Axis Cybersecurity Summit: los sistemas físicos también necesitan ciberseguridad

¿Son ciberseguros los sistemas físicos de seguridad? ¿Quién debe ser el responsable de que así sea? ¿Qué medidas hacen falta para conseguirlo? Preguntas como estas articularon el Cybersecurity Summit organizado por Axis Communications el 1 de junio, en Madrid, con la colaboración de la Fundación Borredá. Expertos de diferentes empresas proveedoras, usuarias y de la Administración participaron en este encuentro para dar respuesta a esas y otras cuestiones.

Axis Cybersecurity Summit.
Enrique González Herrero

La división entre el espacio físico y el cibernético está cada día más diluida. Lo que sucede en uno puede tener impacto en el otro, lo cual representa un tremendo riesgo en términos de seguridad. Es por ello que la antigua concepción de que los sistemas físicos de seguridad estaban protegidos por el mero hecho de funcionar a través de una red diferente a la red corporativa ya no vale. Los ciberataques también afectan a dispositivos conectados como las cámaras de videovigilancia, los controles de acceso o los VMS, y sus efectos pueden ser igual de devastadores. De ahí que tanto la industria como los usuarios destinen cada vez más atención y recursos a esta problemática para conseguir que los sistemas de seguridad físicos sean, además, ciberseguros.

“Las organizaciones funcionan como ecosistemas, donde los trabajadores están más expuestos al riesgo y donde los mundos físico y digital están conectados”, afirmó al respecto Sofía Zhou, Solution Knowledge Manager Cybersecutiry de Axis Communications, durante el Cybersecurity Summit, organizado por su compañía con la colaboración de la Fundación Borredá.

Para Zhou, es necesario que los profesionales de este ámbito interioricen tres ideas fundamentales al respecto: “La ciberseguridad es un compromiso compartido en el que todos, desde los stakeholders hasta los usuarios, tienen una responsabilidad, por lo que tenemos que trabajar juntos. Además, la ciberseguridad es un proceso continuo que requiere desarrollar las mejores prácticas y una vigilancia constante. En tercer lugar, hay que operar de manera transparente para construir confianza”.

La responsable de ciberseguridad de Axis Communications abrió con estas palabras un encuentro (el cual forma parte de una serie de eventos que está llevando a cabo la compañía sobre esta temática en diferentes países europeos) orientado a concienciar sobre esta problemática, analizar el panorama normativo aplicable a este ámbito, aclarar conceptos técnicos y compartir las mejores prácticas.

Ciberseguridad en sistemas físicos de seguridad

Varios profesionales debatieron en un primer panel sobre las medidas de ciberseguridad establecidas actualmente para proteger en la Red los sistemas y dispositivos de seguridad física. En ese sentido, Alberto Alonso, ingeniero de Soluciones de Axis, alertó de inicio que, a pesar de que los ciberataques afectan hoy en día a empresas de todos los sectores y tamaños, “una multitud de compañías continúa sin entender realmente su magnitud”. “Como resultado, muchas de ellas siguen sin haber implementado medidas de seguridad para proteger sus dispositivos, sistemas e información y evitar la pérdida de confidencialidad e integridad de sus datos. Esto, consecuentemente, aumenta la vulnerabilidad de la empresa y la convierte en una presa fácil”, continuó este profesional, que moderó el coloquio.

En la mesa participaron Fernando Rubio, Cybersecurity Lead, CSA & CE Manager de Microsoft; Rafael Tenorio, CISO de Iberdrola; Jorge Noguerales, gerente comercial de Prosegur Security y miembro del Grupo de Trabajo de Ciberseguridad de AES; Dan Lundström, director de Infraestructura y Operaciones IT de Axis; Carsten Bogelund, Head of Product Security de Milestone Systems; Mathieu Chevalier, Principal Security Architect & Manager de Genetec, y Jonas Falk, director de Desarrollo de Software de Ciberseguridad de Axis.

Las reflexiones de estos profesionales dejaron varias conclusiones, entre las cuales la principal es que, por norma general, los sistemas de seguridad no están ciberprotegidos. Además, el hecho de que estas soluciones incorporen funcionalidades como la analítica o el procesamiento de datos implica que estén conectados a Internet y, por tanto, sean vulnerables a los ciberataques. Asimismo, los invitados apuntaron que la ciberseguridad es una cuestión en permanente evolución, que no consiste solo en implantar medidas de protección en la Red, sino que tiene que estar en permanente revisión. Otro punto destacado fue la importancia del factor humano, concretamente la necesidad de concienciar y formar a los empleados como parte de la estrategia de seguridad corporativa.

