PROYECTOS INDUSTRIALES

Ciberseguridad, indispensable para todas las fases de la cadena de suministro

La implementación de medidas de seguridad se define como algo necesario en todas las fases de la cadena de suministro y la mejor forma para apoyarlo es “poder proveernos de equipos que incluyan aspectos de ciberseguridad, ya que las debilidades de la mayoría de las empresas es que no encuentran expertos en ciberseguridad industrial”, ha destacado Mary Vargas, oficial de Seguridad de la información de CELEC EP, en el ‘XIX Congreso Internacional de Experiencias en Ciberseguridad Industrial. Europa’. A lo largo de la jornada, se abordaron diversos aspectos como las experiencias de ciberseguridad en la cadena de suministro de nuevos proyectos industriales; la ciberseguridad orientada a la continuidad del negocio; el análisis del porqué la ciberseguridad no se considera adecuadamente en el diseño de infraestructuras industriales, entre otros.

En cuanto a las principales dificultades de ciberseguridad en los nuevos proyectos industriales en relación con la cadena de suministro, en CELEC EP, Vargas señaló que los equipos no se encuentran implementados, no se consideran aspectos básicos de seguridad, y “esto nos lleva a que debemos empezar a implementar nuevos proyectos o ampliar presupuestos para incorporar controles de seguridad con otros equipos”.

En CELEC EP, el tema de la demora en los suministros para la fabricación de otros equipos “ha afectado de forma directa, esto ha hecho que haya un retraso en la implementación de los proyectos”, incidió la oficial de seguridad de CELEC.

Por su parte, Francisco Gallego, director corporativo y jurídico de MIGASA, ha indicado que “nosotros como empresa agroalimentaria, tenemos plantas antiguas, por lo tanto, nos encontramos con la dificultad de cómo hacer plantas con entornos modernos. Si eso lo unimos a la conexión con nuestros proveedores (acostumbrados a estar en contacto en remoto) nos encontramos problemas en el diseño de arquitectura. Nuestros proyectos e inversiones van retrasados a lo que nosotros demandamos. En el diseño de un entorno seguro es importante esa seguridad”.

En lo relativo al sector ferroviario, uno de los principales problemas que se ha tenido ha sido la falta de contacto con proveedores que tengan conocimiento de ciberseguridad. Además, la falta de vulnerabilidades, “en nuestro caso es complicado, puestos que los sistemas de ciberseguridad requieren mucha actualización. Por eso, uno de los problemas con los proveedores se encuentra en los sistemas legacy, ya que para lograr esa gestión de parches de forma ágil deben rediseñar, y actualmente no lo encontramos en ningún sitio”, destacó Mario Oliva, ingeniero de software de sistemas ferroviarios de CAF.

Oliva señaló que hay mucha variedad de clientes, exigentes o conformistas. “Piden tener un contacto único con el cual poder hablar, poder pactar los requisitos de ciberseguridad o proteger la infraestructura y poder colaborar con ellos. Además, los más exigentes te piden certificaciones de desarrollo seguro, otros más exigentes que te piden hasta un ASL2 de los productos. Debemos adaptarnos a las demandas del cliente, pero sobre todo tener un punto de contacto y tratar el problema”.

En cuanto a cómo debería participar la cadena de suministros en la definición de requisitos de ciberseguridad en dichos proyectos, existe consenso en que lo principal es tener un punto de contacto único con el que poder hablar con el proveedor, “en nuestro caso los requisitos siempre nos vienen dados por los clientes, pero cuando compramos productos hacemos reuniones para ver que capacidades o carencias tienen sus productos y sistemas, para poder proteger el sistema final”, ha indicado Oliva.

Asimismo, es importante que todas las fases de las cadenas estén unidas, “intentamos resolver todo a través de las cláusulas contractuales y que puedan participar en un plan global de resiliencia y respuesta, para que todos estén conectados y no se culpen unos a otros. Hemos empezado a hacer auditorías a nuestros proveedores para ver como realizan las cosas. Encontramos una falta de certificaciones en el mercado, por eso vamos con autodiagnósticos con objeto de que si ocurre algo todos sepamos actuar y los equipos se conozcan entre sí”, ha incidido Gallego.

