Conferencia Anual ISA: Dotar de inteligencia a la seguridad para reducir los riesgos

Casi 35 años después del accidente en la planta plaguicidas de Union Carbide en Bhopal (India), el presidente de ISA Internacional, Paul Gruhn se preguntó cuál será “el siguiente”. Lo hizo durante la Conferencia Anual de la sección española de ISA, Sociedad Española de Automatización, celebrada a inicios de este mes en Madrid.

Gruhn describió cómo se fueron “normalizando” las desviaciones que poco a poco iban aconteciendo en la factoría. Además, una cadena de errores facilitó el desastre: La improvisación, la utilización de materiales que no se debían utilizar, como el caso de una bomba de sello cerámico en lugar de un sello metálico, además de que los trabajadores no llevaban protección respiratoria, y eran constantes los desacuerdos entre los mandos superiores y los operadores.

Una vez se desencadenó la tragedia, el responsable de la planta negó que se tratara de su planta: “El gas no puede venir de nuestra planta. Nuestra tecnología no ha funcionado mal”, recordó Gruhn. La ponencia del presidente de ISA Internacional terminó con una recomendación: “Cuando afrontes un problema, busca maneras de eliminarlo, no de controlarlo”.

Inteligencia de seguridad, por Manuel Carpio (Inerco)

A continuación la jornada se dividió en dos itinerarios. En el primero tomó la palabra Manuel Carpio, consultor senior de Ciberseguridad en Inerco, con la ponencia “Inteligencia de seguridad. Caso práctico en instalaciones complejas”.

Para Carpio el problema actual de las infraestructuras críticas es la “amenaza híbrida” que muchas veces se combina con ataques cibernéticos. "Hoy en día todo el mundo ataca a todo el mundo", destacó. La globalización también llega a las amenazas a las que se enfrentan las compañías.

Este experto en seguridad explicó cómo “cualquiera puede crear un aparato para capturar el wifi y meterse en nuestros sistemas del centro control industrial, está todo en internet”. Y contra esta “amenaza híbrida”, ¿de qué disponen las compañías? “Sistemas de control de industrial que no están preparados para la amenaza, sino para controlar, supervisar las herramientas, pero no para defenderse las actuales amenazas”.

Con la experiencia de haber sido durante casi quince años director de Seguridad de la Información y Prevención del Fraude de Telefónica, Carpio desgranó varios de los casos vividos en primera persona para acabar concluyendo que “la inteligencia en seguridad es la piedra angular de seguridad en la Industria 4.0”.

También subrayó como la fragmentación de las seguridades “es una obsolescencia organizativa que inhibe la eficacia contra nuevas amenazas” y destacó el valor de los departamentos de seguridad “como recursos integrado al servicio del negocio”.

Alerting, por José Antonio Aguado (Void Sistemas)

A continuación, José Antonio Aguado, director de desarrollo de negocio de Void Sistemas, partió del accidente nuclear de Fukushima para señalar: "Aunque hayamos analizando muchas de las variables que pueden ocurrir, nunca pondremos controlarlas todas. La claves es comunicar".

En su ponencia, "Alerting, tecnología necesaria para situaciones de crisis.
Estrategias y herramientas para mejorar las capacidades de respuesta ante una crisis", Aguado explicó que la industria precisa tener tecnología y herramientas fiables para estar preparada frente a eventos como la evacuación de las instalaciones, accidentes, escapes o fugas con riesgo al entorno, realización de simulacros de emergencia, detención en las operaciones, una catástrofe natural,... "Las técnicas de Alerting permiten enviar información en estas situaciones de crisis y coordinar los equipos necesarios para mitigar el riesgo. No podemos evitar las crisis, pero sí podemos estar mejor preparados para afrontarlas", subrayó.

Una de las claves que apuntó Aguado fue cómo manejar riesgos, amenazas y emergencia. Para ellos expuso cinco acciones: “Activar, alertar, medir, analizar y mejorar". De esta manera explicó que debe activarse cualquier alerta configurada en el sistema por los operadores o automáticamente; emitir mensajes de alerta multicanal a los diferentes grupos de destinatarios; monitorizar las alertas controlando el estado de la emisión/respuesta de los usuarios; analizar con informes de control y resultado de las incidencias gestionadas; y finalmente, mejorar la gestión de contactos, canales y planes, con la realización de entrenamientos y simulacros.

Ciberseguridad en sistemas críticos, por Eduardo di Monte (Oylo)

En el segundo itinerario la primera ponencia estuvo a cargo de Eduardo di Monte, CEO de Oylo Trust Engineering, que expuso casos de éxito sobre "Ciberseguridad aplicada a sistemas críticos". Di Monte aseguró que uno de los principales problemas que presentan las compañías a nivel de seguridad en la red, "es la falta de visibilidad en el mundo industrial sobre ciberseguridad. La forma de aplicar la ciberseguridad en el mundo IT es diferente de la del mundo OT”.

"En el mundo OT las amenazas de la ciberseguridad son relativamente nuevas, esto le pasaba al mundo IT hace 15 años", recordó. Además expuso cómo la implantación del 5G va a abrir grandes oportunidades, pero también amenazas en el campo de la ciberseguridad. Y ahondó en la relación directa entre diseño y seguridad: "Hay muchos fallos de diseño que afectan a la ciberseguridad".

