1 25 Table of Contents 27 108

Segurilatam 004

26 Primer cuatrimestre 2017 artículo técnico Infraestructuras estratégicas E l Centro de Ciberseguridad In- dustrial (CCI) ha realizado una serie de estudios sobre el es- tado de la ciberseguridad industrial (CI) en distintos países de Latinoamérica, co- menzando por Brasil y Colombia y es- tando actualmente en elaboración los correspondientes a Argentina, Chile, Pa- raguay, Perú y Uruguay. Este ejercicio de análisis de la situación en las organiza- ciones industriales de la región ha per- mitido recabar una información lo sufi- cientemente relevante como para poder ofrecer una descripción de cómo dichas organizaciones perciben su entorno. El sector más ampliamente represen- tado en los diferentes estudios realizados ha sido el energético –subsectores de electricidad, gas y petróleo–, seguido del sector financiero y tributario y el de las tecnologías de la información (TI). Desde el punto de vista técnico, entre las medidas más adoptadas cabe citar las siguientes. Evaluaciones de riesgo: más de la mitad de las entidades par- ticipantes declararon haber realizado evaluaciones organizativas (de sus po- líticas y procedimientos); casi la mitad, evaluaciones técnicas (relativas a la seg- mentación de sus redes, pruebas de in- trusión en sus redes y sistemas, etc.), y, en menor proporción, evaluaciones de cumplimiento normativo. Por su parte, la gestión de incidentes se delega principalmente en el perso- nal de TI, aunque algunas organizacio- nes aún no tienen definido un proceso específico o están en fase de hacerlo. En tercer lugar, la segmentación de re- des se reconoce como una práctica ha- bitual, mediante el empleo de dispositi- vos de filtrado, con el fin de aislar física- mente las redes corporativas de las de planta, si bien sólo la mitad de las orga- nizaciones encuestadas ha establecido distintos niveles de segmentación den- tro sus redes industriales. Estas últimas tienden a estar conec- tadas a Internet, bien sea de forma per- manente o bajo petición temporal, aun- que aún existe un número muy sig- nificativo de organizaciones que dice tenerlas totalmente aisladas. El motivo de las conexiones –cuando se produ- cen– es, principalmente, el soporte y mantenimiento por parte de terceros (entre un 50 y un 100 por ciento, según los países), siendo inferior a un 50 por ciento en aquellos cuya justificación es la gestión remota de los sistemas (lle- vada a cabo por personal interno). En el apartado organizativo, y comen- zando por la responsabilidad en ma- teria de protección de los sistemas de control industrial, puede decirse que di- cha actividad no tiene un claro respon- sable. Depende de la organización. En unos casos queda en manos del área de seguridad de la información –si existe–. En caso contrario, suele ser la unidad de TI corporativa quien se hace cargo, siempre en coordinación con las áreas de seguridad física. En cuanto a la figura al frente del área, más de la mitad de las organizaciones encuestadas apuntan al CISO (Chief Information Security Offi- cer). En último término, sobre la con- tratación de proyectos de CI, la deci- sión corre principalmente a cargo de las áreas de TI, con el apoyo de las de ne- gocio y de automatización industrial. En este sentido, en lo relativo al perfil de los proveedores de CI, destacan las consultoras especializadas y las firmas de ingeniería o empresas integradoras del sector industrial, las cuales cuentan con sus propios recursos. Resulta, ade- más, muy positivamente valorado por las empresas contratantes que sus pro- veedores ofrezcan profesionales certifi- cados como parte de sus equipos. Hay que destacar, finalmente, que las expectativas de crecimiento de la CI de- claradas por las empresas participantes resultan muy halagüeñas. La mayoría de ellas reconoce estar en disposición de iniciar nuevas acciones en el ámbito de la CI en el próximo año e incluso en los próximos seis meses, además de consi- derar que el presupuesto e inversión a futuro en CI crecerá exponencialmente. Iniciativas En Latinoamérica, todos los países dis- ponen ya de algún tipo de legislación José Valiente Director del Centro de Ciberseguridad Industrial (CCI) Susana Asensio Miembro de la junta directiva del Centro de Ciberseguridad Industrial (CCI) Claves para mejorar la ciberseguridad en los servicios esenciales de Latinoamérica Las expectativas de crecimiento de la ciberseguridad industrial declaradas por las empresas latinoamericanas participantes en los estudios del CCI resultan muy halagüeñas

RkJQdWJsaXNoZXIy ODM4MTc1