11/02/2020
Automática e Instrumentación
Entrevista a José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE
“Hace falta mucha más concienciación en ciberseguridad, tanto a nivel gerencial como operativo”
José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE. José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE.
José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE) expone en esta entrevista cuáles son las amenazas a las que se enfrenta la industria y qué pasos debe seguir para crear una estrategia completa y adecuada.

Automática e Instrumentación: ¿Qué es INCIBE? ¿De quién depende y a quién dirige principalmente sus servicios y capacidades?

José Manuel Roviralta: El Instituto Nacional de Ciberseguridad de España (INCIBE) es una sociedad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, consolidada como una entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación, profesionales, empresas y especialmente para sectores estratégicos.

AeI: En qué consiste el programa Activa Ciberseguridad promovido por el ministerio de industria desde la iniciativa Industria Conectada 4.0 y cómo participa INCIBE?

J.M.R.: Activa Ciberseguridad es un programa piloto de Innovación en Ciberseguridad de la pyme impulsado por la Secretaría General de Industria y de la pyme en el marco de la Estrategia de Industria Conectada 4.0.

El programa en concreto busca mejorar el nivel de ciberseguridad de las empresas a través de una serie de fases en las cuales, con la ayuda de expertos, evalúan su nivel actual de ciberseguridad, sus medidas de seguridad y cómo implantar otras o mejorar las existentes.

El papel de INCIBE en el programa es el de colaborar en una iniciativa interministerial como esta, a través de las herramientas de diagnóstico disponibles para empresas, así como los materiales publicados y que le pueden permitir mejorar su ciberseguridad. Además, ponemos a su disposición la línea telefónica gratuita de ayuda en ciberseguridad: 900 116 117 (próximamente 017).

AeI: Hoy en día, con la creciente transformación digital de las empresas en su camino hacia la denominada industria 4.0, ¿qué papel juega la ciberseguridad industrial?

J.M.R.: La ciberseguridad debe formar parte dentro del proceso de desarrollo, siendo de este modo un pilar más sobre el que apoyarse.
Por lo tanto, juega un papel fundamental en la transformación digital de las empresas, y aquellas que lo ignoren o lo dejen de lado podrán encontrarse en un futuro con dificultades en el mercado. Y en el mundo industrial y la industria 4.0, aunque tiene características propias que deben resolverse, ya que los elementos IoT pueden carecer de aspectos importantes para la ciberseguridad, debe contemplarse la ciberseguridad como una característica más de la digitalización y su transformación.

AeI: ¿A qué tipo de amenazas informáticas es vulnerable la industria?

J.M.R.: Desde el CERT de INCIBE, el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y empresas privadas, donde se analizan las diferentes amenazas de ciberseguridad y muy especialmente, las ligadas a la industria y a los Sistemas de Control Industrial, se publica anualmente un resumen de las amenazas y su evolución en el ámbito industrial.

Intentando resumir mucho el análisis de las amenazas referentes a 2019 podemos indicar que muchas están relacionadas con errores y fallos de programación en el firmware, aspectos como desbordamientos de búfer, gestión de parámetros de manera incorrecta o fallos en el control de acceso a los dispositivos son los aspectos más comunes. Se trata en algunos casos de vulnerabilidades y fallos heredados del mundo TI y algunos impactan, por ejemplo, en los interfaces web de los dispositivos. Pero si hablamos de amenazas no podemos quedarnos solo en los aspectos técnicos y tecnológicos, es muy importante señalar que el origen de una gran parte de incidentes de ciberseguridad, también en el ámbito industrial, vienen por parte de las personas que los manejan: la falta de conocimientos de ciberseguridad, de las buenas prácticas y de la concienciación en general hacen que abramos un enlace que no debemos y que nos llega por correo electrónico, que no usemos contraseñas robustas, etc.

Si pretendemos ver la problemática de la ciberseguridad y las amenazas es importante verla en su conjunto y contemplar también a las personas que manejan la tecnología.

AeI: ¿Cuáles son los pasos que debe seguir una industria que quiera afrontar una estrategia de ciberseguridad completa y adecuada a sus necesidades?

J.M.R.: Lo primero que debe hacer cualquier empresa en materia de ciberseguridad es definir a nivel estratégico por la dirección su política de ciberseguridad y sus objetivos en el marco de la estrategia global de la compañía.

A continuación, debe desarrollarlo y la mejor manera de proceder es conocer cuál es su ámbito tecnológico, es decir su tecnología de la manera más detallada posible, y también su estado actual, analizando cuáles son sus debilidades y riesgos (auditoría). Una vez hecho, ya puede elaborar una estrategia en ciberseguridad que debería recoger lo que se conoce como un Plan Director de Seguridad donde deberá incluir las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de seguridad.
Cada empresa es un mundo, y el presupuesto es limitado, por eso según su modelo de negocio se tendrá que priorizar sobre qué acciones deberá tomar primero. Lo bueno es que el Plan Director de Seguridad sigue un proceso cíclico e incremental, pero no debe olvidarse que ha evaluarse con periodicidad para ver el estado de la implementación del mismo y los posibles cambios a los que se va enfrentado la empresa.

