El pasado 21 de enero se celebró el primer Jueves de ISACA de 2016, que curiosamente también fue para mi el primer “Jueves” al que asisto porque me he asociado a la organización hace apenas unos meses. He querido recoger para vosotros una crónica sobre las ideas y la experiencia de los ponentes sobre un tema tan de actualidad como la seguridad en las infraestructuras críticas.
Los “Jueves de Isaca” son reuniones mensuales que organiza el capítulo de ISACA Madrid; en las que personalidades destacadas del entorno de la auditoría, el control y el gobierno de las TIC comparten sus experiencias y opiniones.
Esta primera cita trató el tema “Infraestructuras de Información Críticas y Ciudades Inteligentes“; y contó con la participación de César Pérez Chirinos, Presidente de honor de Continuam; Pedro Pablo López, Presidente de SIGECO, y de Ángel Rodríguez, Subdirector de Sistemas de Información de Canal Isabel II. La charla estuvo moderada, como es habitual, por José Antonio Rubio, Responsable de Relaciones Académicas de ISACA Madrid.
La reunión estuvo organizada como una mesa redonda en la que José Antonio Rubio iba planteando ciertas preguntas, o temas, a las que iban respondiendo los ponentes con su opinión y experiencias.
La tarde empezó con una cuestión muy directa y concisa que quizás resume la mayor preocupación que podemos tener cada uno de nosotros como ciudadanos.
¿ Están los servicios públicos de las ciudades en jaque ?
Cesar Pérez Chirinos recordó algunos casos recientes de ciberataques como el del apagón que sufrió Ucrania a principios de enero provocado por la instalación de malware en varias estaciones de energía; o el del código no autorizado descubierto en el firmware de Juniper. César subrayó que los ciberataques son cada vez más comunes, y complejos; lo que propicia una alta incertidumbre respecto a la seguridad de las TIC
Pedro Pablo López Bernal apuntó que la causa de la falta de seguridad podría estar en la velocidad a la que se ha desarrollado la tecnología en los últimos 15 años, la cual ha impedido que se pudiera gestionar adecuadamente. Pedro Pablo apuesta por cambiar el paradigma de cómo se desarrolla actualmente tanto la tecnología como la ingeniería partiendo desde cero; aunque haya que retroceder en ciertos aspectos. Además insistió en que hay una gran diversidad de actores involucrados en la Ciberseguridad, cuya coordinación es compleja.
Ángel Rodríguez: Quiso trasmitir tranquilidad, y recordó que todas las empresas, al igual que las infraestructuras críticas están expuestas al riesgo; y que por ello la forma adecuada de gestionarlo es analizándolo y estableciendo medidas. Ángel habló de cómo el Canal de Isabel II se ha ido tecnificando desde su creación en 1851. Dijo que el primer paso fue dotar de teléfono a una de los embalses; y que actualmente se gestionan 23.000 sensores y 205.000 señales. Ángel insistió en que el riesgo aparece con la inteligencia; es decir, con los algoritmos y programas, en los que se empieza a delegar muchas funciones, y que son susceptibles de tener fallos, y vulnerabilidades; y en consecuencia, de sufrir ataques.
La siguiente pregunta suscitó el debate entre las diferencias de opinión entre el entorno de la operación industrial y la tecnología .
¿ Está la Ingeniería Civil preocupada por la Ciberseguridad ?
Cesar Pérez Chirinos comenzó su turno mencionando que la Ingeniería Civil fue la primera ingeniería creada en España (1802), después de la Ingeniería Militar; haciendo énfasis en que es una disciplina con un largo recorrido histórico comparada con las TICs, y por supuesto con la Ciberseguridad. También subrayó que la Protección Civil es el precursor de la Ciberseguridad de las Infraestructuras Críticas. César argumentó que el problema de incluir la automatización o la tecnología en el ámbito operacional, es que se delega el control de la realidad física en manos de la tecnología. Lo cual supone supone asumir ciertos riesgos como el de fallo del software, o la existencia de vulnerabilidades. Además insistió con un ejemplo sobre los coches Formula 1, en que la resilencia está reñida con la eficiencia que se intenta conseguir con la incorporación de las TIC. Para terminar su turno, César contestó a la pregunta planteada, diciendo que la ingeniería está preocupada por la Ciberseguridad, tanto en cuanto depende de ella; y son los ingenieros los que tienen la responsabilidad civil de las infraestructuras.
Pedro Pablo López Bernal expuso la idea de que para una mejor gestión de la seguridad en las ciudades inteligentes habría que sintonizar y coordinar cada uno de los planes de la ciudad como son los de saneamiento, salud, comunicaciones, transportes y abastecimientos. César enfatizó la importancia de la capacidad de resilencia. y la de manejar un plan de continuidad. En ese sentido propuso el fomento y el desarrollo de la cooperación público-privada describiendo el ejemplo del municipio madrileño de Tres Cantos. César terminó su exposición incidiendo en que el punto crítico de fallo en la cadena de suministro está en la vigilancia y el mantenimiento. Comentó que los mayores esfuerzos se hacen en la creación y desarrollo de los proyectos; pero que dado que el tiempo deteriora las infraestructuras, es esencial el mantenimiento.
