Suscríbete
Suscríbete
Entrevista a José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE

AEI 516 - Entrevista a José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE

Jose manuel roviralta incibe 29681
|

José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE) expone en esta entrevista cuáles son las amenazas a las que se enfrenta la industria y qué pasos debe seguir para crear una estrategia completa y adecuada.


Automática e Instrumentación: ¿Qué es INCIBE? ¿De quién depende y a quién dirige principalmente sus servicios y capacidades?


José Manuel Roviralta: El Instituto Nacional de Ciberseguridad de España (INCIBE) es una sociedad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, consolidada como una entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación, profesionales, empresas y especialmente para sectores estratégicos.


AeI: En qué consiste el programa Activa Ciberseguridad promovido por el ministerio de industria desde la iniciativa Industria Conectada 4.0 y cómo participa INCIBE?


J.M.R.: Activa Ciberseguridad es un programa piloto de Innovación en Ciberseguridad de la pyme impulsado por la Secretaría General de Industria y de la pyme en el marco de la Estrategia de Industria Conectada 4.0.


El programa en concreto busca mejorar el nivel de ciberseguridad de las empresas a través de una serie de fases en las cuales, con la ayuda de expertos, evalúan su nivel actual de ciberseguridad, sus medidas de seguridad y cómo implantar otras o mejorar las existentes.


El papel de INCIBE en el programa es el de colaborar en una iniciativa interministerial como esta, a través de las herramientas de diagnóstico disponibles para empresas, así como los materiales publicados y que le pueden permitir mejorar su ciberseguridad. Además, ponemos a su disposición la línea telefónica gratuita de ayuda en ciberseguridad: 900 116 117 (próximamente 017).


AeI: Hoy en día, con la creciente transformación digital de las empresas en su camino hacia la denominada industria 4.0, ¿qué papel juega la ciberseguridad industrial?


J.M.R.: La ciberseguridad debe formar parte dentro del proceso de desarrollo, siendo de este modo un pilar más sobre el que apoyarse.
Por lo tanto, juega un papel fundamental en la transformación digital de las empresas, y aquellas que lo ignoren o lo dejen de lado podrán encontrarse en un futuro con dificultades en el mercado. Y en el mundo industrial y la industria 4.0, aunque tiene características propias que deben resolverse, ya que los elementos IoT pueden carecer de aspectos importantes para la ciberseguridad, debe contemplarse la ciberseguridad como una característica más de la digitalización y su transformación.


AeI: ¿A qué tipo de amenazas informáticas es vulnerable la industria?


J.M.R.: Desde el CERT de INCIBE, el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y empresas privadas, donde se analizan las diferentes amenazas de ciberseguridad y muy especialmente, las ligadas a la industria y a los Sistemas de Control Industrial, se publica anualmente un resumen de las amenazas y su evolución en el ámbito industrial.


Intentando resumir mucho el análisis de las amenazas referentes a 2019 podemos indicar que muchas están relacionadas con errores y fallos de programación en el firmware, aspectos como desbordamientos de búfer, gestión de parámetros de manera incorrecta o fallos en el control de acceso a los dispositivos son los aspectos más comunes. Se trata en algunos casos de vulnerabilidades y fallos heredados del mundo TI y algunos impactan, por ejemplo, en los interfaces web de los dispositivos. Pero si hablamos de amenazas no podemos quedarnos solo en los aspectos técnicos y tecnológicos, es muy importante señalar que el origen de una gran parte de incidentes de ciberseguridad, también en el ámbito industrial, vienen por parte de las personas que los manejan: la falta de conocimientos de ciberseguridad, de las buenas prácticas y de la concienciación en general hacen que abramos un enlace que no debemos y que nos llega por correo electrónico, que no usemos contraseñas robustas, etc.


Si pretendemos ver la problemática de la ciberseguridad y las amenazas es importante verla en su conjunto y contemplar también a las personas que manejan la tecnología.


AeI: ¿Cuáles son los pasos que debe seguir una industria que quiera afrontar una estrategia de ciberseguridad completa y adecuada a sus necesidades?


