1 42 Table of Contents 44 148

seguritecnia 443

SEGURITECNIA Junio 2017 43 360º Aeroespacial yDefensa Y a ello se añade la existencia de una serie de "leyendas urbanas", como que se trata de instalaciones tan específicas y especializadas que el atacante desiste debido a su complejidad; que el sistema está aislado, porque no se conecta a In- ternet; o que una empresa no puede ser el objetivo de los cibercriminales porque tiene poco interés para ellos. "Todo esto es mentira", subrayó Zubieta. Para el directivo, la solución es consi- derar la ciberseguridad como "un pro- ceso" para que acabe convirtiéndose "en una característica propia de cada empresa". De hecho, según comentó, ya hay servicios y tecnologías maduras para el entorno industrial. Por ejemplo, están los "cyber assessments", para te- ner una foto real de lo que hay; los es- tándares, para saber dónde colocar las cosas; y las bases de datos críticas. En definitiva, resumió, "la transformación digital es imparable y la ciberseguridad es un habilitador de esa estrategia". Integración Seguidamente, la mesa sobre ciberse- guridad continuó con la ponencia de José Valiente , director del Centro de Ci- berseguridad Industrial (CCI). Para co- menzar, indicó que la seguridad de pro- cesos industriales se aborda mediante capas de protección, que van desde los sistemas que controlan lo básico, como la temperatura, hasta los opera- dores que monitorizan todo, pasando por otras tecnologías automáticas que comprueban si se produce alguna ano- malía en la instalación. Y si estos siste- mas fallan, hay otros de mitigación. Ahora bien, según Valiente, "esto no es cien por cien eficaz y puede haber fallos de programación". De hecho, se- gún algunos estudios, el 35 por ciento de los errores en la industria química son a causa del software ; el 30 por ciento, por fallos humanos; y el 15 por ciento, por el hardware . A continuación, el directivo abordó la situación legal en España que tiene que ver con la seguridad de procesos. Al res- pecto, el 21 de septiembre de 2015 se publicó el Real Decreto 840/2015 de medidas de control de riesgo de acci- dentes graves con sustancias peligrosas. Esto tiene que ver con la normativa eu- ropea SEVESO III, que obliga a notificar estos incidentes; a pesar de que, a juicio del directivo, "hay empresas que no lo hacen". Y no solo eso. "También tienen que elaborar una política de prevención de accidentes graves y presentar un in- forme para demostrar que se cumple con el Real Decreto, identificando los fa- llos que haya podido haber, incluidos los tecnológicos", afirmó. Esto es im- portante porque, según comentó Va- liente, "entre 2010 y 2016 se produjeron 140 accidentes graves en Europa, pero gracias a esta normativa se están redu- ciendo poco a poco". Para finalizar, el directivo expuso un caso de uso ficticio, pero basado en hechos reales, sobre una planta de ex- tracción y tratamiento de petróleo y gas, en el que explicó algunos de los incidentes que se pueden producir si la empresa no asegura adecuada- mente las instalaciones. La Directiva NIS Para finalizar la sesión, intervino María Pilar Torres , directora del área de Ciber- seguridad de Everis, para hablar de qué forma afecta la aprobación de la Di- rectiva NIS en el ámbito industrial. Co- menzó su intervención repasando los hechos más destacados hasta la ratifi- cación de este texto legal, que los Esta- dos miembros tienen la obligación de transponer a sus respectivos ordena- mientos jurídicos. Precisamente, para examinar el pro- ceso, el contenido y las medidas de las transposiciones en los operadores esenciales se ha creado el Grupo de Cooperación. "En febrero de 2018, este equipo tiene que haber desarrollado un grupo de trabajo para establecer las ac- ciones que deben emprenderse para al- canzar los objetivos de la Directiva NIS; y en noviembre de ese mismo año, to- dos los operadores de servicios esencia- les tienen que estar identificados", co- mentó Torres. No en vano, el objetivo de la Directiva es establecer medidas de seguridad que garanticen un grado común de seguri- dad de redes y sistemas de la informa- ción en la UE. "De nada sirve que España tenga una buena ley con medidas para proteger sus infraestructuras, si nos co- nectamos a sistemas de otros países que no tienen unas medidas adecuadas de seguridad", puntualizó esta especialista. Partiendo de esta base, tanto si se trata de un operador crítico como de un pro- veedor de servicios digitales, es obliga- torio cumplir esta normativa. A partir de ahí, en palabras de Torres, "deberíamos hacer un análisis completo de riesgos en nuestra infraestructura", con el fin de "co- nocer las vulnerabilidades y amenazas de cada proceso de negocio; así como la dependencia a otras infraestructuras di- gitales". Y es que, tal y como resumió la directiva, "solo cuando estamos protegi- dos, podemos colaborar con otros siste- mas en estandarización de procedimien- tos o intercambio de información". S María Pilar Torres (Everis). 360º José Valiente (CCI). 360º Seguridad en la Industria

RkJQdWJsaXNoZXIy MTI4MzQz