Entrevista a Susana Asensio, responsable de Proyectos en el Centro de Ciberseguridad Industrial (CCI)

Además de responsable de Proyectos en el CCI, Susana Asensio es miembro de su Junta Directiva y directora de la Escuela Profesional de Ciberseguridad Industrial, la primera de estas características que se creó en España. Durante la conversación con Automática e Instrumentación, Asensio explica los trabajos que realiza el Centro para mejorar el conocimiento sobre ciberseguridad entre los profesionales industriales. También advierte de la falta de madurez de muchas empresas e industrias en los referente a los riesgos a los que están expuestas y advierte que el riesgo cibernético puede aumentar de forma exponencial.

Susana Asensio es graduada en Ingeniería del Software, e Ingeniera técnica en Informática de Gestión, por la Universidad Politécnica de Madrid (UPM), y especialista en proyectos de investigación y desarrollo en seguridad y tecnología. Después de trabajar como investigadora en Tecnologías de la Información (TI) en la UPM, ha estado, durante los últimos años, y previo a su incorporación a CCI, combinando la gestión de proyectos de seguridad TI, y la coordinación de diversos grupos de seguridad TI en la Asociación Multisectorial de Empresas de la Electrónica, las Tecnologías de la Información y Comunicación, de las Telecomunicaciones y de los Contenidos Digitales (AMETIC). Ha trabajado en proyectos nacionales e internacionales relacionados con la identidad digital, servicios de certificación digital, protección de datos, cloud e infraestructuras críticas. Asensio ha coordinado y promovido foros especializados de servicios IT, aunque su mayor dedicación previa, ha sido para la Comisión de Seguridad de la Información de AMETIC, con una amplia representación de la Industria Española de Ciberseguridad, cubriendo ámbitos como la identidad digital, proveedores de servicios de certificación digital, infraestructuras críticas, y ciberseguridad industrial, entre otros. Desde su incorporación a CCI en 2014, ha enfocado su carrera en la ciberseguridad aplicada a la industria.

Automatica e Instrumentación: ¿Cuál la situación actual en la capacitación en ciberseguridad de los profesionales industriales?

Susana Asensio: Hay una alta demanda de este tipo de profesionales en el mercado, ya que las industrias cada vez toman más conciencia de los riesgos que están asumiendo y que deberían minimizar; y para ello es imprescindible contar con personal cualificado tanto en la parte del usuario final, como en lo que respecta a la oferta de productos y servicios para la industria.

Ya no es posible afrontar un proyecto de automatización sin tener en cuenta requisitos de ciberseguridad, y mucho menos mantener instalaciones industriales (del sector o tipología que sean) sin prestar la debida atención a la continuidad de la tecnología habilitadora.

Hay muy pocos profesionales con el conocimiento adecuado de ciberseguridad en los entornos de producción. Para ayudar a mejorar esta necesidad de profesionales el Centro de Ciberseguridad Industrial estableció la primera Escuela Profesional de Ciberseguridad Industrial, la cual capacita y forma a los profesionales del sector en esta materia. La Escuela CCI es la primera de estas características, con un enfoque único totalmente orientado a facilitar al profesional que va a trabajar en este ámbito los conocimientos y habilidades necesarias para desarrollar su labor de forma óptima; en definitiva, se trata de una capacitación que busca ser participativa, práctica y útil para el alumno. Es importante destacar el programa de reconocimiento con el compromiso con la ciberseguridad (https://www.cci-es.org/credenciales) que se ha otorgado ya a más de 250 profesionales en sus tres categorías.

Hay muy pocos profesionales con el conocimiento adecuado de ciberseguridad en los entornos de producción

A.e.I.: ¿Qué pueden hacer centros como CCI para poder mejorar esta situación?

S.A.: El CCI lleva más de seis años trabajando para generar conocimiento y concienciación entre los profesionales y las organizaciones involucradas directa o indirectamente con el sector industrial. Realiza actividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento. Este esfuerzo se ha visto reflejado en la mejora sustancial de diversos factores que caracterizan el estado de la ciberseguridad industrial en España; como muestran los distintos estudios que llevamos a cabo periódicamente, y el balance que acabamos de realizar en 2018, sobre la Hoja de Ruta que marcamos en 2014 para mejorar la situación.

CCI es hoy el mayor ecosistema internacional del ámbito de la ciberseguridad industrial. Punto de encuentro para más de 1.800 miembros de más de 45 nacionales, con presencia en distintos puntos del mundo, sumando más 25 regiones con presencia a través de coordinares regionales. El Centro realiza documentos e informes únicos de interés internacional, congresos en Latinoamérica y Europa, eventos y formación en distintos continentes y es capaz de promover iniciativas internaciones de alto impacto.

