Esta nueva edición ha tenido como eje central la situación actual de la ciberseguridad en la industria latinoamericana, presentándose por primera vez un benchmarking de la situación en Argentina, Brasil, Colombia, Chile, Perú y Uruguay. El congreso ha contado también con importantes expertos que han presentado soluciones y casos de éxito en organizaciones industriales.

Este octavo encuentro se ha celebrado en el Hotel Sol de Oro (Calle San Martín 305 Miraflores, Lima, Perú) los días 7 y 8 de junio, y alrededor del mismo se ha celebrado el 6 de junio un taller con la temática «Aplicando Ciberseguridad en el Ciclo de Vida de un Proyecto de Automatización Industrial». La siguiente crónica ha sido elaborada por Segurilatam,  colaborador de este Congreso.

José Valiente, director del CCI, inició el congreso presentando el objetivo principal del Centro, concienciar sobre los riesgos tecnológicos de la industria, y por ello sus actividades  se centran en compartir experiencias sobre ciberseguridad industrial a través de sus documentos, talleres especializados, cursos, eventos y congresos, como el celebrado en la capital peruana. CCI tiene un alcance internacional con representantes en quince países, de los cuales más de la mitad están en Latinoamérica. Valiente explicó que cuentan con un ecosistema formado por más de 1.200 miembros entre organizaciones industriales, fabricantes e integradores, universidades, expertos en distintos ámbitos de la seguridad, etc.

En el marco de la temática del VIII Congreso Internacional, los coordinadores del Centro de Ciberseguridad Industrial (CCI), Ernesto Landa y Jorge Abanto, coordinadores del CCI en Perú, presentaron algunas de las principales conclusiones del Estudio sobre el estado de la ciberseguridad industrial en Perú 2017. Entre ellas, cabe destacar que el 21 por ciento de las organizaciones consultadas no ha evaluado el nivel de riesgo en sus sistemas de automatización y control o que el 17 por ciento no ha segmentado las redes corporativa e industrial. Pero, acentuaron ambos ponentes, no todo son malas noticias, ya que el 77 por ciento tiene previsto acometer nuevas actividades en el ámbito de la ciberseguridad industrial. Y de cara a potenciar esta última, propusieron, entre otras soluciones, una mayor regulación, ya que, lamentablemente, «en el sector industrial no existe una conciencia real sobre las amenazas».

Seguidamente, César Vílchez, subsecretario de Tecnologías Digitales de la Secretaría de Gobierno Digital, dio a conocer las políticas públicas que se están llevando a cabo en Perú para garantizar la prestación de los servicios esenciales al conjunto de la ciudadanía. Vílchez, advirtió que «hablar de ciberseguridad aplicada a la industria no es algo que pueda materializarse de la noche al día. Es preciso planificar y dedicar recursos económicos a dicho objetivo», al tiempo que mostró el deseo del Gobierno de convertir a Perú en un país industrial. «Y para ser una nación proactiva», precisó, «las tecnologías de la información y la comunicación (TIC) desempeñan un papel muy importante».

Con una perspectiva geográfica más amplia, Claudio Caracciolo, coordinador general para Latam del CCI, presentó a continuación el Estudio sobre el estado de la ciberseguridad industrial en Latinoamérica, elaborado tras consultar a organizaciones de Argentina, Brasil, Colombia, Chile, Perú y Uruguay. «Un informe», advirtió Caracciolo, «que pone de manifiesto que la evaluación del nivel de riesgo en los sistemas de control y automatización es una asignatura pendiente» y destacó que existe un alto nivel de equipos conectados a Internet en la región y que no hay una gestión de incidentes centralizada, algo que se nota en la formación de los CERT.

Ya en calidad de ponente, José Valiente volvió a tomar la palabra, en este caso para ocuparse de un tema tan relevante como la ciberseguridad en el ciclo de vida de un proyecto de automatización industrial, en este caso utilizó como ejemplo un proyecto de automatización en Oil & Gas, poniendo de manifiesto las consecuencias de no contemplar de forma adecuada los requisitos de ciberseguridad. Durante su didáctica intervención, el director del CCI puso especial énfasis en recordar que, llegado el momento de abordar un proyecto de automatización industrial, los retos son muchos y de gran calado (técnicos, económicos, de calidad y de planificación), siendo imprescindible la presencia de un responsable de ciberseguridad encargado de coordinar las actividades de ciberseguridad correctamente.