Di Monte explicó que es necesaria una resiliencia activa, "disminuir tiempos de detección de amenazas, mejorar la respuesta ante incidentes y finalmente retardar el ataque". En cuanto a implementación de sensores de ciberseguridad, “re requiere un inventario en tiempo real para hacer una gestión de vulnerabilidades, y también es fundamental una segmentación eficiente de redes. El concepto de ciberinteligencia se aplica en la ciberseguridad industrial de forma creciente", apuntó.

Durante su ponencia pudimos ver un ejemplo de red no segmentada, además de comprobar las diferentes amenazas y estrategias de seguridad, en las que enfatizó sobre la segmentación de redes, como una oportunidad para la ciberseguridad. También mostró ejemplos de ataques que pasan del mundo IT a OT, como amenazas de ciberseguridad que empiezan atacando a sistemas IT e intentan pasar a OT (SCADAs, por ejemplo). "El primer paso es dar visibilidad a los sistemas OT de la planta, a continuación monitorear en tiempo real más amenazas, y finalmente dar respuesta efectiva a cualquier ciberataque", señaló.

Fortificación global, por Carlos Marín (Schneider Electric)

“La ciberseguridad debe ser entendida como un plan de mitigación que va a mejorar la productividad de la empresa. Cada hora que para en la planta son costes que impactan en la cuenta de resultados de la empresa”, así comenzó Carlos Marín, Senior Solution Architect de Schneider Electric su conferencia “Fortificación global de negocios industriales”.

“El paradigma de la digitalización que necesita nuestro negocio representa una amenaza a nivel de ciberseguridad”, subrayó para a continuación hablar sobre IT vs OT en términos de seguridad. Marín describió la importancia de la norma IEC62443, que indica cómo segmentar las redes, cómo se comportaran los datos y la información en planta. En ella se establecen varios niveles de seguridad que toda planta debe adoptar: Nivel 1 controladores: Equipos diseñados con ciberseguridad nativa, se basa en la robustez en dispositivos; Nivel 2: Inspección del tráfico en profundidad: Protección perimetral; Nivel 3 y 4: Enlace con entorno empresarial: Separación de redes de control y corporativa.

Marín también habló de la importancia del factor humano dentro de la ciberseguridad, “el punto más débil”, como describió, y aseguró que la formación evita “consecuencias mayores”.

“Todos los fabricantes tenemos vulnerabilidades y ciberamenazas, la diferencia es cómo reaccionan los sistemas ante los ataques. Cada euro invertido en ciberseguridad es un euro invertido en nuestro proceso”, finalizó.

Entrega de premios

José Ignacio Armesto Quiroga recibió el Premio Anual ISA a Profesionales, mientras que el galardón al Patrocinador de Honor fue para la compañía Álava Ingenieros. Después de la entrega de premios se destacó el Programa Mentoring, que se realizado este año por primera vez. Desde la ISA destacaron que los resultados han sido muy positivos. Sólo se subrayó un aspecto 'negativo', la duración del mismo, por eso sus organizadores avanzaron que la próxima edición será más larga.

El objetivo de este programa es asignar a cada estudiante un mentor profesional, en esta primera edición han sido un total de once, para ayudarle a dar el santo entre la universidad y al vida laboral. Iago Vaamonde, estudiante de Ingeniería Química de la Universidad de Santiago de Compostela explicó su experiencia. También lo hizo su mentor, Francisco Díaz-Andreu, delegado ISA y director del Máster de Instrumentación y Control ISA-Repsol.

La sección española de la ISA también anunció la inclusión de una nueva categoría para el próximo año, la de Premio Colaborador Especial de ISA.

Mesa-coloquio sobre ciberseguridad

Una mesa-coloquio sobre la importancia de la seguridad cerró el evento. En ella Carlos Asún, jefe de Seguridad de la Información en Initec, explicó que las piezas que forman la ciberseguridad son muchas y muy complejas: “Ante esto toda la empresa ha de estar unida, hay mucho por hacer, se trata de una carrera de fondo, no de un sprint. La ciberseguridad ha de estar integrada desde la alta dirección, hasta los niveles más bajos de la compañía. La concienciación, la formación, la capacitación y el entrenamiento en ciberseguridad son esenciales”.

Por su parte, Carlos Marín hizo hincapié en la prevención: “He visto plantas de producción paradas por culpa de intrusiones de seguridad. Hay que eliminar la probabilidad que se pueda dar un problema de ciberseguridad en nuestra planta. En el plan de seguridad ha de estar integrada la ciberseguridad”.

David Marco, director de Ciberseguridad Industrial en Accenture, abordó la parte legislativa, recordando que próximamente se va a aprobar un Real Decreto de transposición de la normativa Europea en ciberseguridad, “esta normativa de seguridad va a fijar los estándares de ciberseguridad de deberán seguir las compañías, y prevé sanciones”. También destacó que el cambio de la IP v.4 a la IP v.6 “implica que todo el mundo va a ver a todo el mundo y todo va a ser más automatizable. Hay que incluir a todos los equipos de ciberseguridad ya en la fase de diseño”.

Finalmente, Manuel Carpio ejemplificó lo sencillo que es tener una puerta abierta a los atacantes: “Una gran petrolera de nuestro país ha reconocido que un 80% de sus ataques han venido a través del USB, una buena medida de ciberseguridad sería securizar los puertos USB”