría con exper- tos en todo lo concerniente a la materia, más allá de los sistemas SCADA. “Los pro- blemas son parecidos, pero es necesario abordar la seguridad industrial desde un punto de vista diferente a la de gestión”, insistió Cañizares, que aludió a su expe- riencia para apuntalar su conclusión: “En la Armada había dos ramas diferenciadas (sistemas de gestión y sistemas tácticos) y la formación tenía una base común, pero se diferenciaba claramente porque no es lo mismo una aplicación de com- bate que la de hacer la nómina”. Final- mente, el experto invitó a la incorpora- ción de especialistas en ciberseguridad industrial a los equipos de seguridad. S La madurez TIC, requisito obligado para la ciberseguridad industrial Los sistemas de seguridad industrial han vivido en una suerte de aislamiento tecnológico durante décadas. Los ataques dirigidos y la catalogación de estas organizaciones como infraestructuras críticas han dotado de mayor relevancia la ciberseguridad, un área de negocio presente en Eulen Seguridad desde el año 2011. Ricardo Cañizares, director de Consultoría de Eulen Seguridad. INTERVENCIÓN FIRMAS PATROCINADORAS