Durante muchos años, el mundo de la seguridad física y el de la seguridad lógica han caminado por sendas paralelas. Sin embargo, en los últimos años estos recorridos se han ido acercando hasta el punto de unirse en muchas organizaciones. Ahora, por tanto, hablar de seguridad integral es mucho más habitual que hace unos años. Sin embargo, todavía se debe seguir avanzando en esa integración. Precisamente, para seguir dando pasos en ese sentido, el foro SICUR Cyber acogió la mesa redonda “Agentes implicados en la ciberseguridad en los sistemas de seguridad física”. En ella participaron cuatro expertos del sector, quienes expusieron sus ideas al respecto.
El primero en intervenir fue Eduardo Zamora, presidente de la Asociación de Directivos de Seguridad Integral (ADSI), quien defendió la existencia de un departamento de seguridad único en las organizaciones y “la integración como solución para evitar vacíos en la cobertura de los riesgos”, señaló. La cuestión, según Zamora, es cómo dotar de confiabilidad a los sistemas de seguridad física. Eso, a su juicio, se consigue con la ciberseguridad, la cual es preciso fomentar impulsando tres aspectos: “Regulación, formación y gobernanza”, apuntó. Y todo ello, además, debe estar gestionado por “un director transversal de seguridad de la empresa”, concluyó.
Más intervenciones en SICUR Cyber
En la mesa redonda de SICUR Cyber también participó Jorge Noguerales, miembro del área de trabajo de Ciberseguridad de la Asociación Española de Empresas de Seguridad (AES) y gerente comercial de Prosegur Security. El directivo también puso de manifiesto la necesaria integración entre los mundos de seguridad física y lógica. De hecho, en el caso de su empresa exigen a los fabricantes y mayoristas con los que trabajan un certificado de que los sistemas electrónicos que van a implementar cumplen con los estándares pertinentes de ciberseguridad. Y es que, Noguerales se mostró convencido de la importancia de “dotar a los sistemas electrónicos de seguridad de una capa de ciberseguridad de manera híbrida”.
Todo ello, además, debe converger en un responsable único de seguridad, aunque reconoció una falta de ese tipo de perfiles profesionales. “Hay pocos profesionales de la seguridad física que tengan conocimientos de ciberseguridad. Es preciso aumentar la formación y también el entrenamiento. Echo en falta en las organizaciones más simulacros para aprender a enfrentarnos a los ciberriesgos”, comentó.
Fundación ESYS
Por su parte, Cándido Arregui, responsable de seguridad de la información para la aviación civil de AENA y miembro de la comisión técnica de la Fundación ESYS, también aportó su opinión al respecto. Para el directivo, llevar la ciberseguridad al terreno de la seguridad física es “un reto” al que hay que adaptarse. Pero es algo que no queda más remedio que hacer, puesto que esto es solo “el principio de un largo proceso de integración”. A continuación, Arregui puso el ejemplo del sector aéreo donde trabaja y en el que ya se están dando pasos en ese sentido. Y para ello son fundamentales las certificaciones, aunque es consciente de que no hay ninguna oficial donde converja todo lo relacionado con la ciberseguridad.
El directivo finalizó su intervención poniendo de manifiesto la responsabilidad que en este sentido tienen tanto los fabricantes como los reguladores. Los primeros, para incluir la ciberseguridad en el diseño de sus soluciones; y los segundos, para crear un marco legal adecuado.
Centro de Ciberseguridad Industrial
Finalmente, en la mesa redonda también intervino José Valiente, director del Centro de Ciberseguridad Industrial (CCI). El directivo puso sobre la mesa la correlación directa que existe entre OT e IT en el mundo industrial. Ambas tienen que avanzar de la mano, y lo deben hacer también en el ámbito de la seguridad. “Se trata de proteger a las personas, las instalaciones y el medio ambiente”, dijo. Y es que si una industria, especialmente las infraestructuras críticas, sufren un ciberataque, las consecuencias pueden ser catastróficas. “En los sistemas de información, lo que preocupa es que no nos roben información, mientras que en seguridad industrial lo que preocupa es la seguridad física, que no pase nada. Por eso, se debe abordar la seguridad de forma conjunta”.
El problema, a juicio de Valiente, es que la mayoría de las veces “somos reactivos, y mientras no pase nada vivimos felices”. Y añadió: “Hace falta que haya un incidente grande, como WannaCry, para que nos pongamos en marcha”. Para finalizar, recalcó la falta de profesionales con conocimiento técnico para poder llevar el mundo de la ciberseguridad al ámbito industrial.
Archivado en:
