La jornada 'Ciberseguridad, clave para la transformación de áreas críticas' apunta a la necesidad de invertir en mayores medidas para evitar ataques

El Instituto Nacional de Ciberseguridad de España (Incibe) y la Fundación de la Ciudad de la Energía (Ciuden) coorganizaron, en colaboración con la Asociación Española para el Fomento de la Seguridad de la Información (Isms Forum), un encuentro profesional bajo el título ‘Ciberseguridad, clave para la transformación de áreas críticas’. El evento tuvo lugar el pasado miércoles 5 de julio en La Térmica Cultural de Ponferrada y reunió a numerosos expertos en seguridad de la información, CISO, auditores y abogados.

La jornada 'Ciberseguridad, clave para la transformación de áreas críticas' en Ponferrada fue inaugurada por Félix Barrio, director general de Incibe, Yasodhara López, directora general de Ciuden y por Fanny Pérez, CISO, de Codere y miembro de la Junta Directiva de ISMS Forum, quienes atendieron a los medios de comunicación antes del inicio de la jornada.

Félix Barrio destacó que las industrias energéticas son conscientes de la importancia de estar preparados para evitar un ciberataque y advirtió de que el sabotaje es uno de los más comunes en este ámbito. “En 2022, el 37% de los incidentes se registraron en compañías del sector de la energía, por lo que es vital que todas ellas cuenten con profesionales formados en ciberseguridad”, señaló el director general de Incibe.

Por su parte, la directora general de Ciuden explicó que es realmente importante que las empresas del sector energético adopten medidas de ciberseguridad y “un aspecto en el que hay que empezar a trabajar, ya que los protocolos de seguridad son esenciales en las instalaciones industriales de almacenamiento".

Fanny Pérez, miembro de la junta directiva de ISMS Fórum, afirmó por su parte que España, a nivel mundial, es el tercer país que más recibe ataques. “Somos un target para los atacantes de todos los países y por ello es importante que desde el Gobierno se implanten leyes para generar un esquema de ciberseguridad sostenible”, comentó.

Daniel García, director gerente de la Asociación fue el conductor del evento de Ponferrada, donde a través de diferentes ponencias y mesas de debate, se abordaron las relaciones entre las industrias energéticas y la ciberseguridad.

Jesús Feliz, gerente de Ciberseguridad de Sectores Estratégicos de Incibe tomó la palabra para ahondar en la problemática de las estrategias de ciberseguridad en dichos ámbitos claves.

Como explicó Jesús Feliz, en 2022 se dieron 120.000 incidentes de ciberseguridad, de los cuales, 546 fueron contra operaciones críticas, de ahí la importancia de seguir trabajando, en un contexto general de cambio y revolución tecnológica motivada por nuevos elementos como 5G o la Inteligencia Artificial.

Las empresas energéticas son estratégicas, pero estamos hablando de un sector que tiene que modernizarse. “Partimos de entornos legacy, con diseños cerrados y muchas veces propietarios. La transformación digital de estas empresas debe llegar a los entornos OT, que ya no permanecen aislado como hasta ahora, aumentado los riesgos”.

Esta convergencia IT/OT es un hecho, como se vio durante toda la jornada, en la que se recordó el caso Stuxnet, un malware que afectó a las máquinas centrifugadoras de una planta de enriquecimiento de uranio iraní y que puso de manifiesto la vulnerabilidad de los entornos industriales. Desde este episodio, que se produjo a partir de una pequeña memoria USB infectada, el riesgo cibernético se ha extendido a la totalidad del universo industrial.

El evento fue también escenario para la presentación de un interesante proyecto, el denominado ‘Proyecto I+D+I Flexgenera’ a cargo de Marcos Calvo, R&D director de Isemaren. Se trata de una iniciativa dirigida por Isemaren por la que, a través de un consorcio formado por la Fundación de la Ciudad de la Energía, Matrix Renewables e IGNIS Energía, se está construyendo una planta de autoconsumo en las instalaciones de la Ciuden en Ponferrada. Se trata de una instalación fotovoltaica con posibilidad de carga de baterías en caso de excedentes de producción, monitorización y extracción de datos mediante un sistema SCADA. En la instalación se realiza un estudio de la eficiencia energética asociada al sistema BESS con la capacidad de cargar baterías exportando energía de la red en períodos valle y su posterior inyección en períodos pico.

