InfoSecMan Blog

Durante los últimos meses he tenido la oportunidad de participar activamente (como ponente, profesor, chairman…) en diversos eventos internacionales en los que la Ciberseguridad Industrial era un aspecto clave. Desde el Energy & Utilities Cyber Security Summit en Qatar, pasando por el 1er Congreso Español de Ciberseguridad Industrial (del que hemos sido fundadores) en Madrid, el EU-US Open Workshop on Cyber Security of ICS and Smart Grids y The Grand Conference en Amsterdam, o el Oil & Gas Cyber Security Forum en Londres, entre otros, de todas estas reuniones he obtenido conclusiones y experiencias muy valiosas.

En este momento, me viene a la mente el comentario que Miguel Ángel Alarios, Presidente de la Real Academia de Ciencias Físicas, Químicas y Matemáticas, hizo en su presentación en la Conferencia Anual de ISA España (que tuve el honor de clausurar). Decía Miguel Ángel desde su humildad, que él siempre intentaba dar charlas, cursos, etc. para tener la oportunidad de aprender en los turnos de preguntas y ruedas de debate, de todos los asistentes, alumnos, etc.

No puedo estar más de acuerdo. Para mí una de las experiencias más enriquecedoras son las discusiones, debates e intercambio de conocimiento, experiencias y opiniones que habitualmente ocurren en estos eventos, tras las presentaciones, en mesas redondas y también, como no, en los momentos de “relax” delante de unas cervezas, cafés o lo que tercie.

Pues bien, a modo de resumen, quiero compartir con vosotros algunas notas, tal cuál, es decir, como las tomé en su momento, que pueden convertirse fácilmente en conclusiones de muchos de los eventos que os he mencionado y que pueden ser semilla de relexiones mucho más profundas y, con suerte, de nuevos debates y discusiones en los que todos aprendamos unos de otros.

Aquí las tenéis:

– Se tiene constancia de ataques a sistemas SCADA desde 1982, sin embargo, hoy en día estos ataques comienzan a ser públicos en los medios de comunicación y el número de actores interesados en los mismos (por distintas causas) es infinitamente mayor.

– No debes basar tu seguridad en un único punto, medida o capa de protección. Debes utilizar el paradigma de la Defensa en Profundidad para controlar cada uno de los puntos de fallo de tu organización.

– La seguridad a través de la oscuridad, ya no funciona. Necesitamos “ojos”, sensores y medios para saber qué está ocurriendo en nuestra organización, pero también en el mercado, en la tecnología, en los protocolos…

– No podemos separar la Ciberseguridad (security) y la Seguridad Física (safety). Es necesaria una integración entre ambas y existen distintas iniciativas al respecto como el Consorcio LOGIIC o el Grupo de Trabajo 7 de ISA99, por ejemplo.

– A la pregunta de ¿cómo empezar en estos ámbitos?, una de las respuestas válidas podría ser, comprendiendo tu negocio y realizando una aproximación de análisis de riesgos.

– Son necesarias organizacionas a nivel nacional que desarrollen una labor adecuada para mejorar el nivel de protección del país y promuevan el conocimiento necesario en el mundo de la Ciberseguridad Industrial.

– La siguiente generación de sistemas SCADA deberían incluir capacidades de monitorización de Ciberseguridad, y no sólo las correspondientes a aspectos funcionales y operacionales, como lo hacen en la actualidad.

– Las Smart Grid y la Internet de las Cosas (Internet of Things) son dos de los mayores retos en Ciberseguridad e integración a los que nos enfrentamos en el futuro próximo.

– Los usuarios finales deben exigir a sus proveedores requisitos de Ciberseguridad. La Ciberseguridad nunca más es ya una opción, sino una obligación para todos nosotros.

– Por tanto, la Ciberseguridad es un factor que debemos exigir a todos los fabricantes en el diseño de sus dispositivos industriales.

– Los fabricantes de sistemas industriales, de forma general y por ahora, son los grandes ausentes en todos los eventos y encuentros relacionados con la Ciberseguridad Industrial. ¿Por qué? ¿Es una estrategia de comunicación? ¿Quién será el primero en dar un paso firme y público?

– El conocimiento de los ataques ha de ser la base para establecer las defensas.

– La disponibilidad e integridad prevalecen sobre la confidencialidad en los entornos industriales. Hasta ahora, parecía claro que la Disponibilidad era el factor clave, si bien Eric Byres, está introduciendo recientemente su posición, defendiendo que es realmente la Integridad el factor predominante en estos entornos.

– Ninguna solución puntual es infalible y si es tecnológica, aún menos 🙂

– Las buenas prácticas y estándares en Ciberseguridad Industrial son esenciales, pero no suficientes.

– Aunque incluido en la mayor parte de normativas y buenas prácticas, pocas empresas realizan monitorización continua de sus redes y ciberseguridad.

– La tecnología de los sistemas industriales, originalmente propietaria, ha evolucionado. Sin embargo, sus usarios, NO.

– La Ciberseguridad sigue en los sótanos de las empresas y les cuesta llegar a las áreas de negocio y de dirección.

– La Formación y Concienciación son aspectos clave en estos momentos para mejorar la situación en lo que a Ciberseguridad Industrial se refiere.

– Algunos de los aspectos clave de una estrategia de ciberseguridad (también industrial), son la cooperación internacional, la existencia de un plan de acción y el respaldo político y económico.

– La Ciberseguridad es como una orquesta: si queremos escuchar una música agradable y armoniosa, y no un ejercicio de dodecafonismo, necesitaremos contar con los distintos instrumentos que la integran (iniciativas, grupos, organismos, actores, etc.) y que todos sigan una partitura común que enfatice sus fortalezas, siempre dirigidos y coordinados por un actor que tenga la partitura global adecuada.

– El Cumplimiento en muchos casos, se convierte en un acto de Cumplo y Miento (cortesía de Javier Larrañeta ;)). Cumplir una ley o una normativa de seguridad no quiere decir, ni es lo mismo, que estar seguro o protegido.

– La Colaboración P9 es totalmente necesaria: Public-Private-Partnership + Public-Public-Partnership + Private-Private-Partnership

Se me quedan muchas cosas en el tintero, pero sirvan estas como germen de nuevas discusiones y comentarios que nos permitan mejorar el nivel de la Ciberseguridad. Recordad, la Ciberseguridad es un compromiso de todos.