Llegamos a ustedes gracias a:



Reportajes y análisis

CCI: La ciberseguridad de la OT

[19/06/2019] En días pasados, el Centro de Ciberseguridad Industrial (CCI) celebró un encuentro denominado "La voz de la industria peruana, y en él que se presentó una amplia comparativa del estado de la ciberseguridad industrial en Latinoamérica.

Este encuentro ha servido para compartir experiencias de distintos sectores de la industria en Perú por parte de responsables de organizaciones industriales. Durante el encuentro, un representante del gobierno de Perú presentó algunas iniciativas en ciberseguridad, que se están impulsado actualmente desde la administración. Gran parte de los sectores principales de la industria peruana están en el inicio de la transformación digital, y se ha podido conocer cómo abordar la ciberseguridad en este escenario con la experiencia de CCI.

José Valiente, director del CCI.

La integración de OT y TI

Son pocas las ocasiones en el que el tema de la OT (operations technology) surge en las reuniones. Generalmente, los foros, las cumbres y demás tipos de eventos se concentran en las tecnologías de la información (TI), pero muy pocas en la OT, muchas menos en la ciberseguridad de la OT, a pesar de su gran importancia.

La OT está directamente relacionada con el funcionamiento de las máquinas que directamente se relacionan con la producción de bienes y servicios, literalmente, a escala industrial. Las fábricas, las compañías de servicios públicos y otras industrias de estas dimensiones, por tanto, se encuentran directamente relacionadas con la OT y su seguridad.

José Valiente, director del CCI, fue el primero en tomar la palabra al inicio del evento, y lo hizo para poner en contexto lo que implica la ciberseguridad industrial.

"Cuando hablamos de ciberseguridad industrial, estamos hablando de proteger todos aquellos sistemas que se encuentran en la operación de los procesos industriales, sostuvo Valiente.

Valiente también recordó a los asistentes que los proyectos industriales no solo son proyectos de OT sino también de TI. Por ejemplo, los sistemas de OT generan datos que se pueden subir a la nube para que sean analizados por los sistemas de TI. Además, ahora incluso se pueden encontrar sistemas Scada -netamente de OT- en la nube, la integración ya es una realidad.

"Esa integración entre OT y TI está suponiendo que las áreas de OT y TI empiecen a ser una sola, un área digital de la industria, sostuvo.

Las comparaciones

Luego de la intervención de Valiente, fue el turno de Jorge Abanto y Ernesto Landa, coordinadores de CCI en el Perú, quienes se encargaron de presentar un estudio comparativo del estado de la ciberseguridad industrial en Argentina, Chile, Colombia, Ecuador, México, Perú y Uruguay.

Ernesto Landa y Jorge Abanto, coordinadores de CCI en el Perú.
CCI, OT, IT, TI

Para el informe se contó con la colaboración de diversos tipos de organizaciones: gas y petróleo, eléctrico, financiero y tributario, tecnologías de la información, fabricación e incluso administración pública.

Uno de los primeros hallazgos del estudio, es que ya se pueden encontrar empresas con un ejecutivo encargado de la ciberseguridad industrial, aunque no son muchos por ahora. La situación es preocupante, de acuerdo con Landa, porque el que sean pocos implica que en las organizaciones el encargado de la seguridad industrial es otro profesional, con otras funciones, que tiene a la seguridad industrial simplemente como otra más de sus funciones. No le va a poder dedicar la importancia que merece.

Esto obedece a muchos factores, como la madurez de la compañía, la madurez del grado de concientización de los responsables, y también de la madurez del área de TI, ya que generalmente la ciberseguridad industrial es asignada a un responsable del área de TI.

Colombia y Chile destacan positivamente en este campo. Colombia ha sido un país más proactivo al momento de generar estas posiciones, y Chile ha tenido que enfrentar duros golpes que le han movido a generar estas posiciones. Ecuador también destaca por su proactividad al respecto; de hecho, el país va a formar un ente que va a centralizar todas las estrategias de ciberseguridad de todas las organizaciones estatales.

Otro de los datos resaltantes del informe es que, en el 28% de los casos, no se ha realizado ninguna evaluación de riesgo en las organizaciones peruanas. La cifra va acorde con lo que ocurre en los otros países participantes en el estudio, que se situaron alrededor del 30%, con la excepción de Chile y Colombia que, más bien, se encuentran alrededor del 15%.

La contratación de los proyectos de ciberseguridad, por otro lado, generalmente ha recaído en las áreas de tecnologías de la información en el caso de Perú, Colombia, Argentina y Uruguay; en las áreas de negocio en el caso de México y Chile; y en el área de seguridad de la información en el caso de Ecuador.

Es preocupante que en casi el 20% de las organizaciones peruanas no exista el proceso de gestión de incidentes de ciberseguridad, una cifra que cae muy por debajo del 10% en el caso de Chile y Colombia, y más bien llega al 40% en el caso de Uruguay.

Wilfredo Angulo, representante de la Dirección Nacional de Inteligencia (Dini).
CCI, OT, IT, TI, DINI
Lo que está haciendo la DINI

En un escenario así cabe preguntarse qué se está haciendo en el país. Y las respuestas fueron dadas por Wilfredo Angulo, representante de la Dirección Nacional de Inteligencia (Dini).

Angulo sostuvo que las amenazas convencionales se han convertido en el entorno actual en ciberamenazas. Para hacer frente a ellas, se dieron un conjunto de leyes y decretos que han generado acciones que la Dini ha ido implementando.

Una de esas acciones es la identificación de los Activos Críticos Nacionales (ACN) y los Recursos Claves; los primeros son organizaciones que si son atacadas generan un impacto de alcance nacional, mientras que las segundas generan un impacto de carácter regional.

Con estos ACN se ha generado un mapa de seguridad digital que se inició a implementar en julio del año pasado en su primera fase (la fase 0). En esta fase se establecieron los niveles de madurez para la seguridad y se estableció un marco de seguridad digital.

En la fase 1, de presentación y desarrollo de cuestionarios, se establecieron seis dominios en base a los cuales se desarrollaron cuestionarios para ser enviados a las organizaciones que habían sido identificadas como relevantes por la Dini. Los dominios son: liderazgo y compromiso, gestión de riesgos, medidas de protección, detección de eventos, gestión de incidentes, e intercambio de información. Esta fase se dio entre agosto y noviembre del año pasado.

Durante noviembre se dio la fase 2 correspondiente al análisis de la información recabada. Durante este mes se realizaron 65 sesiones con los representantes de los encuestados y se logró un 84% de participación.

El resultado ha sido la determinación de nueve riesgos de seguridad digital de nivel alto: dos en el dominio de liderazgo y compromiso, uno en gestión de riesgos, dos en medidas de protección, uno en detección de eventos, dos en gestión de incidentes y uno en intercambio de información.