Por otro lado, se presentó el Manifiesto por una Ciberseguridad Sostenible, promovido por un grupo de trabajo de ISMS Forum de la mano de Josep Bardallo, director de TI y CISO del Grupo Hospitalario Recoletas, y Helena Fernández, responsable de sostenibilidad y cambio climático en Isemaren, en colaboración con Incibe, documento que es una apuesta clara por la colaboración público-privada y un elemento estratégico en las empresas del sector energético.

Se trata de un manifiesto compuesto de un decálogo en torno a la gestión sostenible de la ciberseguridad, que servirá a modo de referencia de buenas prácticas para todo tipo de entidades que operen la ciberseguridad. Asimismo, el Pacto por la Ciberseguridad Sostenible constituye la primera referencia al respecto en la Agenda 2030 en el sector de la ciberseguridad.

Además, conceptos como la gobernanza, la apuesta por la transparencia y la eficiencia energética, así como por la economía circular, una gestión responsable de los residuos eléctricos, colaboración, divulgación, estándares sostenibles y la colaboración en la cadena de suministro aparecen como elementos clave, entre otros factores de esta iniciativa.

Durante esta jornada tuvieron lugar tres interesantes mesas redondas, que sirvieron para ahondar en diferentes aspectos de la ciberseguridad en el ámbito industrial, con foco principal en el sector energético.

La primera de las mesas redondas abordó los retos y oportunidades para la industria energética de la inversión en ciberseguridad. Participaron Rafael Hernández, CISO de Cepsa; Justo López, responsable de Seguridad de la Información de Endesa; Rubén Fernández, CISO de Exide; Jesús Sánchez, Global Head of Cyber Security de Naturgy, moderada por Jesús Valverde, CISO de Isemarem.

Los participantes explicaron las iniciativas en las que están inmersos en el ámbito de la ciberseguridad, haciendo especial hincapié en la cadena de suministro, punto esencial que tener en cuenta en empresas de infraestructuras críticas, donde una brecha puede tener graves consecuencias en la operación.

Como explicaron, en estas compañías ya se está empezando a tomar medidas para securizar los entornos OT, teniendo en cuenta que este último tienen sus particularidades y aunque los controles que se aplican son los mismos que en TI, se deben implementar de manera diferencial.

En la segunda mesa redonda, ‘Sistemas de control y automatización que dan soporte al sector energético nacional’, participaron Aitor Lejarcegui, Cybersecurity Business Consultant en Schneider Electrics, Serafín Alonso, Ing. Eléctrica de Sistemas y Automática de la Universidad de León; y José Valiente, director del Centro de Ciberseguridad Industrial, CCI, como moderador.

La infraestructura tecnológica que da soporte a las empresas que ofrecen servicio energético, como de manera general en todas las industrias, se basa tradicionalmente en sistemas de control industrial, los cuales se caracterizan por ser entornos estancos y aislados del mundo exterior. Como explicaron los ponentes, además de trabajar con sistemas muchas veces obsoletos, otro problema fundamental que afecta a su seguridad es la falta de concienciación y formación interna, proviniendo muchas veces los incidentes de seguridad por malas prácticas de los empleados.

Además de la formación, aplicar sistemas de control como la monitorización, cortafuegos, sistemas para la prevención de intrusiones, copias de seguridad y trabajar el control de acceso y la segmentación de la red, son medidas básicas que se deben aplicar para la securización de los sistemas, teniendo en cuenta que, como se explicó durante el debate, la seguridad total no existe y que muchas empresas no se ponen en marcha hasta que se ven afectadas por un ataque.

Finalmente, en la tercera mesa de debate, participaron Josep Bardallo, director de TI & CISO de Grupo Recoletas; José Ramón Monleón, CISO de Orange; Ramón Ortiz, responsable de Seguridad en Mediaset, junto a Enrique Cervantes, CISO de Fintonic, que ejerció de moderador, para hablar de Ciberseguridad y Sostenibilidad.

Como vimos en el coloquio, las empresas no son ajenas a la necesidad de llegar a modelos más sostenible si no quieren quedarse atrás. Los participantes mostraron como la sostenibilidad está adquiriendo cada vez más importancia en sus procesos, trabajando con proveedores que sean socialmente responsables, además de otras medidas encaminadas a la eficiencia energética en sus respectivas actividades.