AeI: ¿Cómo se pueden controlar y gestionar las vulnerabilidades que afectan a la base ya instalada de dispositivos conectados y sistemas de control de diferentes fabricantes presentes en muchas de nuestras plantas de producción?

J.M.R.: Como primera medida es necesario disponer de un inventario de activos que permitan tener identificados y clasificados los dispositivos desplegados dentro de nuestro entorno industrial. Después será posible saber qué salvaguardas tomar en cada caso, las actualizaciones de seguridad y parches necesarios, además de los dispositivos que se encuentran sin soporte.
El siguiente punto es tener los dispositivos en entornos de red segmentados y securizados correctamente. Esto nos permite tener el control sobre los distintos dispositivos y en caso de que ocurra un incidente de seguridad, contenerlo de tal manera que afecte lo menos posible a otros entornos.

AeI: ¿Cuál ha sido, en los últimos años, la evolución de la protección en ciberseguridad incorporadas de serie en los sistemas de control de los diferentes fabricantes industriales? ¿Se detecta algún cambio de tendencia?

J.M.R.: Sin duda los fabricantes se están aplicando a fondo en mejorar la ciberseguridad de sus productos. Muchos fabricantes están publicando los parches para sus vulnerabilidades y eso demuestra su compromiso con la ciberseguridad de sus clientes. No porque un fabricante publique más parches es menos inseguro, ya que tampoco todos los fabricantes tienen el mismo tamaño de portfolio de productos.

Para nosotros, el punto crítico y el reto son los sistemas IoT e IIoT, ya que en algunos casos, por presión del mercado, de poner en marcha el último dispositivo de moda, o con las características más novedosas, no siempre se implementan las mejores prácticas de ciberseguridad, o se sacrifica un cifrado más robusto por obtener una mayor eficiencia, etc. Creemos que esto es un reto para toda la industria, también para la que fabrican sistemas IoT de consumo doméstico.

AeI: ¿Cómo van a ser las estrategias a futuro de la ciberseguridad industrial? ¿Van a adoptar o integrar otras tecnologías habilitadoras como, por ejemplo, la inteligencia artificial?

J.M.R.: Como prácticamente cualquier otro sector, la inteligencia artificial también se está incluyendo en el sector industrial, sobre todo con la llegada de la industria conectada 4.0. La búsqueda de patrones y el machine learning, tanto en los procesos de automatización, como en la identificación de amenazas son algunas de las tecnologías que se están empezando a implementar. Es sin duda por donde está empezando a aplicarse la inteligencia artificial en el campo de la ciberseguridad, buscando mejorar la eficiencia en las tecnologías predictivas. Esto es un campo todavía en desarrollo y habrá que ver en los próximos años su evolución y madurez.

AeI: ¿Cree que la industria está ya lo suficientemente sensibilizada para que sea consciente de las vulnerabilidades que pueden afectarle debido a un ciberataque? En este sentido, ¿piensa que hacen falta medidas de concienciación al respecto?

J.M.R.: A pesar de que cada vez hay más conciencia en ciberseguridad, la industria aún no está suficientemente sensibilizada. Todavía se sigue percibiendo la ciberseguridad como un coste, cuando en realidad debe ser visto como una inversión, un ahorro para un coste futuro, reputacional, legal o de muchos otros tipos que nos puede acarrear el no hacer las cosas bien en ciberseguridad.
Un incidente conlleva efectos colaterales más allá de los posibles problemas que pueda acarrear a la producción, también tiene repercusiones legales, sobre todo teniendo en cuenta a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), y también efectos reputacionales sobre la imagen de la empresa.

Desde nuestro punto de vista, actualmente hace falta mucha más concienciación y formación en ciberseguridad, tanto a nivel gerencial, como a nivel operativo. Saber identificar a tiempo un posible incidente es vital, sobre todo teniendo en cuenta que la mayoría de campañas tienen como principal objetivo al usuario final.

AeI: ¿Es necesario incluir en los análisis de riesgos para industrias de proceso o en las propias máquinas, el hipotético ataque cibernético para prever maniobras seguras de parada o desconexión?

J.M.R.: Por supuesto, en caso de que un posible incidente afectase a las máquinas sería deseable su desconexión inmediata, y al menos estos casos deben contemplarse y evaluarse en los planes de protección de las infraestructuras. Se debe valorar el evitar posibles daños en la máquina, a los operadores y en la producción. No hay que olvidar que el ciberataque puede alterar las propiedades del producto que produzcamos causando daños a nivel de calidad y reputación.