Para ayudar a las organizaciones en dicha materia, Valiente recomendó el documento Ciberseguridad en el ciclo de vida de un proyecto de automatización industrial, disponible en la sección Publicaciones de la web del CCI, https://www.cci-es.org/publicaciones, también está accesible gratuitamente la guía de bolsillo Ciberseguridad en la pirámide de automatización industrial.

A continuación Claudio Caracciolo, en esta ocasión como responsable de Seguridad de ElevenPaths se refirió a la Herramienta de evaluación de madurez del proceso de ciberseguridad en organizaciones industriales en la introducción de la ponencia titulada Cuando los escaneos no alcanzan. Una intervención en la que se congratuló de la existencia de diferentes libros y documentos dedicados a la ciberseguridad industrial, pero en la que se lamentó de que, a la hora de tener que realizar un escaneo, «se utilicen las herramientas que se emplean para todo». Por ello, animó a emplear soluciones específicas y a poner en práctica políticas como los planes directores de ciberseguridad industrial.

Y antes del almuerzo, Miguel García-Menéndez, vicepresidente del CCI, se encargó de moderar la mesa-debate Marco normativo y de relaciones entre las áreas de sistemas de información y de sistemas de control industrial, en la que tomaron parte Ernesto LandaClaudio Caracciolo y Patrick Miller, embajador del CCI en EEUU y presidente emérito de EnergySec.

Sobre la primera pregunta planteada por Miguel García-Menéndez –¿qué importancia le da usted al componente humano respecto a los riesgos de las tecnologías tanto en un ambiente corporativo como industrial?–, Ernesto Landa opinó que «en el seno de las organizaciones es esencial concienciar a los gerentes y tener el apoyo de la alta dirección. Y para lograrlo es preciso hablar su mismo idioma. Sin duda, la concienciación debe estar ligada al plan estratégico del negocio», significó. Sobre dicho comentario, el moderador recordó que el último documento elaborado por el CCI (Beneficios de la ciberseguridad para las empresas industriales) está orientado, precisamente, a la alta dirección de las empresas.

Por su parte, Patrick Miller estimó que «ciertamente, lo tecnológico es para los humanos. Un humano puede atender muchos requerimientos y la tecnología está ahí, jugando un papel muy importante. Pero nuestras acciones también lo son», resaltó, mientras que Claudio Caracciolo coincidió con Ernesto Landa en que «es vital concienciar y que los distintos departamentos de una organización interactúen».

Además, durante la mesa-debate se abordaron cuestiones como los aspectos de marco normativo interno aplicados en los sistemas de información que también podrían ser beneficiosos para los de control industrial, las principales dificultades con las que se encuentran las organizaciones para lograr el entendimiento entre las áreas de IT y OT y las prioridades de actuación de las organizaciones para integrar ambos departamentos. En relación a esta última, el representante de ElevenPaths insistió en que «las dos partes han de interactuar, conocerse y ponerse de acuerdo».

Ya en horario vespertino, Enrique Domínguez y David Marco, director estratégico de Ciberseguridad y responsable de Ciberseguridad Industrial de Entelgy, respectivamente, ofrecieron una charla sobre la importancia de gestionar adecuadamente los incidentes en el ámbito industrial. El primero realizó una breve introducción sobre la posición de referencia de InnoTec dentro de Entelgy en el sector de la ciberseguridad y su amplia oferta de servicios para todo el ciclo de protección de los sistemas industriales conectados, base de la gestión segura de las infraestructuras críticas.

Y por lo que respecta al segundo, profundizó sobre cómo la prevención, la detección y la gestión efectiva de los incidentes de seguridad en los sistemas industriales garantizan la resiliencia. Marco mostró a los asistentes que las organizaciones mejor preparadas para afrontar los nuevos desafíos y amenazas que presenta el ciberespacio también son más competitivas y capaces de dar respuestas eficaces frente a las situaciones que puedan comprometer su actividad. En el caso de Entelgy, propone «ser flexible» y «no tener soluciones paquetizadas«. Y los moldes quedan de lado, pues cada cliente requiere una personalización de la ciberseguridad.

