Las entidades esenciales para nuestra sociedad viven tiempos de cambio en relación con su protección. Estas organizaciones ven cómo la realidad, y especialmente la normativa, les obliga a evolucionar desde una visión reactiva de su seguridad hacia otra proactiva cuyo objetivo final sea la resiliencia operativa. Es decir, que ninguna crisis propia o de un tercero afecte a la continuidad de sus capacidades de prestar bienes y servicios imprescindibles para el funcionamiento de la sociedad.
Así quedo patente en el 13º Congreso PRYC: Protección, Resiliencia y Ciberseguridad, organizado por la Fundación Borredá con la colaboración de Seguritecnia y Red Seguridad, 21 y 22 de abril. Un encuentro en el que se abordaron asuntos como la normativa europea que afecta a los operadores críticos, la seguridad de la cadena de suministro, la gobernanza o las nuevas tecnologías aplicables a este ámbito. Para ello, el evento contó con expertos del ámbito público y privado que compartieron sus experiencias, conocimientos y reflexiones en mesas redondas o ponencias individuales. Las compañías GMV, Casnova, Cyberwatch, Dorlet, ESET, Eulen Seguridad, NTT Data, Prosegur Security, Riot, S2Grupo, TrendAI y Desico patrocinaron esta edición.
Proyecto de Ley PREC
Tras una primera jornada centrada en la ciberseguridad, el 22 de abril tuvo lugar la segunda jornada del evento, donde el protagonista principal fue el proyecto de Ley de Protección y Resiliencia de Entidades Críticas (Ley PREC), aprobado por el Consejo de Ministros el 17 de marzo. Así lo recordó en la apertura del encuentro Ana Borredá, presidenta de la Fundación Borredá, y Javier Borredá, director de Seguritecnia, en el Auditorio de Cecabank en Madrid.
La inauguración del evento corrió a cargo de José Luis Pérez Pajuelo, director del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que incidió en que el marco legal «no es una mera formalidad administrativa”, puesto que “la seguridad del Estado es la seguridad de la ciudadanía”. El responsable del CNPIC abordó en su intervención los retos principales del modelo PIC y los cambios que se producirán cuando la Ley de Protección y Resiliencia de Entidades Críticas (Ley PREC) sea una realidad. Uno de los aspectos que destacó es que el modelo pasa de hablar de la protección de infraestructuras a la resiliencia de las entidades críticas.
Cero energético: lecciones aprendidas
La inauguración dio pié a la primera mesa redonda de la jornada, dedicada a las interdependencias de las entidades críticas, con el cero energético del año pasado en España como telón de fondo. Moderado por César Álvarez, coordinador de Proyectos de la Fundación Borredá, participaron en el coloquio Alberto Tovar, director de Seguridad Corporativa de Moeve, José Antonio Vázquez, director de Seguridad/CSO de MasOrange, y Víctor Carrasco Gil, jefe de Análisis, Prospectiva e Infraestructuras Críticas de Renfe Operadora. Los invitados explicaron cómo vivieron sus entidades el apagón y cuáles fueron las principales medidas que adoptaron para restaurar sus operaciones. La charla demostró que la resiliencia de las entidades críticas no solo depende de las medidas propias que implementen, sino también de la colaboración y coordinación con otras entidades y las autoridades competentes.
Otro asunto de interés en el ámbito de las entidades críticas es el uso de la biometría para determinados procesos de seguridad, como los controles de acceso. Este tema suscita muchas dudas, pero la Guardia Civil ha desarrollado un proyecto interno que parece haber dado con la tecla para la utilización de referencias biométricas en el control de accesos a determinadas instalaciones. El coronel Antonio Suárez, jefe del SEPROSE de la Guardia Civil, y el teniente coronel Fernando Alcázar, delegado de protección de datos de la institución, describieron la iniciativa, cuya clave está en hacer una evaluación de impacto interna que permita argumentar la necesidad de esta tecnología para demostrar que no se puede sustituir por otras medidas.
Seguridad de la cadena de suministro
Tras una pausa para el café y el networking, tuvo lugar la segunda mesa de la jornada, sobre la relevancia de proteger la cadena de suministros de las entidades críticas. Moderada por Ana Borredá, presidenta de la Fundación Borredá, en ella participaron Juan Vicente Bonilla García, gerente de Seguridad Corporativa del SERMAS, José Carlos Moreno Durán, director de Investigación en Fraude y Crimen Financiero del Banco Santander, y Manuel Buitrago, coordinador general de Protección y Ciberseguridad de Grupo Fertiberia. Estos expertos debatieron en torno a los riesgos e impactos asociados a la cadena de suministro, especialmente desde la perspectiva de las entidades financieras y su papel como operadores críticos o estratégicos. Destacaron la importancia de mejorar la coordinación con las autoridades y debatieron acerca de la responsabilidad derivada de la regulación, la notificación de incidentes y la certificación de resiliencia, poniendo el foco en proveedores críticos e interdependencias.
