Table of Contents Table of Contents
Previous Page  26 / 84 Next Page
Information
Show Menu
Previous Page 26 / 84 Next Page
Page Background

Ahora bien, en ese proceso, pue-

den surgir complicaciones, en tanto

en cuanto hay una dependencia muy

grande de los fabricantes y de los

sistemas que ya llevan funcionando

muchos años. "Esto provoca que el

cliente no sea autónomo en la toma

de decisiones y tenga que consultar

con el fabricante", explicó el directivo.

Y a ello se añade la existencia

de una serie de "leyendas urbanas",

como que se trata de instalaciones

tan específicas y especializadas que

el atacante desiste debido a su com-

plejidad; que el sistema está aislado,

porque no se conecta a Internet; o

que una empresa no puede ser el

objetivo de los cibercriminales porque

tiene poco interés para ellos. "Todo

esto es mentira", subrayó Zubieta.

Para el directivo, la solución es

considerar la ciberseguridad como

"un proceso" para que acabe convir-

tiéndose "en una característica propia

de cada empresa". De hecho, según

comentó, ya hay servicios y tecnolo-

gías maduras para el entorno indus-

trial. Por ejemplo, están los "cyber

assessments", para tener una foto

real de lo que hay; los estándares,

para saber dónde colocar las cosas; y

las bases de datos críticas. En definiti-

va, resumió, "la transformación digital

es imparable y la ciberseguridad es un

habilitador de esa estrategia".

Caso de uso de integración

Seguidamente, la mesa sobre ciberse-

guridad continuó con la ponencia de

José Valiente, director del Centro de

Ciberseguridad Industrial (CCI). Para

comenzar, indicó que la seguridad

de procesos industriales se aborda

mediante capas de protección, que

van desde los sistemas que controlan

lo básico, como la temperatura, hasta

los operadores que monitorizan todo,

pasando por otras tecnologías auto-

máticas que comprueban si se produ-

ce alguna anomalía en la instalación. Y

si estos sistemas fallan, hay otros de

mitigación.

Ahora bien, según Valiente, "esto

no es cien por cien eficaz y puede

haber fallos de programación". De

hecho, según algunos estudios, el 35

por ciento de los errores en la indus-

tria química son a causa del

software

;

el 30 por ciento, por fallos humanos;

y el 15 por ciento, por el

hardware

.

A continuación, el directivo abordó

la situación legal en España que tiene

Precisamente, para examinar el

proceso, el contenido y las medidas

de las transposiciones en los ope-

radores esenciales se ha creado el

Grupo de Cooperación. "En febrero

de 2018, este equipo tiene que haber

desarrollado un grupo de trabajo

para establecer las acciones que

deben emprenderse para alcanzar

los objetivos de la Directiva NIS; y en

noviembre de ese mismo año, todos

los operadores de servicios esencia-

les tienen que estar identificados",

comentó Torres.

No en vano, el objetivo de la

Directiva es establecer medidas de

seguridad que garanticen un grado

común de seguridad de redes y

sistemas de la información en la UE.

"De nada sirve que España tenga

una buena ley con medidas para

proteger sus infraestructuras, si nos

conectamos a sistemas de otros

países que no tienen unas medidas

adecuadas de seguridad", puntualizó

esta especialista.

Partiendo de esta base, tanto si se

trata de un operador crítico como de

un proveedor de servicios digitales,

es obligatorio cumplir esta normativa.

A partir de ahí, en palabras de Torres,

"deberíamos hacer un análisis com-

pleto de riesgos en nuestra infraes-

tructura", con el fin de "conocer las

vulnerabilidades y amenazas de cada

proceso de negocio; así como la

dependencia a otras infraestructuras

digitales". Y es que, tal y como resu-

mió la directiva, "solo cuando esta-

mos protegidos, podemos colaborar

con otros sistemas en estandariza-

ción de procedimientos o intercam-

bio de información".

que ver con la seguridad de proce-

sos. Al respecto, el 21 de septiembre

de 2015 se publicó el Real Decreto

840/2015 de medidas de control de

riesgo de accidentes graves con sus-

tancias peligrosas. Esto tiene que ver

con la normativa europea SEVESO III,

que obliga a notificar estos incidentes;

a pesar de que, a juicio del directivo,

"hay empresas que no lo hacen". Y no

solo eso. "También tienen que elaborar

una política de prevención de acciden-

tes graves y presentar un informe para

demostrar que se cumple con el Real

Decreto, identificando los fallos que

haya podido haber, incluidos los tec-

nológicos", afirmó. Esto es importan-

te porque, según comentó Valiente,

"entre 2010 y 2016 se produjeron 140

accidentes graves en Europa, pero

gracias a esta normativa se están

reduciendo poco a poco".

Para finalizar, el directivo expuso un

caso de uso ficticio, pero basado en

hechos reales, sobre una planta de

extracción y tratamiento de petróleo y

gas, en el que explicó algunos de los

incidentes que se pueden producir

si la empresa no asegura adecuada-

mente las instalaciones.

La Directiva NIS en la industria

Para finalizar la sesión, intervino María

Pilar Torres, directora del área de

Ciberseguridad de Everis, para hablar

de qué forma afecta la aprobación de

la Directiva NIS en el ámbito industrial.

Comenzó su intervención repasando

los hechos más destacados hasta la

ratificación de este texto legal, que los

Estados miembros tienen la obliga-

ción de transponer a sus respectivos

ordenamientos jurídicos.

Más de 500 personas acudieron a estas jornadas en las que, durante dos días, se

abordó la seguridad industrial desde diferentes perspectivas.

jornada

noticias

26 red seguridad segundo trimestre 2017

1 21 22 23 24 25 26 27 28 29 30 31 32 84  FlippingBook