Ciberseguridad industrial, tecnología y talento
La evolución de la industria está en el punto de mira de los ciberdelincuentes. El aumento continuo de los ciberataques y las dificultades para encontrar expertos hacen que resulte tan necesario como crítico contar con un socio que domine la ecuación tecnología y talento.
A nivel global en 2021 el mayor número de ciberataques se dirigió al sector industrial y de fabricación, en el que la continuidad de la actividad es crítica.
La digitalización del sector industrial supone un gran salto y una clara ventaja en términos de optimización y eficiencia y, por ende, de competitividad. Sin embargo, si esta evolución no se lleva a cabo teniendo muy en cuenta la ciberseguridad, puede significar una mayor exposición a los ataques. Este riesgo en la industria tiene, además, una doble vertiente ya que en el sector industrial es tan importante la protección de los sistemas TI (tecnología de la información) como la de los sistemas operacionales (tecnología de operación) que, además, continúan convergiendo.
Si históricamente el sector banca y seguros venía siendo el más atacado, en 2021 el mayor número de ciberataques se dirigió al sector industrial y de fabricación. A escala mundial, la industria de la fabricación fue el objetivo de casi una cuarta de los ataques en 2021.
Un ejemplo sencillo es una fábrica en la que se han automatizado procesos gracias a la robótica. En un escenario de estas características, el objetivo de los ciberdelincuentes ya no es únicamente la información que reside en los activos TI de la empresa, es decir, redes, servidores, sistemas electrónicos, ordenadores y dispositivos móviles, también lo son los activos operacionales, incluyendo maquinaria, robots, sensores, sistemas de control y todo tipo herramientas que han de funcionar con máximos niveles de fiabilidad y de seguridad.
Tampoco hay que perder de vista las cadenas de suministro, objetivo prioritario de los ciberdelincuentes que buscan interrumpir la actividad. De hecho, uno de los métodos más utilizados para los ataques al sector industrial es el ransomware, que llega a representar dos tercios de los ataques a la industria.
En este contexto, la inversión en ciberseguridad no para de crecer. La consultora IDC prevé que en 2022 este mercado alcance una cifra de negocio en España de 1.749 millones de euros, con un crecimiento del 7,7%. La pandemia de la Covid-19 ha contribuido directamente al aumento de la inversión en ciberseguridad y, a la vista de lo sucedido en el último mes y medio, la guerra en Ucrania está teniendo consecuencias directas a escala cibernética.
Otra consecuencia es la demanda creciente de expertos en ciberseguridad. El informe “Análisis y diagnóstico del talento en ciberseguridad en España”, del Instituto Nacional de Seguridad (INCIBE) y el Observatorio Nacional de Tecnología y Sociedad (ONTSI), prevé que en 2024 la demanda de talento en ciberseguridad supere en dos veces a la oferta hasta alcanzarse en esa fecha una cifra de 83.000 profesionales requeridos en el sector.
La combinación tecnología y talento es la fórmula ganadora para asegurar la protección del mundo empresarial, y específicamente, de las empresas del sector industrial. Tecnología, talento y procesos son elementos de una misma ecuación para garantizar la seguridad de la información y de la operación de las plantas de fabricación.
Ante este panorama, aggity no solo cuenta con el conjunto de herramientas ‘Tool Security Suite’, también dispone de un centro propio de ciberseguridad desde el que presta soluciones y servicios integrales. Pero el valor más diferencial de la unidad Cloud & Cybersecurity by aggity se encuentra en el talento, con más de un centenar de profesionales expertos en ciberseguridad.
- Publicado en Ciberseguridad
Estándar europeo de certificación en ciberseguridad
En 2019 se sentaron las bases del nuevo reglamento europeo Cybersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y establece un estándar europeo de certificación en ciberseguridad.
La Cybersecurity Act o CSA, marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos.
En los últimos años, el mercado de las TIC se ha desarrollado hacia un enfoque basado en la nube o cloud. Este cambio, junto con el panorama legal y normativo que evoluciona rápidamente, ha tenido un gran impacto en la garantía, la gobernanza y el cumplimiento de la ciberseguridad.
Los actores de este mercado han tratado en los últimos años de proporcionar soluciones adecuadas para hacer frente a desafíos como la falta de medios para proporcionar un mayor nivel de privacidad y transparencia, así como para agilizar la gestión de riesgos y el cumplimiento normativo. En el espacio de certificación, esto dio lugar a la proliferación de distintas iniciativas, lo que generó cierta confusión.
Para paliar este problema, durante 2019 se sentaron las bases del nuevo Reglamento europeo Cybersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Su objetivo era emitir un estándar europeo de certificación en ciberseguridad (EU-SEC, European Security Certification Framework) para productos y servicios, fomentar así mismo la competitividad de las empresas en este terreno e incentivar la entrada de nuevos proveedores.
