Los días 24 y 25 de septiembre, el Centro de Ciberseguridad Industrial (CCI) ha organizado el 25 Congreso Internacional de Ciberseguridad Industrial (25 CCIcon), reuniendo en Valencia a la comunidad de expertos y empresas que están transformando la ciberseguridad en el sector industrial.
Durante la primera jornada entrevistamos a dos referentes de la Ciberseguridad en la Empresa en Aragón presentes en el evento: a Javier Ramos, CISO en Grupo Pikolin, y a Néstor Salceda, CEO en Safetybits.
R.: ¿Qué es lo que buscan dos empresas aragonesas como las vuestras presentándose a este tipo de jornada?
J: En nuestro caso concreto, lo que buscamos principalmente es, por las agendas que tenemos, intentar dedicar un día a hablar de ciberseguridad industrial, que no es muy habitual. En Aragón no hay muchos foros de ciberseguridad industrial, entonces el CCI es una buena oportunidad, sobre todo para escuchar gente, para oír distintas funcionalidades nuevas, métodos nuevos, soluciones nuevas, y a lo mejor compartir conversaciones con gente con la que habitualmente no hablamos en Zaragoza. También buscar un momento para compartir experiencias, hablar y encontrar puntos de unión o posibles soluciones que nos pueden ayudar con algún problema, alguna nueva solución que estamos buscando, alguna plataforma para el tema de la protección de las plantas de producción.
N: Yo por mi parte también, como proveedor de soluciones, al fin y al cabo lo que voy buscando son nuevas tendencias, buenas ideas, y también esos posibles contactos de gente que pueda estar interesada o incluso revendedores. Es un poquito el objetivo que yo tenía cuando he venido aquí, pero sobre todo son más ideas. Yo creo que, como ha comentado Javier, el encontrar un foro específico de ciberseguridad industrial es algo que no encontramos.
J: Yo he venido a varios foros de distintos temas de ciberseguridad industrial, y en todos ellos te encuentras cosas completamente inesperadas, como la que acabamos de compartir ahora con una gente muy joven que se dedica a romper cosas, a atacar plataformas o sistemas SCADA de plantas de producción. Creo que de todos estos encuentros te llevas sorpresas inesperadas. Al final, escuchando y conversando con otra gente, mi opinión personal es que se aprende mucho.
R: ¿Os ha llamado alguna tendencia en ciberseguridad industrial, en particular, durante la jornada?
N: Lo que yo empecé a hacer en Safety Bits era tocar la palanca de compliance. Es decir, entras, tiras de compliance y, como tienes que tener algo, ya vas con toda la parte de seguridad. Veo que está habiendo esa tendencia también a incorporar esos marcos normativos, esos marcos de buenas prácticas, ya dentro directamente del producto.
J: Por decirte algo que me ha sorprendido, no exactamente me ha sorprendido, pero sí de forma grata. Creo que, así como antes se hablaba mucho de ciberseguridad IT y toda la orientación iba pensada en el mundo IT, la parte OT productiva, entre los sustos que hemos tenido últimamente y las tendencias, está adquiriendo un protagonismo y un foco que hasta el año pasado no tenía. Nosotros venimos de una empresa que es 100% manufactura y se dedica a producir. Debemos darle importancia a la parte OT porque al final vivimos de que la producción, distribución y venta no paren. Para nosotros es esencial que la parte OT no sufra interrupciones y, si las sufre, poder asegurar la continuidad de negocio y una vuelta a la normalidad lo más rápido posible.
N: Yo creo incluso que, desde el apagón, se ha adquirido una conciencia de decir: ojo, que viene un zapatazo, no sabes cuándo te lo esperas y esto es lo que te podría pasar. Dentro de lo malo, ha servido como para poner un simulacro. Esa reflexión de qué hubiera pasado si en lugar del apagón por un fallo eléctrico hubiera sido por un ciberataque.
R: ¿Qué desafíos plantea para vuestras empresas la adaptación al marco normativo europeo actual?