La última mesa de la jornada puso el foco en la inteligencia corporativa y su necesidad ante la realidad convulsa actual. Dos expertos en la materia como Joaquín González, director de Inteligencia de FCC, y Javier Rodríguez, Observatorio de Inteligencia Corporativa de la Fundación Borredá, reflexionaron sobre esta temática dejando claro que la inteligencia corporativa es imprescindible para operar en el contexto actual. El congreso sirvió también para presentar de nuevo el Observatorio de Inteligencia Corporativa de la Fundación Borredá.
El 13º Congreso PRYC finalizó con unas conclusiones por parte de César Álvarez, coordinador de proyectos de la Fundación Borredá, quien habló del impacto que tendrá la normativa en los próximos años en materia de resiliencia de las entidades críticas, la importancia de unificar la seguridad física y la digital, la importancia de avanzar en asuntos como la cadena de suministro o las interdependencias, así como la necesidad de abordar los retos y oportunidades de las nuevas tecnologías, como la inteligencia artificial.
Tecnologías para la resiliencia de las entidades críticas
El segundo día del 13º Congreso PRYC contó con la participación de tres empresas patrocinadoras, que aportaron su punto de vista en torno a diferentes tecnologías.
Eulen Seguridad: la tecnología al servicio de la protección
Belén Rodríguez Zamudio, ingeniera de seguridad y Gestora Nacional de Grandes Cuentas en Eulen Seguridad, constató en su intervención que las organizaciones han pasado «de la vigilancia pasiva a la resiliencia predictiva”. Esta profesional planteó cómo la seguridad ha evolucionado hacia un modelo predictivo que deja atrás la vigilancia pasiva para anticiparse a riesgos antes de que se materialicen. Puso el foco, además, en el uso de inteligencia artificial activa y en la computación neuromórfica, sistemas capaces de analizar comportamientos en tiempo real con bajo consumo energético. Dentro de este enfoque, la biometría del comportamiento (especialmente la biometría de marcha y el análisis de microexpresiones) se presenta como una herramienta clave para interpretar intención, estados emocionales y patrones de conducta más allá de la mera identificación física. Rodríguez apuntó, sin embargo, que “la protección debe basarse en un modelo híbrido, sin sustituir la intervención humana”.
Dorlet Security: soluciones de seguridad física certificada para transformar la Directiva CER en resiliencia real
Ignacio Rojo, director de Dorlet Security, abordó el modo en el que va a afectar la normativa sobre resiliencia de las entidades críticas a los proveedores. En este contexto, la seguridad física deja de ser una capa auxiliar para “formar parte del núcleo del cumplimiento y de la resiliencia operativa”. Rojo señaló la importancia de contar con certificaciones, pues “reducen el riesgo de sanciones y brechas de seguridad”. En este contexto, “eliminan vulnerabilidades en el momento en que se están implementando sistemas que ya sabemos que son seguros”. Como fabricante de sistema de control de accesos dentro del catálogo CPSTIC del CNN, considera que “los sistemas no pueden tener silos”, sino que estos deben estar integrados y tener la capacidad de supervisar y operar, responder, documentar y analizar. En su opinión, hoy en día, una seguridad física madura debe ser capaz de emplear plataformas abiertas.
Desico (Grupo Casnova): nuevo enfoque de ciberseguridad aplicado a los sistemas de seguridad física
Raúl Porras, CISO de Desico, abordó cómo las tecnologías contribuyen a la resiliencia. Porras trasladó al auditorio nuevas formas de aplicar la ciberseguridad a los sistemas físicos porque, según apuntó, “las amenazas actuales son el resultado de ataques híbridos dirigidos a activos físicos y cibernéticos”. Trasladó al auditorio cómo “tradicionalmente” las áreas de seguridad física “han tenido la función de proteger activos tangibles, instalaciones, edificios y personas” y cómo estos modelos “han funcionado de manera fragmentada y aislada”. Ahora que el entorno ha cambiado y evolucionado, y los sistemas de seguridad física se conectan dentro de las redes IT del negocio, apunta que es necesario empezar a hablar de “convergencia entre seguridad física y ciberseguridad”. En su caso, expuso las medidas implantadas mediante la herramienta Vigiplus PSIM, destacando cómo la gestión de riesgos en sistemas de ciberseguridad física “requiere la aplicación de controles de todas las dimensiones IT/OT/IoT”.
Archivado en:
