Table of Contents Table of Contents
Previous Page  43 / 148 Next Page
Information
Show Menu
Previous Page 43 / 148 Next Page
Page Background

SEGURITECNIA

Junio 2017

43

360º

Aeroespacial

yDefensa

Y a ello se añade la existencia de una

serie de "leyendas urbanas", como que

se trata de instalaciones tan específicas

y especializadas que el atacante desiste

debido a su complejidad; que el sistema

está aislado, porque no se conecta a In-

ternet; o que una empresa no puede

ser el objetivo de los cibercriminales

porque tiene poco interés para ellos.

"Todo esto es mentira", subrayó Zubieta.

Para el directivo, la solución es consi-

derar la ciberseguridad como "un pro-

ceso" para que acabe convirtiéndose

"en una característica propia de cada

empresa". De hecho, según comentó,

ya hay servicios y tecnologías maduras

para el entorno industrial. Por ejemplo,

están los "cyber assessments", para te-

ner una foto real de lo que hay; los es-

tándares, para saber dónde colocar las

cosas; y las bases de datos críticas. En

definitiva, resumió, "la transformación

digital es imparable y la ciberseguridad

es un habilitador de esa estrategia".

Integración

Seguidamente, la mesa sobre ciberse-

guridad continuó con la ponencia de

José Valiente

, director del Centro de Ci-

berseguridad Industrial (CCI). Para co-

menzar, indicó que la seguridad de pro-

cesos industriales se aborda mediante

capas de protección, que van desde

los sistemas que controlan lo básico,

como la temperatura, hasta los opera-

dores que monitorizan todo, pasando

por otras tecnologías automáticas que

comprueban si se produce alguna ano-

malía en la instalación. Y si estos siste-

mas fallan, hay otros de mitigación.

Ahora bien, según Valiente, "esto no

es cien por cien eficaz y puede haber

fallos de programación". De hecho, se-

gún algunos estudios, el 35 por ciento

de los errores en la industria química

son a causa del

software

; el 30 por

ciento, por fallos humanos; y el 15 por

ciento, por el

hardware

.

A continuación, el directivo abordó la

situación legal en España que tiene que

ver con la seguridad de procesos. Al res-

pecto, el 21 de septiembre de 2015 se

publicó el Real Decreto 840/2015 de

medidas de control de riesgo de acci-

dentes graves con sustancias peligrosas.

Esto tiene que ver con la normativa eu-

ropea SEVESO III, que obliga a notificar

estos incidentes; a pesar de que, a juicio

del directivo, "hay empresas que no lo

hacen". Y no solo eso. "También tienen

que elaborar una política de prevención

de accidentes graves y presentar un in-

forme para demostrar que se cumple

con el Real Decreto, identificando los fa-

llos que haya podido haber, incluidos

los tecnológicos", afirmó. Esto es im-

portante porque, según comentó Va-

liente, "entre 2010 y 2016 se produjeron

140 accidentes graves en Europa, pero

gracias a esta normativa se están redu-

ciendo poco a poco".

Para finalizar, el directivo expuso un

caso de uso ficticio, pero basado en

hechos reales, sobre una planta de ex-

tracción y tratamiento de petróleo y

gas, en el que explicó algunos de los

incidentes que se pueden producir

si la empresa no asegura adecuada-

mente las instalaciones.

La Directiva NIS

Para finalizar la sesión, intervino

María

Pilar Torres

, directora del área de Ciber-

seguridad de Everis, para hablar de qué

forma afecta la aprobación de la Di-

rectiva NIS en el ámbito industrial. Co-

menzó su intervención repasando los

hechos más destacados hasta la ratifi-

cación de este texto legal, que los Esta-

dos miembros tienen la obligación de

transponer a sus respectivos ordena-

mientos jurídicos.

Precisamente, para examinar el pro-

ceso, el contenido y las medidas de

las transposiciones en los operadores

esenciales se ha creado el Grupo de

Cooperación. "En febrero de 2018, este

equipo tiene que haber desarrollado un

grupo de trabajo para establecer las ac-

ciones que deben emprenderse para al-

canzar los objetivos de la Directiva NIS;

y en noviembre de ese mismo año, to-

dos los operadores de servicios esencia-

les tienen que estar identificados", co-

mentó Torres.

No en vano, el objetivo de la Directiva

es establecer medidas de seguridad que

garanticen un grado común de seguri-

dad de redes y sistemas de la informa-

ción en la UE. "De nada sirve que España

tenga una buena ley con medidas para

proteger sus infraestructuras, si nos co-

nectamos a sistemas de otros países que

no tienen unas medidas adecuadas de

seguridad", puntualizó esta especialista.

Partiendo de esta base, tanto si se trata

de un operador crítico como de un pro-

veedor de servicios digitales, es obliga-

torio cumplir esta normativa. A partir de

ahí, en palabras de Torres, "deberíamos

hacer un análisis completo de riesgos en

nuestra infraestructura", con el fin de "co-

nocer las vulnerabilidades y amenazas

de cada proceso de negocio; así como la

dependencia a otras infraestructuras di-

gitales". Y es que, tal y como resumió la

directiva, "solo cuando estamos protegi-

dos, podemos colaborar con otros siste-

mas en estandarización de procedimien-

tos o intercambio de información".

S

María Pilar Torres (Everis).

360º

José Valiente (CCI).

360º

Seguridad en la Industria

1 38 39 40 41 42 43 44 45 46 47 48 49 148  FlippingBook