J: En mi caso, como empresa cliente, al final los desafíos se marcaban hace unos años con el tema de tener una prevención lo más válida posible, reduciendo sobre todo las probabilidades de sufrir un ciberataque. Creo que todos buscamos esa misma foto. En caso de sufrir un ciberincidente, contar con roles, responsabilidades y procedimientos de actuación permite que la vuelta a la normalidad o a la tarea productiva sea en el menor tiempo posible. Esto lo llevamos en la parte IT, lo buscamos en la parte OT y lo extendemos a todo el entorno. Luego está la parte de negocio, que implica obtención de beneficio y capital, que al final es nuestra forma de subsistir.
N: Yo por mi parte, como proveedor, lo que me da un poco de miedo es cómo vamos a escalar. Los clientes que tengo ahora son clientes con educación en ciberseguridad y concienciados. Sin embargo, cuando esto sea obligatorio, probablemente tenga otro tipo de perfil de clientes. Habrá más, pero no sé con certeza qué preparación tendrán ni cómo podré adaptarme para solucionar sus problemas. Es decir, ya no sólo varía el rol de una plataforma como tal, sino qué hacemos con la gente que tiene que operarla e interpretarla.
J: Al final creo que un proveedor de servicios debe dar una buena respuesta al cliente final y estar a la altura de las circunstancias. Siempre digo que ahora viene la IA, vienen nuevas tecnologías, y muchas de las soluciones para salir de esos problemas estarán en el trabajo que hagan proveedores y fabricantes. Nosotros, como clientes, no somos capaces de revertir una situación ante un ataque de IA o uno sofisticado. Cualquier proveedor que habla de OT tiene como gran preocupación estar a la altura ante un incidente, o que su producto al menos pueda subsanar lo que ofrece.
N: Detectarlo, si es posible preparar la respuesta, recolectar los datos, o incluso dar voces hacia sistemas de protección para el cierre.
R: Por último, ¿qué papel debería de jugar Aragón en el ecosistema nacional de la ciberseguridad industrial?
J: Me gusta que me hagas esta pregunta porque yo formo parte de un grupo en Aragón que se llama IDIA, un clúster formado por CIOs y directivos, tanto CIOs como CISOs de la comunidad. En breve tenemos la idea de organizar algún evento cuya finalidad es, primero, que se hable en Aragón de ciberseguridad, segundo, que seamos capaces de llevar la ciberseguridad a cualquier tipo de empresa que lo solicite, y, al final, transmitir la idea de que debemos compartir experiencias, apoyarnos entre todos y comparar tecnologías. Se trata de crear en Aragón una tendencia de colaboración. Para mí es importante que los que tenemos el privilegio de contar con un cierto nivel, aunque no perfecto, porque nadie lo tiene, intentemos ayudar en la medida de lo posible y favorecer que quienes están en otro nivel hablen de ciberseguridad y podamos apoyarles cuando lo necesiten.
N: Creo que tenemos muchos elementos positivos en Aragón para convertirnos, quizás no en un referente, pero sí en un apoyo para que otras personas lleguen a esos niveles. La universidad está formando buenos profesionales, la gente de FP también está saliendo bien preparada. Se trata de crear esa comunidad, ese grupo, seguir compartiendo experiencias. Habrá personas que se dediquen a la aplicación en el mundo real, en la industria o la empresa; otras que se encargarán de proveer soluciones o buscarlas; habrá investigadores. Entre todos debemos seguir comunicando.
J: Como cualquier empresa, lo que buscamos es crear una cultura de ciberseguridad y que se hable de ciberseguridad. Siempre digo que hay que guardarse un trocito de cerebro para tener en cuenta, tanto en la vida personal como en la profesional, que si no consideramos la ciberseguridad podemos tener problemas. Eso se puede extrapolar: debemos hablar de ciberseguridad en la industria, a nivel profesional y en la comunidad de Aragón sí o sí. No es una opción, es una obligación.