A continuación Patrick Miller tomó la palabra. El experto estadounidense expuso varias lecciones y desveló algunos mitos. Durante su intervención, el presidente emérito de EnergySec afirmó que no existe tecnología que resuelva los problemas y alegó que existen enemigos en todas partes para los que siempre se debe estar preparado. Y, tal y como defendió en la mesa-debate matinal, argumentó que la intervención humana se hace más importante a medida que las organizaciones incrementan su automatización. Respecto a estas últimas, comentó que tienden a adquirir muchas herramientas que no gestionan adecuadamente y generan más complejidad, cuando lo aconsejable es simplificar la seguridad.

Ya en la recta final, Miguel García-Menéndez se ocupó de algunas normas o marcos regulatorios que han aparecido en Europa en los últimos años y que tienen una vinculación con la ciberseguridad. En primer lugar, el vicepresidente del CCI se refirió a la popularmente conocida como Directiva NIS, «cuyo principal objetivo es lograr un nivel alto y homogéneo de seguridad en las redes y sistemas de información de la Unión Europea». Igualmente, García-Menéndez hizo referencia al nuevo Reglamento Europeo de Protección de Datos, cuya trasposición al ámbito español debe materializarse antes del 25 de agosto de 2018. Y, por último, se refirió al bautizado como ICCF, que pretende convertirse en un marco de referencia articulado que especifique los principios, las actividades y los actores de una evaluación de componentes de una solución de automatización industrial. Entre otros organismos, en la elaboración del ICCF se han implicado el CCI y el Instituto Nacional de Ciberseguridad (Incibe) de España.

Y llegado el momento de hacer balance y extraer algunas conclusiones de la primera jornada, José Valiente consideró oportuno destacar que, tal y como había quedado de manifiesto, «los profesionales de las áreas IT y OT deben entenderse. Y teniendo en cuenta que las empresas van a ser cada vez más atacadas, es preciso implicar a la alta dirección, que ha de ver la ciberseguridad como un seguro».

Un día después, tras dar la bienvenida a los asistentes, el director del CCI cedió la palabra a César Cuadra. El representante de Open-Sec, empresa especializada en realizar evaluaciones de seguridad, llevó a cabo la ponencia De la teoría a la práctica: ‘hacking’ en el mundo industrial para advertir que «es preciso conocer al atacante para saber cómo tenemos que defendernos: existen desde hacktivistas hasta empleados que pueden llegar a ser un auténtico peligro para las organizaciones. Y de la misma manera que hay diferentes tipos de atacantes, los ataques también son muy diversos, desde los oportunistas a los de ingeniería social». Y entre las recomendaciones dirigidas a los presentes, aconsejó ser «muy minuciosos» llegado el momento de realizar pruebas de intrusión a sistemas industriales con el objetivo de evitar daños colaterales.

A continuación, como ejemplo de suma de esfuerzos en el ámbito de la ciberseguridad, José Luis Ríos y Luis Hidalgo, en representación de Radware y Check Point, respectivamente, dieron a conocer la alianza entre ambas empresas israelíes para combatir los ciberataques. La primera, reveló Ríos, está especializada en la mitigación de ataques de denegación de servicio (DoS, por sus siglas en inglés) y, entre otros, ha suscrito un acuerdo de colaboración con Telefónica, compañía de la que Check Point es socio estratégico. Sobre el trabajo que está realizando esta empresa, Hidalgo manifestó que la misma apuesta por las técnicas de sandboxing y alertó del incremento de ciberataques a las organizaciones industriales, especialmente a través de spear phising (correos electrónicos que aparentan ser de una persona o una compañía conocidas).

Pensando en las organizaciones, José Valiente se preguntó si están preparadas para medir su nivel de ciberseguridad. El director del CCI incidió en que es importante evaluarse, ya que ello facilita llegar «hasta la mejora continua». Y como documento de ayuda para lograr dicho fin, hizo referencia a Herramienta de evaluación de madurez del proceso de ciberseguridad en organizaciones industriales, descargable a través de la página web del CCI y de aplicación general a cualquier organización industrial. Además, posibilita establecer comparaciones respecto a terceras entidades. Con un total de 122 objetivos, el documento, explicó Valiente, ya ha sido utilizado para evaluarse por empresas como la petrolera argentina YPF.