J.M.R.: Lo primero que debe hacer cualquier empresa en materia de ciberseguridad es definir a nivel estratégico por la dirección su política de ciberseguridad y sus objetivos en el marco de la estrategia global de la compañía.


A continuación, debe desarrollarlo y la mejor manera de proceder es conocer cuál es su ámbito tecnológico, es decir su tecnología de la manera más detallada posible, y también su estado actual, analizando cuáles son sus debilidades y riesgos (auditoría). Una vez hecho, ya puede elaborar una estrategia en ciberseguridad que debería recoger lo que se conoce como un Plan Director de Seguridad donde deberá incluir las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de seguridad.
Cada empresa es un mundo, y el presupuesto es limitado, por eso según su modelo de negocio se tendrá que priorizar sobre qué acciones deberá tomar primero. Lo bueno es que el Plan Director de Seguridad sigue un proceso cíclico e incremental, pero no debe olvidarse que ha evaluarse con periodicidad para ver el estado de la implementación del mismo y los posibles cambios a los que se va enfrentado la empresa.


AeI: ¿Cómo se pueden controlar y gestionar las vulnerabilidades que afectan a la base ya instalada de dispositivos conectados y sistemas de control de diferentes fabricantes presentes en muchas de nuestras plantas de producción?


J.M.R.: Como primera medida es necesario disponer de un inventario de activos que permitan tener identificados y clasificados los dispositivos desplegados dentro de nuestro entorno industrial. Después será posible saber qué salvaguardas tomar en cada caso, las actualizaciones de seguridad y parches necesarios, además de los dispositivos que se encuentran sin soporte.
El siguiente punto es tener los dispositivos en entornos de red segmentados y securizados correctamente. Esto nos permite tener el control sobre los distintos dispositivos y en caso de que ocurra un incidente de seguridad, contenerlo de tal manera que afecte lo menos posible a otros entornos.


AeI: ¿Cuál ha sido, en los últimos años, la evolución de la protección en ciberseguridad incorporadas de serie en los sistemas de control de los diferentes fabricantes industriales? ¿Se detecta algún cambio de tendencia?


J.M.R.: Sin duda los fabricantes se están aplicando a fondo en mejorar la ciberseguridad de sus productos. Muchos fabricantes están publicando los parches para sus vulnerabilidades y eso demuestra su compromiso con la ciberseguridad de sus clientes. No porque un fabricante publique más parches es menos inseguro, ya que tampoco todos los fabricantes tienen el mismo tamaño de portfolio de productos.


Para nosotros, el punto crítico y el reto son los sistemas IoT e IIoT, ya que en algunos casos, por presión del mercado, de poner en marcha el último dispositivo de moda, o con las características más novedosas, no siempre se implementan las mejores prácticas de ciberseguridad, o se sacrifica un cifrado más robusto por obtener una mayor eficiencia, etc. Creemos que esto es un reto para toda la industria, también para la que fabrican sistemas IoT de consumo doméstico.


AeI: ¿Cómo van a ser las estrategias a futuro de la ciberseguridad industrial? ¿Van a adoptar o integrar otras tecnologías habilitadoras como, por ejemplo, la inteligencia artificial?


J.M.R.: Como prácticamente cualquier otro sector, la inteligencia artificial también se está incluyendo en el sector industrial, sobre todo con la llegada de la industria conectada 4.0. La búsqueda de patrones y el machine learning, tanto en los procesos de automatización, como en la identificación de amenazas son algunas de las tecnologías que se están empezando a implementar. Es sin duda por donde está empezando a aplicarse la inteligencia artificial en el campo de la ciberseguridad, buscando mejorar la eficiencia en las tecnologías predictivas. Esto es un campo todavía en desarrollo y habrá que ver en los próximos años su evolución y madurez.


AeI: ¿Cree que la industria está ya lo suficientemente sensibilizada para que sea consciente de las vulnerabilidades que pueden afectarle debido a un ciberataque? En este sentido, ¿piensa que hacen falta medidas de concienciación al respecto?