“La mejor forma de apoyarlo es la fabricación y para ello se necesita que conozcan las mejores prácticas en ciberseguridad. Nosotros podemos apoyar a los clientes siendo transparentes, ya que a nosotros nos ayuda a mejorar. En toda la cadena hay que tener comunicación, tanto por parte de la fabricación, como por parte del cliente, ya que pueden decirnos que podemos mejorar”, señaló Vargas.

Cómo reducir los riesgos de ciberseguridad

Desde MIGASA, han intentado buscar partners a medio y largo plazo y participar con jornadas formativas con los equipos, reconociendo abiertamente que carencias existen, para que todo se mantenga actualizado.

“Trabajamos mucho en la coordinación de los equipos de primera respuesta, para que todo sea mucho más ágil y saber cómo actuar en el caso de un incidente. Además, mantenemos reuniones periódicas para tener un seguimiento. Hacemos un seguimiento interno y externo de las mejoras que se llevan a cabo, un diagnóstico y unos test para poner a prueba reacciones. Son simulacros para probar el nivel de estrés y como se lleva bajo esa circunstancia”, remarcó el director de MIGASA.

En caso contrario, desde CAF han considerado importante tener una persona de referencia, siendo en los proveedores lo primero que están solicitando para llegar a un entendimiento y hacer que el producto encaje en el sistema.

Por otra parte, CELEC trabaja directamente con fabricantes, ya que ahí si que existen personas encargadas de la ciberseguridad, y son estos mismos los que determinan con que partner pueden trabajar.

“Fomentamos que el fabricante trabaje directamente con los proyectos e inclusive con el soporte posterior. A ellos les ayuda y a nosotros nos beneficia también. Dentro de esto es importante el tema de certificaciones y también las solicitamos para mejorar y aportar a la institución. El tema de la concienciación también nos parece importante, incluyendo charlas para que desde fuera puedan ver la importancia que tiene y los usuarios se sientan más comprometidos”, destacó Vargas.

Ignacio Paredes, responsable de Seguridad Física Cibernética de Iberia – Accenture, ha señalado que “hay que dejar de considerar la ciberseguridad algo caro, si lo comparas con las pérdidas de reputación”.

Otro argumento clásico es que el fabricante no deja implantar la ciberseguridad, pero lo cierto es que “desde que empezamos a trabajar en este sector los fabricantes han avanzado incluyendo características de ciberseguridad avanzadas en sus dispositivos”, señaló Paredes.

En el caso de la ciberseguridad requiere trabajar a múltiples niveles (ver reportaje la Ciberseguridad en la Smart Factory), desde el técnico hasta el organizacional, tratar con proveedores de distinta naturaleza, partners, etcétera. “Muchas organizaciones industriales no tienen la capacidad para hacerlo correctamente. En proyectos (capitales), la figura del Trusted Advisor simplifica la gestión de la ciberseguridad; intermediario objetivo, independiente y experto; punto de contacto entre el usuario final y los implicados en el proyecto con responsabilidad de ciberseguridad; define requisitos de ciberseguridad y verifica su cumplimiento durante la ejecución del proyecto, etcétera”.

“Algunos componentes básicos del modelo de operaciones de ciberseguridad para OT pueden acelerar la inclusión de la ciberseguridad en el diseño, sin tener que esperar a un despliegue completo del modelo”, concluyó el responsable de Accenture.

Total
0
Shares
NOTICIA ANTERIOR

PONS IP lanza Singular TM, nueva línea de negocio ALSP para el registro de marcas en España y la UE

NOTICIA SIGUIENTE

La cuarta parte de las empresas industriales carece de programa de concienciación sobre ciberseguridad

NOTICIAS RELACIONADAS