Suscríbete
Suscríbete
Entrevista a Susana Asensio, responsable de Proyectos en el Centro de Ciberseguridad Industrial (CCI)

Entrevista a Susana Asensio, responsable de Proyectos en el Centro de Ciberseguridad Industrial (CCI)

Susana asensio centro de ciberseguridad industrial 25370
|

Además de responsable de Proyectos en el CCI, Susana Asensio es miembro de su Junta Directiva y directora de la Escuela Profesional de Ciberseguridad Industrial, la primera de estas características que se creó en España. Durante la conversación con Automática e Instrumentación, Asensio explica los trabajos que realiza el Centro para mejorar el conocimiento sobre ciberseguridad entre los profesionales industriales. También advierte de la falta de madurez de muchas empresas e industrias en los referente a los riesgos a los que están expuestas y advierte que el riesgo cibernético puede aumentar de forma exponencial.


Susana Asensio es graduada en Ingeniería del Software, e Ingeniera técnica en Informática de Gestión, por la Universidad Politécnica de Madrid (UPM), y especialista en proyectos de investigación y desarrollo en seguridad y tecnología. Después de trabajar como investigadora en Tecnologías de la Información (TI) en la UPM, ha estado, durante los últimos años, y previo a su incorporación a CCI, combinando la gestión de proyectos de seguridad TI, y la coordinación de diversos grupos de seguridad TI en la Asociación Multisectorial de Empresas de la Electrónica, las Tecnologías de la Información y Comunicación, de las Telecomunicaciones y de los Contenidos Digitales (AMETIC). Ha trabajado en proyectos nacionales e internacionales relacionados con la identidad digital, servicios de certificación digital, protección de datos, cloud e infraestructuras críticas. Asensio ha coordinado y promovido foros especializados de servicios IT, aunque su mayor dedicación previa, ha sido para la Comisión de Seguridad de la Información de AMETIC, con una amplia representación de la Industria Española de Ciberseguridad, cubriendo ámbitos como la identidad digital, proveedores de servicios de certificación digital, infraestructuras críticas, y ciberseguridad industrial, entre otros. Desde su incorporación a CCI en 2014, ha enfocado su carrera en la ciberseguridad aplicada a la industria.


Automatica e Instrumentación: ¿Cuál la situación actual en la capacitación en ciberseguridad de los profesionales industriales?


Susana Asensio: Hay una alta demanda de este tipo de profesionales en el mercado, ya que las industrias cada vez toman más conciencia de los riesgos que están asumiendo y que deberían minimizar; y para ello es imprescindible contar con personal cualificado tanto en la parte del usuario final, como en lo que respecta a la oferta de productos y servicios para la industria.


Ya no es posible afrontar un proyecto de automatización sin tener en cuenta requisitos de ciberseguridad, y mucho menos mantener instalaciones industriales (del sector o tipología que sean) sin prestar la debida atención a la continuidad de la tecnología habilitadora.


Hay muy pocos profesionales con el conocimiento adecuado de ciberseguridad en los entornos de producción. Para ayudar a mejorar esta necesidad de profesionales el Centro de Ciberseguridad Industrial estableció la primera Escuela Profesional de Ciberseguridad Industrial, la cual capacita y forma a los profesionales del sector en esta materia. La Escuela CCI es la primera de estas características, con un enfoque único totalmente orientado a facilitar al profesional que va a trabajar en este ámbito los conocimientos y habilidades necesarias para desarrollar su labor de forma óptima; en definitiva, se trata de una capacitación que busca ser participativa, práctica y útil para el alumno. Es importante destacar el programa de reconocimiento con el compromiso con la ciberseguridad (https://www.cci-es.org/credenciales) que se ha otorgado ya a más de 250 profesionales en sus tres categorías.


Hay muy pocos profesionales con el conocimiento adecuado de ciberseguridad en los entornos de producción


A.e.I.: ¿Qué pueden hacer centros como CCI para poder mejorar esta situación?


S.A.: El CCI lleva más de seis años trabajando para generar conocimiento y concienciación entre los profesionales y las organizaciones involucradas directa o indirectamente con el sector industrial. Realiza actividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento. Este esfuerzo se ha visto reflejado en la mejora sustancial de diversos factores que caracterizan el estado de la ciberseguridad industrial en España; como muestran los distintos estudios que llevamos a cabo periódicamente, y el balance que acabamos de realizar en 2018, sobre la Hoja de Ruta que marcamos en 2014 para mejorar la situación.


CCI es hoy el mayor ecosistema internacional del ámbito de la ciberseguridad industrial. Punto de encuentro para más de 1.800 miembros de más de 45 nacionales, con presencia en distintos puntos del mundo, sumando más 25 regiones con presencia a través de coordinares regionales. El Centro realiza documentos e informes únicos de interés internacional, congresos en Latinoamérica y Europa, eventos y formación en distintos continentes y es capaz de promover iniciativas internaciones de alto impacto.


En los últimos dos años se han creado nuevos organismos y centros que están acercando la ciberseguridad a la industria de su comunidad, son dos buenos ejemplos el BCSC o ZIUR en Euskadi. También organismos nacionales como INCIBE, CNPIC o CCN están incorporando capacidades y actividades que están mejorando la situación.


Hay que tener presente que la seguridad al 100% no existe, y desde esa premisa, priorizar las acciones que debamos tomar al respecto


A.e.I.: ¿Las empresas e industrias son conscientes de los riesgos en ciberseguridad al que están expuestos?


