El pasado 19 de mayo tuvimos la ocasión de asistir al evento “la voz de la industria catalana” dónde disfrutamos de la presencia de profesionales con amplia experiencia en el sector de la Ciberseguridad, y especialmente en la parte industrial, donde Joan Figueres, coordinador del CCI de Catalunya, avanza los primeros resultados del estudio “Coordinación y gestión de incidentes de ciberseguridad de alto impacto en la industria catalana”
Apertura
Como apertura, se nos contextualiza en un escenario donde es preciso entender tres aspectos importantes:
-
- Un gran desastre trae grandes avances: las organizaciones pueden prestar servicios de ciberseguridad de forma deslocalizada.
- La posibilidad de que se den eventos caracterizados como “cisnes negros” es cada vez más alta y su potencial impacto mayor, favorecidos por el hecho de que la digitalización ha crecido de forma exponencial.
- La nueva resiliencia pasa a ser el único camino, no siendo suficiente con recuperarse, sino que es necesario adelantarse al desastre y ser flexibles en los entornos industriales y cadenas de suministro.
En líneas generales, vemos que se pone de manifiesto lo siguiente:
-
- El proceso de digitalización es largo y hay planificarlo desde el principio incluyendo la seguridad desde el primer momento; “no puede ser como el último accesorio que introducimos en la maleta cuando nos vamos de viaje”
- La ciberseguridad de las compañías sigue estando integrada en la parte IT y, cuando se produce un incidente, en una amplia mayoría de los casos no se ha definido el personal necesario para gestionarlo. Buena parte de estas compañías ni siquiera contarán con sistemas de motorización de seguridad para sistemas automáticos industriales.
- La tendencia actual de los ciberataques pone su foco en la cadena de suministro, como señalan desde la Agencia de ciberseguridad de Catalunya, y como queda patente en los recientes ataques a SolarWinds o Quanta.
Todo apunta a que la ciberseguridad industrial es un mercado poco maduro y con un alto potencial. La automatización de respuestas a amenazas todavía está siendo explorada, en un ámbito donde las empresas tienen una gran preocupación por garantizar la cadena de suministro.
Mesa Redonda
Posteriormente tuvo lugar una mesa redonda compuesta por:
-
- Ángel Pérez, CISO Abertis – Autopistas España
- Ramón Serres, Head of information Security and IT office – Almirall
- Emilio anglés, Power Controls and information Systems Manager – Kellogg Company
- Juan José del Río Estévez, Responsable Unitat Seguretat TIC – TMB
En ella se plantean posibles respuestas a preguntas como:
-
- ¿Cuáles son los principales ciberincidentes que preocupan en un entorno de automatización industrial?, destacando los daños a personas mucho más allá de las posibles pérdidas materiales
- ¿Cuáles son los principales riesgos de la ciberseguridad en la integración de redes IT/OT?, destacando la falta de soporte por parte de la alta dirección, la impartición de una adecuada formación y sobre todo no contar con el departamento de OT desde el principio.
- ¿Qué requisitos de ciberseguridad deberían contemplarse en la fase de diseño de todo proyecto de automatización industrial?, donde cabe mencionar la importancia de tener la vista siempre en la seguridad del diseño, de lo contrario se llega tarde con los problemas que ello conlleva, así como la importancia de las personas quienes han de estar no sólo formadas, sino concienciadas tras interiorizar el mensaje).
Retos de la industria catalana en ciberseguridad
En un último panel integrado por profesionales de ACCIÓ, Eurecat, OYTEC, UOC y EIC, se aborda la importancia de las personas y su formación a la hora de superar los retos de la industria catalana para incorporar la ciberseguridad en su digitalización.
Se plantean también los medios para facilitar la ciberseguridad en la cadena de suministro para proyectos de digitalización industrial (limitaciones de acceso en el tiempo, sostenibilidad, ect) y se identificar errores que comenten las organizaciones al abordar el proceso, entre los que destaca la falta de procedimientos o de control de calidad del software.