1 27 Table of Contents 29 108

Seguritecnia 396

28 SEGURITECNIA Abril 2013 Ciberseguridad e Infraestructuras Críticas C abía esperar que en una jor- nada sobre Ciberseguridad e Infraestructuras Críticas (IC), los operadores alzasen su voz. Y así fue. En una mesa de reflexión, exposición e in- teresantísimas preguntas abiertas, mo- derada por Ana Borredá, presidenta de Fundación Borredá, y formada por Rep- sol, Iberdrola, Red Eléctrica Española (REE), Telefónica e ISACA Madrid, el CN- PIC dio respuesta a algunas de las in- quietudes de estas compañías, a través de su representante Rafael Pedrera Ma- cías, del servicio de Seguridad Lógica. Alejandro Villar, Chief Information Security Officer (CISO) de Repsol, aplau- dió el acuerdo que han materializado el Ministerio del Interior y el de Industria, Energía y Turismo, ya que supone “ele- var las tecnologías de las IC”. Tras explicar la realidad del sector energético, en general, y la de Repsol, en particular, este directivo evidenció la alta complejidad con la que tienen que lidiar en la gestión de incidentes los equipos de seguridad de este tipo de operadores. Este veterano resaltó la pulcra ta- rea que desarrollan en su firma, tam- bién respecto a lo que a Seguridad con- cierne. “Cumplimos con la LOPD en los más de 30 países en los que estamos, incluso en los que no existe”, puso a modo de ejemplo. Además, la experien- cia en otros lugares les ayuda a avan- zar en el concepto y aplicación de la Se- guridad: “En Canadá nos identificaron como infraestructura crítica y nos die- ron tres meses para mantener reunio- nes y establecer contactos: pudieron ver que teníamos toda la seguridad in- tegrada, más allá de la física y la lógica, incluyendo la medioambiental”. Tomando prestadas las palabras de un anónimo, Villar recordó que “hemos creado un mundo tecnológico inseguro” y, respecto a la protección de IC, aseguró que, a día de hoy, las áreas de Corporate IT, Industrial IT y Control & Automation En- gineering están interrelacionadas en los distintos niveles de los conjuntos de acti- vidad del proceso. Por ello considera im- prescindible que las organizaciones im- planten estándares como ISA 95, para la integración y control de los sistemas de las empresas industriales, con el que se definen niveles de control de procesos, de actividades, de sistemas y de recursos. Nivel de especialización Alejandro Villar fue rotundo al expre- sar las expectativas que tanto él como su compañía tienen depositadas en la colaboración CNPIC e Inteco: “En Rep- sol esperamos tener claro el nivel de es- pecialización del personal de Inteco en materia de Sistemas de Control Indus- trial (SCI), y también nos gustaría cono- cer cómo van a gestionar toda la infor- mación de todos los CERT para compar- tirla. Pedimos inteligencia: que nos den información que no sale en los periódi- cos; que nos aporten valor”. Así pues este CISO: aceptó de buen grado “el face to face” que ofreció CN- PIC e Inteco a los operadores; solicitó una definición clara de la información a compartir; demandó la presencia de los fabricantes de SCI en este tipo de fo- ros especializados y de colaboración, puesto que “juegan un papel funda- mental”; requirió ejercicios de simula- ción, “pero con instituciones, no con consultoras”; y reclamó que se pongan en común las lecciones aprendidas. Rafael Pedrera Macías, del CNPIC, tomó la palabra: “La gestión de la infor- mación y el miedo a compartirla es un temor que tiene todo el mundo, pero a nosotros lo que nos interesa es la infor- mación técnica: cómo ha sido un ata- que, de qué manera se ha producido el incidente, la muestra, el análisis…”, aclaró. Respecto a la inteligencia, Pe- drera contestó que en CNPIC están es- tudiando la vía –en línea con Estados Unidos- de compartir información clasi- ficada con operadores críticos, por me- dio de acuerdos bilaterales. Y coincidió plenamente en la puesta en marcha de mesas de colaboración, así como en las demás propuestas. Por su parte, Ana María Anca Ramos, directora del Sistema de Gestión de la Energía de Red Eléctrica Española (REE), explicó la visión de su compañía sobre ciberseguridad y gestión de inciden- tes y cómo se plantean la nueva inte- racción con el CERT-IC: “Aplicamos a la ciberseguridad principios de continui- dad de servicio”. Anca aseguró que en REE se toman “muy en serio la ciberse- guridad” y, por ello, han creado: un área especializada en ciberseguridad; pla- nes directores para los sistemas de con- trol de energía, con análisis de riesgos y planes de actuación; un manual interno de Seguridad; programas de sensibiliza- ción de los empleados; establecimiento de sistemas de monitorización y corre- lación de eventos de los dispositivos de seguridad periféricos e internos, etc. “Sabemos que la visión de la Seguridad tiene que ser global”, confirmó Ana Ma- ría Anca. MESA REDONDA: LA VISIÓN DEL OPERADOR Alejandro Villar, de Repsol. Los operadores críticos alzan su voz Rafael Pedreras, de CNPIC.

RkJQdWJsaXNoZXIy MTI4MzQz