Reforzar la ciberseguridad europea
La normativa tiene como objeto el refuerzo de la seguridad europea de los dispositivos y así proteger a los ciudadanos europeos. La Cybersecurity Act es el primer reglamento europeo que incluye normas sobre la introducción en el mercado de productos con elementos digitales para garantizar su ciberseguridad y también introduce requisitos en el diseño, desarrollo y fabricación de este tipo de dispositivos, así como obligaciones de los agentes económicos.
Además, el Reglamento incluye un conjunto de directrices en la forma de tratar los puntos vulnerables establecidos por los fabricantes para asegurar la ciberseguridad de los elementos referidos, incluyendo las tecnologías operacionales, durante todo su ciclo de vida útil. Es decir, los fabricantes están obligados a notificar los puntos vulnerables y los incidentes que pueden provocar en la seguridad de los usuarios.
Al final, lo que se pretende con la normativa es que los estados que conforman la Unión Europea puedan tener un apoyo más eficaz a la hora de luchar contra las amenazas. Con la creación de este marco, los dirigentes europeos consideran que se ha creado un marco adecuado de certificación de la ciberseguridad que impulsará el mercado único digital para los productos, servicios y procesos de TIC, puesto que los certificados emitidos por cualquiera de los países que conforman la UE serán válidos en todos ellos.
Equilibrio y seguridad
Las tres ideas centrales del proyecto EU-SEC para la creación de un marco europeo que homologa ese estándar eran equilibrar las necesidades de las naciones y los sectores empresariales; evitar que los humanos asuman actividades que pueden ser realizadas por máquinas como, por ejemplo, recopilar datos; y asegurar que se brinde información precisa y fiable a las personas relevantes.
EU-SEC se ha desarrollado bajo una doble vertiente de cliente: una enfocada hacia las finanzas, liderada por CaixaBank; y otra dirigida hacia el ámbito de la administración pública, en la que han colaborado los gobiernos de Eslovenia y de Eslovaquia.
Así mismo, para cubrir los diversos aspectos que una certificación de este tipo exigiría, en EU-SEC han participado un total de nueve empresas e instituciones internacionales entre las que se integran especialistas del sector financiero y de la administración pública, investigadores tecnológicos, proveedores de cloud, auditores y expertos en ciberseguridad.
El equipo investigador del proyecto EU-SEC, integrado por 25 personas de 11 nacionalidades diferentes y procedentes de múltiples disciplinas (finanzas, administración pública, auditoría, ciberseguridad, tecnología…), ha empleado tres años de trabajo y una inversión total de 3 millones de euros.
Niveles de garantía
La Cybersecurity Act o CSA marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos. El objetivo básico, prioritario ante el incremento de los ataques basados en ingeniería social inversa, es prevenir ataques pasivos en dispositivos de bajo coste; el del sustancial, prevenir ataques escalables en dispositivos de coste medio y alto; y el del alto, preservar la soberanía y proteger al ciudadano y a la industria de organizaciones criminales.
Si bien está previsto que la certificación siga siendo voluntaria en el nivel «básico», este 2023 ENISA determinará la obligatoriedad de ciertos esquemas para los elementos de TIC de alto riesgo.
En este escenario y, especialmente ante el aumento de los ciberataques asociado al conflicto entre Ucrania y Rusia, es crítico para las empresas, especialmente en sectores como el energético, blanco prioritario de ataques, contar con un partner con un enfoque integral de la ciberseguridad y una gama completa de soluciones.
La propuesta Cloud & Cybersegurity by aggity está específicamente diseñada para asegurar la seguridad, integridad y continuidad operativa de los elementos tecnológicos, así como de los procesos y los profesionales. Se trata de un conjunto de herramientas que permiten gestionar y dar seguimiento a la seguridad y continuidad de todos los elementos tecnológicos, procesos y personas relacionados dentro del proceso de transformación digital. Incluye, además, servicios avanzados como, por ejemplo, hacking ético y pruebas de penetración.
Mejoras inminentes
A pesar de que la Cybersecurity Act ya tiene tres años desde que fue aprobada, la Unión Europea lleva tiempo preocupada por la protección de los entornos digitales. Una de las propuestas más importantes es la aprobación de la Directiva NIS2 de diciembre de 2022 y con la que se quieren eliminar las divergencias que existen entre los Estados miembros en la aplicación de la directiva sobre la seguridad de las redes y sistemas de información, conocida como Directiva NIS, de 2016.
Con ese objetivo se han redactado un conjunto de normas mínimas relativas al funcionamiento de un marco regulador coordinado y al establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz. Se incluye así mismo la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces, fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.
- Publicado en Ciberseguridad