​“Existe una relación directa entre ciberseguridad y competitividad industrial"

El objetivo básico de la ciberseguridad debe ser garantizar la operatividad de la empresa de la forma más segura posible, encontrando un equilibrio entre la gestión de inversiones en base a riesgos de negocio y los requerimientos regulatorios. Hablamos con Jorge Sanz, profesor de U-tad (Centro Universitario de Tecnología y Arte Digital) y responsable de Ciberamenazas de PagoNxt, del Grupo Santander.

Revista PQ.- ¿Cuáles son los tres pilares fundamentales para aplicar la ciberseguridad en la empresa?

Jorge Sanz.- Hay tres pilares fundamentales para aplicar la ciberseguridad en la empresa y conseguir el objetivo: tecnología, que ayuda a la automatización de la actividad, procedimientos,que facilitan el manejo de la tecnología, además de asegurar unas buenas prácticas, y personas, quienes practican la ciberseguridad muchas veces basándose en los otros dos pilares. 

“La práctica de la ciberseguridad es un maratón, no un sprint”

Los tres tienen la misma importancia, aunque la tecnología siempre es la referencia por lo que procedimientos y personas quedan en un segundo plano, lo que es un error importante y dificulta todo el proceso.

Revista PQ.- ¿Cómo ha evolucionado la ciberseguridad industrial en la última década?

J.S.- Ha sido una evolución fuerte. Y el reto era, y sigue siendo, importante. La interconexión de los sistemas OT a la red ha implicado una serie de cambios de mentalidad respecto a la seguridad que hace años no estaban presentes, como la segmentación de redes, el control de los dispositivos, conexiones no controladas con proveedores, reducción al mínimo de las cuentas de usuario genéricas... 

Siempre ha habido una estanqueidad importante entre los mundos IT y OT, sobre todo cuando el foco estaba puesto en las diferencias entre ellos. Ahora la visión se está centrando más en los elementos comunes, se trata de adaptar la operativa teniendo en cuenta los matices que marcan diferencias para elevar el nivel de madurez y de seguridad. Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta.

Revista PQ.- ¿Cómo cree que lo hará en los próximos años?

J.S.- La práctica de la ciberseguridad es un maratón, no un sprint; se suma que es líquida, muy variable, con lo que hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías.

“Las áreas de ingeniería y seguridad deben trabajar de la mano para alinear la actividad y la estrategia de forma conjunta” 

En los próximos años habrá que seguir consolidando los equipos de ciberseguridad donde aún no lo estén, trabajando en esa adaptación para poder gestionar todos los riesgos a los que la empresa esté expuesta, para lo que será imprescindible que las áreas de negocio y ciberseguridad estén muy alineadas respecto a estrategias y presupuestos.

Revista PQ.- ¿Qué relación tiene la ciberseguridad con la competitividad industrial?

J.S.- Personalmente, creo que hay una relación directa. Cuanto más seguros sean nuestros procesos de negocio, no voy a decir que está garantizado que no habrá un incidente (eso no es posible), pero sí se estará mejor preparado para su contención (el impacto será más limitado), se reducirá el tiempo y el coste de la recuperación y se incrementará la confianza de todas las partes, tanto externas (clientes, proveedores...) como internas (otros departamentos, la dirección...).

Revista PQ.- ¿Qué nivel de mentalización tienen las empresas españolas respecto a su importancia?

J.S.- No tengo datos para afirmar si es mucho o poco, pero en mí experiencia, sin duda, esa mentalización se va incrementando año a año. 

“Hay que hacer constantes adaptaciones a las nuevas amenazas y tecnologías”

El hecho de que la ciberseguridad esté ahora presente en medios de información generalistas, que sea tema de conversación fuera de los círculos tradicionales, ayuda a dar visibilidad y, como consecuencia, que se tenga más en cuenta dentro de las estrategias de las empresas.

Ciertas regulaciones, ya sean internacionales (IEC 62443), europeas (NISv2) o de mercado (TISAX), también hacen su papel.

Revista PQ.- ¿Qué país es actualmente referencia en este ámbito?

J.S.- No tengo datos para poder contestar a la pregunta, pero sí puedo afirmar, basándome en el número de eventos sobre seguridad que hay en España, la participación, tanto de ponentes como de asistentes, y en el nivel de las temáticas que se tratan, que tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras.

Revista PQ.- ¿Qué consecuencias tiene un incidente en el entorno industrial a nivel de ciberseguridad?

J.S.- Dentro del sector industrial, la disponibilidad de los sistemas es crítica para poder continuar con los procesos productivos. El impacto es variable y se suele medir en dimensiones principales:

. Económica, incluyendo tanto el coste de la recuperación como el lucro cesante.

. Reputacional, influye mucho el tipo de ataque del que se haya sido objeto.

. Regulatorio, el ejemplo más claro es cuando hay filtración de datos personales por la RGPD.

Revista PQ.- ¿Se pueden eliminar completamente los riesgos de un ciberataque?

J.S.- La respuesta corta es fácil: no. Se suele decir que en la gestión de riesgos hay 4 actividades fundamentales:

. Aceptación: el riesgo es inherente a la propia existencia del activo/servicio/proceso que se quiera ejecutar

. Mitigación: suele ser el siguiente paso después de la aceptación, que es ver cómo mitigar el riego, reducirlo al máximo.

. Eliminación: en ocasiones, el riesgo al que se expone la empresa no compensa respecto al beneficio de la medida/funcionalidad que se quiere implementar con lo que, al no hacerse, el riesgo desaparece.

. Traspaso: el ejemplo más claro de este son los seguros.

Revista PQ.- ¿Qué normativa existe al respecto?, ¿cree que es completa o en su opinión debería actualizarse?, ¿por qué?

J.S.- Hay normativa, algunas generalistas como la ISO 27001, que proporciona unas directrices genéricas sobre varios controles para asegurar la confidencialidad, integridad y disponibilidad de los sistemas/servicios/procesos de negocio. O la IEC62443, que se centra más en los ámbitos industriales para lograr una implementación segura de éstos, TISAX es una normativa específica del sector de la automoción, que entra muy en detalle en cómo implementar un control de seguridad, con parámetros medibles, para la evaluación final. 

“En España tenemos talento de sobra para poder diseñar, gestionar e implementar las medidas de seguridad necesarias, tanto actuales como futuras” 

Dependiendo del nivel de detalle que se desarrolle, será necesario que se actualice de forma periódica. Como se dijo anteriormente, el mundo de la ciberseguridad cambia deprisa y debe adaptarse a las nuevas tecnologías, amenazas y riesgos que van surgiendo por la evolución natural del negocio.

Revista PQ.- ¿Qué proyectos tienen actualmente entre manos?

J.S.- El área de la ciberseguridad tiene una demanda muy grande y hay muchos profesionales que están trabajando y buscan especializarse o actualizarse en las últimas novedades y tecnologías. Es por eso que desde U-tad para este curso académico hemos decidido lanzar en modalidad online el ‘Máster FP en ciberseguridad’, del cual soy profesor, para de esta forma, ofrecer una formación más flexible y satisfacer así esta necesidad del mercado laboral.