A continuación Gabriel Faifman, director de Programas Estratégicos de GE Digital, tomó el relevo con la ponencia Conectividad y riesgo en soluciones de automatización industrial. Una intervención que inició recordando que, hace 20 años, estuvo relacionado con una conocida marca de refrescos global «en la que no se hablaba de seguridad industrial. Ahora, está claro que la conectividad es un riesgo. De hecho, el 78 por ciento de las organizaciones, a nivel mundial, cree que va a ser atacado. Por ello, es necesario prepararse», razonó, al tiempo que calificó de «muy grave» que centros hospitalarios dejasen de prestar servicio debido al ransomware WannaCry. Y teniendo en cuenta que la industria 4.0 es un desafío desde el punto de vista de la ciberseguridad, apostó por la implantación de la serie de estándares IEC 62443, que, entre otras ventajas, también ayuda a que las organizaciones evalúen su nivel de madurez en ciberseguridad.

Algo esencial teniendo en cuenta que muchas de las organizaciones son consideradas críticas y prestan servicios esenciales a la sociedad, recordó Ernesto Landa, en esta ocasión en calidad de coordinador de Seguridad de la Información de la Compañía Operadora de Gas del Amazonas (COGA). Antes de mostrar algunos casos prácticos de ciberataques, este profesional recomendó la lectura del artículo Protección de infraestructuras críticas, obra de Jorge Albarrán y publicado en el número 4 de Segurilatam, ya que en él se pone en valor la importancia de contar con servicios tan básicos en el día a día como la electricidad o el suministro de agua. Después de recordar ciberataques como los sufridos por la petrolera Saudi Aramco en 2012 o una planta energética de Ucrania en 2015, Landa explicó que COGA forma parte del Comité de Ciberseguridad de la Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL).

Igualmente, Ernesto Landa recomendó algunos de los documentos publicados por el CCI, entre los que se encuentra Beneficios de la ciberseguridad para las empresas industriales. El mismo fue analizado por Miguel García-Menéndez, quien, al igual que en la primera jornada, manifestó que con dicho texto «se pretende concienciar a la alta dirección». Según el vicepresidente del CCI, «el documento busca que los CEO tengan conocimientos de ciberseguridad, porque esta última puede contribuir a que suban los ingresos de una compañía. Sin embargo, el 78 por ciento de los consejeros delegados y directores ejecutivos se quejan de la ausencia de noticias de ciberseguridad. Y es preciso cambiar esta situación porque, decididamente, la ciberseguridad es un tema corporativo».

El broche final al VIII Congreso Internacional de Ciberseguridad Industrial en Latinoamérica lo puso una mesa-debate moderada por José Valiente y en la que tomaron parte Jorge AbantoClaudio CaraccioloGabriel Faifman y Ernesto Landa. Preguntado sobre si los responsables del negocio están involucrados en proteger las infraestructuras críticas, Jorge Abanto respondió que, en general, «el compromiso de la alta dirección en Latinoamérica no es el que quisiéramos. Para que eso cambie, los profesionales de distintas áreas tenemos que hacer equipo y llegar a la alta dirección».

El relevo lo tomó Claudio Caracciolo, quien confirmó que «los responsables de las organizaciones no están concienciados sobre los riesgos. Por eso hay pocas inversiones en recursos, en los CERT… Y no se debe esperar a que sucedan cosas o nos regulen para tomar medidas. Es preciso llegar al CEO y hablarle de ciberseguridad con total normalidad». Una opinión compartida por Gabriel Faifman, que, añadió, «además de hablar con la alta dirección también es necesario escuchar».

En cuanto a cuándo debería iniciarse un proceso de ciberseguridad industrial, el representante de GE Digital opinó que «lejos de confiar sólo en que las regulen, las organizaciones han de ser proactivas. Porque la regulación llega cuando han pasado cosas. Por ello, hay que concienciarse antes».

Y por lo que respecta a compartir información entre los operadores de infraestructuras críticas, Jorge Abanto hizo alusión a la confianza –»mientras no exista, no habrá colaboración»–, en tanto que Ernesto Landa apuntó a comunidades como CISO Beat, «donde fomentamos esa confianza y compartimos problemas, soluciones, etc.».

Por último, los cuatro participantes coincidieron en que los proveedores de las organizaciones deben implicarse más en la ciberseguridad y contar con estructuras locales que faciliten una mayor cercanía al cliente.