Ángel Rodríguez habló del IoT poniendo algunos ejemplos como el de los sistemas de señalización de semáforos, el de los coches no tripulados, y el de los sistemas de inteligencia artificial que son capaces de reconocer objetos. Ángel estuvo de acuerdo con los otros compañeros de mesa en que a los ingenieros no les da confianza delegar en las “máquinas”.
¿ Existe legislación suficiente aplicable a las infraestructuras críticas ?
Cesar Pérez Chirinos contestó a la pregunta haciendo referencia a la Ley PIC, y a la gran cantidad de legislación general a la que se deben adecuar las organizaciones. Pero de cualquier forma, subrayó, que esta legislación está orientada a las organizaciones. Cesar añadió, que a parte de cumplir la legislación, es primordial aplicar el sentido común; y terminó diciendo que la ciberseguridad es un tema multidisciplinar que hay que abordar de forma trasversal.
¿ Se pueden trasladar las buenas prácticas de la seguridad informática a los sistemas de control ?
Pedro Pablo López Bernal opina que las buenas prácticas no es que se puedan trasladar los sistemas de OT, sino que es algo que deberíamos incorporar todos en el día a día. Pedro comentó que lo primero antes de aplicar las buenas prácticas es unificar la terminología; puesto que el mismo concepto se denomina con términos distintos según el entorno en el que se aplique; y como ejemplo dio la palabra “servicio” . Por otro lado, comentó que para impulsar la adopción de buenas prácticas es interesante hablar del impacto de las amenazas.
Ángel Rodríguez puso de manifiesto la existencia de dos culturas distintas dentro las organizaciones industriales; una la de operación, y otra la de IT. Comentó que este hecho dificulta la adopción de la Ciberseguridad. En este sentido, subrayó que la convergencia de IT y OT es la clave para gestionar el riesgo. Y en relación a la legislación añadió que la Ley PIC está impulsando la concienciación sobre la seguridad informática; pero que lo habitual es que las organizaciones “no se pongan las pilas” hasta que son designados como infraestructuras críticas.
¿Se debería tener en cuenta la continuidad del negocio en la planificación de las ciudades inteligentes ? ¿Existen objetivos de resilencia claros ?
Cesar Pérez Chirinos se explayó en esta pregunta, pues trataba el tema en el está centrado en su última etapa profesional. De hecho, tanto él como Pedro Pablo López Bernal son miembros de la junta directiva de Continuam ( Instituto de la Continuidad del Negocio ) . César expresó que la continuidad del negocio en las ciudades inteligentes es un tema que requiere una reflexión profunda. En principio se puede partir de los planes de continuidad que vayan desarrollando y adoptando las empresas a nivel individual; pero la complejidad aparece cuando se produce un evento a gran escala que afecte a un conjunto grande de organizaciones, como puede ser una gran nevada, o un desastre natural. César sugirió que muchas veces buscamos la continuidad mediante la tecnología; y no caemos en la cuenta de que la solución puede estar en un proceso manual como una elemento humano que presione una palanca, o un acuerdo entre compañías para cubrir cierto servicio. Para ilustrarlo con un ejemplo, César habló de los antiguos acuerdos entre ganaderos del norte de España, mediante los cuales en caso de incendio del establo, las reses podían ser acogidas por otro ganadero.
Pedro Pablo López Bernal relató su experiencia sobre continuidad en el ayuntamiento de Tres Cantos; donde aplican un sistema basado en la metodología 3×3, y construyen el ciclo de resilencia basándose en los índices de confianza. Además insistió en que la continuidad en las ciudades inteligentes es conveniente que esté coordinada con el grupo de Protección Civil.
Ángel Rodríguez habló de la existencia de los planes de pruebas de continuidad; pero que en muchas ocasiones son difíciles de poner en marcha. Para poner un ejemplo, lanzó una pregunta al auditorio sobre el posible grado de seguimiento de la ciudadanía en un simulacro de desastre en la ciudad. Con ello quería enfatizar lo complicado de paralizar cualquier tipo de actividad en una gran ciudad como Madrid; y en su opinión, hoy en día, los ciudadanos no están preparados para ello. Para terminar, Ángel quiso transmitir una idea de optimismo a cerca de la evolución tecnológica, y apuntó los beneficios que podremos obtener del IoT gracias al análisis de los datos mediante las nuevas técnicas de Big Data. En este este aspecto comentó la oportunidad que ofrece el Big Data para la detección de comportamientos anómalos, que faciliten la corrección y adaptación de los procesos; y una iniciativa para emprendedores que consiste en una plataforma de información global.
Ronda de preguntas
En el espacio de preguntas del auditorio, salieron cuestiones de relevancia como:
¿Qué se puede hacer con los sistemas heredados? Es una responsabilidad de todos
¿Por qué aplicar cibeseguridad si supone incremento de coste ?
¿Existe hoy en día una dependencia absoluta de los servicios ciudadanos con respecta a la electricidad ? Si, pero hay sistemas de baterías adecuados.
Y se escucharon también sentencias interesantes como:
Los ciudadanos somos parte del IoT en las ciudades inteligentes
La educación y la concienciación son claves para que las ciudades del futuro sean sostenibles y resilentes
El reciclaje y el aprovechamiento también forman parte de la eficiencia de la ciudad
Por último, reseñar, que desde la mesa, se animó a los auditores de ISACA a contribuir con su granito de arena en sus organizaciones, con el objeto de promover y propiciar los planes de continuidad y resilencia.