En los últimos dos años se han creado nuevos organismos y centros que están acercando la ciberseguridad a la industria de su comunidad, son dos buenos ejemplos el BCSC o ZIUR en Euskadi. También organismos nacionales como INCIBE, CNPIC o CCN están incorporando capacidades y actividades que están mejorando la situación.

Hay que tener presente que la seguridad al 100% no existe, y desde esa premisa, priorizar las acciones que debamos tomar al respecto

A.e.I.: ¿Las empresas e industrias son conscientes de los riesgos en ciberseguridad al que están expuestos?

S.A.: Aún tenemos que reconocer que son pocas las organizaciones maduras en esta materia. Casi todas, en mayor o menor medida, están trabajando para proteger adecuadamente sus infraestructuras, con aproximaciones distintas según las características de sus procesos. Pero lo importante es comenzar, y, sobre todo, hacerlo de forma ordenada y metódica, siguiendo aquello que ya sabemos que funciona, es decir, de acuerdo con estándares reconocidos como IEC 62443, NERC CIP, y sistemas de gestión basados en dichos estándares -como el Sistema de Gestión de la Ciberseguridad Industrial del CCI-; de esta forma nos aseguramos de que lo estamos haciendo bien, cubriendo todos los aspectos necesarios, y aprovechando los recursos disponibles al máximo.

Casi todas (las organizaciones), en mayor o menor medida, están trabajando para proteger adecuadamente sus infraestructuras, con aproximaciones distintas según las características de sus procesos

A.e.I.: ¿Qué medidas o consejos deben tomar las empresas industriales para mejorar su ciberseguridad?

S.A.: Medidas, soluciones, herramientas…, hay muchas, lo importante es saber cuáles son las que tu organización necesita. Para ello, lo primero es llevar a cabo un diagnóstico, para ser consciente de los riesgos derivados del uso de la tecnología al que está expuesta tu organización y sobre los cuales no estabas tomando las medidas oportunas para proteger tus activos y tu producción. Y a partir de ese diagnóstico ser capaz de tomar decisiones, valorar riesgos y analizar las medidas de ciberseguridad que se deben aplicar, teniendo en cuenta que debe ser tomada con el enfoque de sumar un proceso más a la gestión de la empresa, puesto que la ciberseguridad debe ser aplicada, controlada y mantenida como cualquier otro proceso continuo al que se somete una organización; no es un proyecto con principio y fin.

En los últimos años el internet de las cosas ha multiplicado la exposición de todo, las ciudades inteligentes, el suministro de energía, comunicaciones…

A.e.I.: ¿Cree que el riesgo cibernético puede disminuir en el futuro?

S.A.: Como siempre se ha dicho, y no sin razón 'los malos siempre irán por delante de los buenos'..., ellos siempre están buscando nuevas formas de introducirse en tus sistemas, tu información, tus activos… Nuestra tarea es ponérselo más difícil y minimizar el impacto que puedan realizar sobre nuestra organización. Hay que tener presente que la seguridad al 100% no existe, y desde esa premisa, priorizar las acciones que debamos tomar al respecto.
El riesgo cibernético irá en alza, exponencialmente me atrevería a decir, de forma proporcional a cómo la tecnología se impone en todas las áreas de nuestras vidas. Lo importante, de nuevo, es ser consciente de estos riesgos, y dejar de ser tan vulnerables.

No se está prestando la atención suficiente a la ciberseguridad, como requisito imprescindible, deberá ocurrir todavía incidentes de alto impacto en la sociedad para que esto cambie.

A.e.I.: ¿Hasta qué punto la sociedad en general está expuesta a este riesgo? ¿Las ciudades, centros públicos, universidades, centrales de energía,…?

S.A.: La sociedad está totalmente expuesta, es por esta razón que los estados y las organizaciones están adoptando medidas. En los últimos años el internet de las cosas ha multiplicado la exposición de todo, las ciudades inteligentes, el suministro de energía, comunicaciones, logística, transporte…, todo lo que hace funcionar nuestra sociedad actual tiene dependencia y está soportado por tecnología; y por supuesto está expuesto a este riesgo. No se trata de ser alarmista, pero si realista, y controlar ese riesgo para lograr que la tecnología no deje de ser un aliado para mejorar nuestras vidas.
Los fabricantes de tecnologías para ciudades inteligentes, coches inteligentes, hospitales inteligentes, etc., tienen una buena oportunidad para incorporar la ciberseguridad en el diseño, pero la realidad está demostrando que prevalece tener disponibles las soluciones en el mercado lo antes posible, y no se está prestando la atención suficiente a la ciberseguridad, como requisito imprescindible, deberán ocurrir todavía incidentes de alto impacto en la sociedad para que esto cambie.

Este artículo aparece publicado en el nº 509 de Automática e Instrumentación, págs. 23-29.