S.A.: Aún tenemos que reconocer que son pocas las organizaciones maduras en esta materia. Casi todas, en mayor o menor medida, están trabajando para proteger adecuadamente sus infraestructuras, con aproximaciones distintas según las características de sus procesos. Pero lo importante es comenzar, y, sobre todo, hacerlo de forma ordenada y metódica, siguiendo aquello que ya sabemos que funciona, es decir, de acuerdo con estándares reconocidos como IEC 62443, NERC CIP, y sistemas de gestión basados en dichos estándares -como el Sistema de Gestión de la Ciberseguridad Industrial del CCI-; de esta forma nos aseguramos de que lo estamos haciendo bien, cubriendo todos los aspectos necesarios, y aprovechando los recursos disponibles al máximo.


Casi todas (las organizaciones), en mayor o menor medida, están trabajando para proteger adecuadamente sus infraestructuras, con aproximaciones distintas según las características de sus procesos


A.e.I.: ¿Qué medidas o consejos deben tomar las empresas industriales para mejorar su ciberseguridad?


S.A.: Medidas, soluciones, herramientas…, hay muchas, lo importante es saber cuáles son las que tu organización necesita. Para ello, lo primero es llevar a cabo un diagnóstico, para ser consciente de los riesgos derivados del uso de la tecnología al que está expuesta tu organización y sobre los cuales no estabas tomando las medidas oportunas para proteger tus activos y tu producción. Y a partir de ese diagnóstico ser capaz de tomar decisiones, valorar riesgos y analizar las medidas de ciberseguridad que se deben aplicar, teniendo en cuenta que debe ser tomada con el enfoque de sumar un proceso más a la gestión de la empresa, puesto que la ciberseguridad debe ser aplicada, controlada y mantenida como cualquier otro proceso continuo al que se somete una organización; no es un proyecto con principio y fin.


En los últimos años el internet de las cosas ha multiplicado la exposición de todo, las ciudades inteligentes, el suministro de energía, comunicaciones…


A.e.I.: ¿Cree que el riesgo cibernético puede disminuir en el futuro?


S.A.: Como siempre se ha dicho, y no sin razón 'los malos siempre irán por delante de los buenos'..., ellos siempre están buscando nuevas formas de introducirse en tus sistemas, tu información, tus activos… Nuestra tarea es ponérselo más difícil y minimizar el impacto que puedan realizar sobre nuestra organización. Hay que tener presente que la seguridad al 100% no existe, y desde esa premisa, priorizar las acciones que debamos tomar al respecto.
El riesgo cibernético irá en alza, exponencialmente me atrevería a decir, de forma proporcional a cómo la tecnología se impone en todas las áreas de nuestras vidas. Lo importante, de nuevo, es ser consciente de estos riesgos, y dejar de ser tan vulnerables.


No se está prestando la atención suficiente a la ciberseguridad, como requisito imprescindible, deberá ocurrir todavía incidentes de alto impacto en la sociedad para que esto cambie.


A.e.I.: ¿Hasta qué punto la sociedad en general está expuesta a este riesgo? ¿Las ciudades, centros públicos, universidades, centrales de energía,…?


S.A.: La sociedad está totalmente expuesta, es por esta razón que los estados y las organizaciones están adoptando medidas. En los últimos años el internet de las cosas ha multiplicado la exposición de todo, las ciudades inteligentes, el suministro de energía, comunicaciones, logística, transporte…, todo lo que hace funcionar nuestra sociedad actual tiene dependencia y está soportado por tecnología; y por supuesto está expuesto a este riesgo. No se trata de ser alarmista, pero si realista, y controlar ese riesgo para lograr que la tecnología no deje de ser un aliado para mejorar nuestras vidas.
Los fabricantes de tecnologías para ciudades inteligentes, coches inteligentes, hospitales inteligentes, etc., tienen una buena oportunidad para incorporar la ciberseguridad en el diseño, pero la realidad está demostrando que prevalece tener disponibles las soluciones en el mercado lo antes posible, y no se está prestando la atención suficiente a la ciberseguridad, como requisito imprescindible, deberán ocurrir todavía incidentes de alto impacto en la sociedad para que esto cambie.


Este artículo aparece publicado en el nº 509 de Automática e Instrumentación, págs. 23-29.


Comentarios

Shutterstock 1028996242
Contenido patrocinado
El crecimiento de las unidades flotantes refleja la inversión que las principales empresas del sector están haciendo, a fin de capitalizar con base en nuevas oportunidades de producción.
Gimatic
Gimatic
Gimatic

Gimatic ha decidido apostar por el desarrollo de una nueva gama de componentes dedicados a la manipulación por vacío que amplía y mejora el extenso programa existente, ofreciendo nuevas y mejores soluciones para la manipulación de objetos mediante esta tecnología.


Eurecat Marbel
Eurecat Marbel
Eurecat

El centro tecnológico Eurecat coordina el proyecto europeo Marbel, que cuenta con un presupuesto de 11.703.385 euros y que desarrollará una batería ligera innovadora y competitiva con una vida útil más larga.

Norelem Electric rotary stages RGB
Norelem Electric rotary stages RGB
norelem

Además de las mesas redondas manuales, norelem ofrece ahora nuevas mesas de posicionamiento redondas con accionamiento eléctrico coaxial.

Vicor
Vicor
Vicor

Digital Electricity es un sistema de alimentación en línea que sirve para suministrar energía a equipos remotos desde un lugar centralizado mediante cable de cobre estructurado

FA1321 1
FA1321 1
igus

En un principio, las cadenas portacables que BANG solicitó a igus debían ser de la gama estándar.

Revista Automática e Instrumentación
NÚMERO 531 // Septiembre 2021
Consulte el último número de la revista

Empresas destacadas

REVISTA