J.M.R.: A pesar de que cada vez hay más conciencia en ciberseguridad, la industria aún no está suficientemente sensibilizada. Todavía se sigue percibiendo la ciberseguridad como un coste, cuando en realidad debe ser visto como una inversión, un ahorro para un coste futuro, reputacional, legal o de muchos otros tipos que nos puede acarrear el no hacer las cosas bien en ciberseguridad.
Un incidente conlleva efectos colaterales más allá de los posibles problemas que pueda acarrear a la producción, también tiene repercusiones legales, sobre todo teniendo en cuenta a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), y también efectos reputacionales sobre la imagen de la empresa.


Desde nuestro punto de vista, actualmente hace falta mucha más concienciación y formación en ciberseguridad, tanto a nivel gerencial, como a nivel operativo. Saber identificar a tiempo un posible incidente es vital, sobre todo teniendo en cuenta que la mayoría de campañas tienen como principal objetivo al usuario final.


AeI: ¿Es necesario incluir en los análisis de riesgos para industrias de proceso o en las propias máquinas, el hipotético ataque cibernético para prever maniobras seguras de parada o desconexión?


J.M.R.: Por supuesto, en caso de que un posible incidente afectase a las máquinas sería deseable su desconexión inmediata, y al menos estos casos deben contemplarse y evaluarse en los planes de protección de las infraestructuras. Se debe valorar el evitar posibles daños en la máquina, a los operadores y en la producción. No hay que olvidar que el ciberataque puede alterar las propiedades del producto que produzcamos causando daños a nivel de calidad y reputación.


Además de la posible propagación por el resto de dispositivos que se encuentren en la misma red, puede afectar en más de un punto de la planta, así que habrá que contemplar medidas no solo de parado de máquina, si no de desconexión y aislamiento, etc. Cada caso y cada industria son diferentes, así que deben evaluarse in situ dentro de los planes de protección de cada empresa.


AeI: ¿Cómo va a evolucionar el mercado de la ciberseguridad industrial en España en los próximos años? ¿existen suficientes compañías que sean capaces de analizar y ofrecer soluciones adaptadas a las necesidades en ciberseguridad de los diferentes tipos de compañías manufactureras?


J.M.R.: Actualmente, la ciberseguridad es un mercado que está en constante crecimiento. La aparición, cada vez más frecuente, de empresas emergentes especializadas en ciberseguridad junto con las compañías ya consolidadas, que van añadiendo a su modelo de negocio servicios de ciberseguridad, van a permitir tener una amplia gama de ofertas que se adapte a las necesidades de ciberseguridad de cualquier industria o empresa.


Este artículo aparece publicado en el nº 516 de Automática e Instrumentación, págs. 48-51.

Comentarios

Portada editorial
Portada editorial
Editorial

Artículo editorial del número 554 de Automática e Instrumentación

OMRON and Factbird Solution Partner
OMRON and Factbird Solution Partner
Omron

Las soluciones inteligentes proporcionan a los fabricantes información procesable en tiempo real 

La industria de la alimentación y bebidas apuesta por la IA y la robótica para optimizar la producción y garantizar la seguridad alimentaria
La industria de la alimentación y bebidas apuesta por la IA y la robótica para optimizar la producción y garantizar la seguridad alimentaria
Advanced Factories

Directivos de Frit Ravich, Damm, GB Foods y Bon Àrea presentarán en el Industry 4.0 Congress sus estrategias de transformación digital 

Hannover
Hannover
Hannover Messe

Noruega es el Partner Country de la nueva edición del certamen alemán

Eurecat
Eurecat
Eurecat

Está orientada, entre otros, al desarrollo de proyectos colaborativos

ASAMBLEA AFM 193
ASAMBLEA AFM 193
AFM Cluster

Uno de los principales factores que limitan el crecimiento de las empresas es la dificultad de atraer talento al sector

Revista Automática e Instrumentación
NÚMERO 554 // marzo 2024

Empresas destacadas

REVISTA