Impacto de la normativa de ciberseguridad

La ciberseguridad es actualmente una preocupación de tal magnitud que desde hace tiempo la Unión Europea y los propios Estados miembros trabajan en la conformación de un marco normativo que garantice un mínimo de protección y resiliencia de las empresas, sobre todo en el caso de los sectores estratégicos. De ahí que el Axis Cybersecurity Summit incluyera un segundo panel sobre esta cuestión, en el que estuvieron presentes representantes de diferentes organismos.

Mesa sobre normativa de ciberseguridad en el Axis Cybersecurity Summit.
Mesa sobre normativa de ciberseguridad en el Axis Cybersecurity Summit.

Estuvieron presentes como invitados Ana Borredá, presidenta de la Fundación Borredá; Elena de la Calle, consejera técnica en Ciberseguridad del Departamento de Seguridad Nacional; Alberto Francoso, jefe del Servicio de Análisis de Ciberseguridad y Cibercriminalidad de la Oficina de Coordinación de Ciberseguridad; Ángel Flores, jefe de la sección de Planificación Operativa del Centro Nacional de Protección de Infraestructuras Críticas; Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional; Jesús Muñoz Migueláñez, director de Seguridad Operativa de Telefónica, y Baldvin Gislason, miembro del Grupo de Seguridad en el Software de Axis Communications.

Estos expertos coincidieron en que la normativa que emana de la Unión Europea (como la Directiva NIS2, el Reglamento DORA, la Directiva de Resiliencia…) tiende a diferenciar entre la seguridad física y la lógica, si bien ambos ámbitos habrán de trabajar conjuntamente para hacer frente a las amenazas. En ese sentido, uno de los principales retos que depara la nueva normativa europea será conseguir una adecuada armonización y transposición al ordenamiento jurídico español, para lo cual ya trabaja la Administración. En lo que se refiere a los sistemas de seguridad física, la regulación está orientada a que los fabricantes incorporen la ciberseguridad en los propios dispositivos, reduciendo de ese modo las carencias actuales.

“Los ataques serán cada vez más comunes en el entorno de sistemas OT e incluso más en los sistemas de seguridad física. Por tanto, la mitigación del riesgo, la adecuación a la normativa o la implementación de medidas de seguridad pueden suponer un cambio radical en la dinámica empresarial hacia la proactividad y prevención, lo que a su vez permite también evitar gastos elevados de todo tipo una vez producido el ataque. Para ello es también fundamental disponer de una normativa adecuada a la realidad de los sistemas de seguridad física, su implantación y su gestión”, señaló durante su intervención como moderador de este panel César Álvarez, coordinador de proyectos de la Fundación Borredá.

Un cometido común en la empresa

Llegados a este punto, quedó claro el mensaje sobre la necesidad de compartir responsabilidades y trabajo para que los sistemas físicos de seguridad sean también ciberseguros. Es decir, este asunto no debe abordarse en las empresa desde parcelas aisladas, sino que hace falta encontrar un modelo de colaboración entre las diferentes áreas implicadas para conseguir reducir los riesgos y vulnerabilidades. En esa línea se pronunciaron los intervinientes en el tercer y último panel del Axis Cybersecurity Summit, que ahondaron en las medidas técnicas y los procedimientos que han de formar parte de un sistema de seguridad para que esté también ciberprotegido.

En este coloquio participaron Manuel Marcos, director de Continuidad de Negocio y Seguridad Física de EDP; Alfonso Bilbao, presidente de AEINSE; Jorge Noguerales, de AES; Mathieu Chevalier, de Genetec; Carsten Bogelund, de Milestone Systems, y Axel Keskikangas, Senior Engineer Core Systems de Axis Communications. José Ramón Ansó, director técnico del Grupo Gemed, moderó el encuentro.

La conclusión fundamental fue la importancia de que los equipos de seguridad y los de tecnologías de la información trabajen conjuntamente, pues hay muchos factores que afectan a la seguridad de los sistemas y dispositivos. Adicionalmente, la protección en el ciberespacio implica establecer desde medidas de tipo organizativo hasta otras técnicas, como podrían ser los test de intrusión, evaluaciones de madurez, actualizaciones, etc. Y sobre todo, resulta imprescindible contar con personas con talento para orquestar todas las necesidades y ejecutar las tareas que hagan de los sistemas físicos un activo de la empresa que también este protegido en la Red.