Además de la posible propagación por el resto de dispositivos que se encuentren en la misma red, puede afectar en más de un punto de la planta, así que habrá que contemplar medidas no solo de parado de máquina, si no de desconexión y aislamiento, etc. Cada caso y cada industria son diferentes, así que deben evaluarse in situ dentro de los planes de protección de cada empresa.

AeI: ¿Cómo va a evolucionar el mercado de la ciberseguridad industrial en España en los próximos años? ¿existen suficientes compañías que sean capaces de analizar y ofrecer soluciones adaptadas a las necesidades en ciberseguridad de los diferentes tipos de compañías manufactureras?

J.M.R.: Actualmente, la ciberseguridad es un mercado que está en constante crecimiento. La aparición, cada vez más frecuente, de empresas emergentes especializadas en ciberseguridad junto con las compañías ya consolidadas, que van añadiendo a su modelo de negocio servicios de ciberseguridad, van a permitir tener una amplia gama de ofertas que se adapte a las necesidades de ciberseguridad de cualquier industria o empresa.


Este artículo aparece publicado en el nº 516 de Automática e Instrumentación, págs. 48-51.
Más noticias sobre Ciberseguridad
COMPARTIR
Twitter
Facebook
LinkedIn
Suscríbete a nuestro canal de YouTube
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Automática e Instrumentación le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
La presencia de robots en las empresas del sector industrial español es cada vez más frecuente y se ha multiplicado por más del doble en los últimos 25 años.
La presencia de robots en las empresas del sector industrial español es cada vez más frecuente y se ha multiplicado por más del doble en los últimos 25 años.
Las empresas robotizadas venden cinco veces más que las que no lo están, generan cuatro veces más valor añadido y...
El Foro Económico Mundial ha destacado a nueve fábricas inteligentes de todo el mundo, una de ellas es Le Vaudreuil de Schneider Electric.
El Foro Económico Mundial ha destacado a nueve fábricas inteligentes de todo el mundo, una de ellas es Le Vaudreuil de Schneider Electric.
El sector industrial se encuentra ante un contexto repleto de oportunidades que van desde la mejora operativa a los...
SIMOCODE - Pro permite la total transparencia de los datos operacionales, de servicio y diagnóstico en las instalaciones.
SIMOCODE - Pro permite la total transparencia de los datos operacionales, de servicio y diagnóstico en las instalaciones.
La eficiencia energética juega un papel fundamental en la industria. El cumplimiento de las leyes como el Real Decreto...
Nicola Salandini, director de la planta de Rittal en Italia, en la Via degli Imprenditori en Valeggio sul Mincio, al norte del país.
Nicola Salandini, director de la planta de Rittal en Italia, en la Via degli Imprenditori en Valeggio sul Mincio, al norte del país.Rittal.
Sostenibilidad. Es indudable que el cambio climático ocupa cada vez más espacio en los programas políticos. Y, ¿es...
La automatización de tareas como el mantenimiento o el análisis y gestión de los datos resultan indispensables para los equipos encargados de la ciberseguridad.
La automatización de tareas como el mantenimiento o el análisis y gestión de los datos resultan indispensables para los equipos encargados de la ciberseguridad.ABB.
Las soluciones y servicios avanzados digitales de ABB, dan respuesta a una de las mayores preocupaciones actuales de...
Hace casi 15 años, Wonderful Pistachios inició la estandarización en la plataforma de control de Rockwell Automation, incluso los centros de control de motores (MCC).
Hace casi 15 años, Wonderful Pistachios inició la estandarización en la plataforma de control de Rockwell Automation, incluso los centros de control de motores (MCC).
Wonderful Pistachios cuenta con el 50 % del mercado de pistachos a nivel global y el 65 % del estadounidense. La sede...
La familia PIC18-Q43 de Microchip cuenta con más periféricos independientes del núcleo y un amplio ecosistema de herramientas de desarrollo para mejorar diseños de control en tiempo real y aplicaciones conectadas.
La familia PIC18-Q43 de Microchip cuenta con más periféricos independientes del núcleo y un amplio ecosistema de herramientas de desarrollo para mejorar diseños de control en tiempo real y aplicaciones conectadas.
En el diseño de sistemas basados en microcontroladores, el software es a menudo el cuello de botella para el plazo de...
Tanto RS como tesa coinciden en su visión de optimizar al máximo los procesos industriales y cuidar la atención que proporcionan a sus clientes.
Tanto RS como tesa coinciden en su visión de optimizar al máximo los procesos industriales y cuidar la atención que proporcionan a sus clientes.
RS Components (RS) ha alcanzado recientemente un nuevo acuerdo de colaboración con tesa, uno de los principales...
Empresas destacadas
LA REVISTA Y EL BOLETÍN A UN SOLO CLIC
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio Más información
Versys Ediciones Técnicas © Copyright 2019 - automaticaeinstrumentacion.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Política de Cookies | Mapa web