La sexta sesión del ciclo Cepsa Diálogos en Acción abordó la cuestión de la ciberseguridad y cómo la irrupción de las nuevas tecnologías ha transformado la realidad, originando riesgos que debemos comprender e insistiendo en la importancia de fortalecer los mecanismos de defensa en la rutina diaria para protegernos de estas amenazas.
Javier Galindo, responsable de ciberseguridad de Cepsa, señaló que “no siempre somos conscientes de los riesgos que implica el uso de las nuevas tecnologías cuando accedemos a internet, el móvil o consumimos cualquier servicio digital”.
Los principales riesgos a los que nos enfrentamos son la suplantación de identidad con técnicas como el phishings (email), el vishings (llamadas de voz), el smishings (SMS) o, incluso, la inteligencia artificial. El malware, el ransomware y los virus llegan a través del correo, archivos adjuntos o descargas web, por tanto, “no realizar una reflexión puede comprometer la seguridad”. Estos riesgos se pueden mitigar con pautas básicas y lógicas, utilizando las tres P: “Prudencia, pensar antes de actuar y proteger la información”. Sugirió un gestor de contraseñas que “guarde una diferente y robusta en cada servicio, y la maestra protege al resto”.
Uno de los cinco valores de Cepsa es la seguridad y, dentro de esta, uno de sus pilares fundamentales es la ciberseguridad, dada la relevancia de esta disciplina en la actualidad. Con 11.000 empleados enfrentados a diario a este tipo de decisiones, la ciberseguridad se ha convertido en un componente muy destacado de la política de seguridad de la compañía, con charlas frecuentes a toda la plantilla y con un equipo dedicado al diseño de arquitecturas seguras de red y a la protección de los entornos industriales.
Por su parte, Máximo Hernández, responsable de Sistemas de Información de Cepsa en Canarias, abordó la informática industrial y el uso de la Tecnología Operativa (OT) en la automatización de los procesos. Los diversos sensores de una red industrial emiten una señal a los equipos que se encargan de pasarlas a los servidores de centro de control, que trabajan con la aplicación Scada. “Muchas veces, estas redes están aisladas” y, cuando hay que pasar esos datos a aplicativos de gestión de Tecnologías de la Información (IT), hay que utilizar diversos firewall administrados por el departamento de ciberseguridad “que supervisan ese tráfico”. Otros sistemas de seguridad en una planta industrial pasan por “contar con equipos redundantes” y un robusto centro de procesamiento de datos (CPD).
Destacó la importancia de la ciberseguridad en los entornos industriales en un momento en el que sufren estos ataques las centrales eléctricas, nucleares, refinerías y oleoductos de crudo.
En la mesa de diálogo, Héctor Reboso, director de Binter Sistemas, reconoció que “la ciberseguridad abarca muchos ámbitos y dimensiones a gestionar y proteger”; por tanto, hay que establecer “un marco de referencia y de buenas prácticas basándonos en normativas y estándares internacionales como ISO o NIST”.
Prevención
En ciberseguridad, “interesa trabajar en la parte preventiva y que los ataques no lleguen a comprometer nuestro sistema y organización”; por tanto, hay que contar con un centro de operaciones donde se monitoricen los eventos de seguridad que se reciben “y, de esa manera, reaccionar para protegernos”.
Una vez ocurre el ataque y los datos de la organización se filtran o se descifran (o incluso ambas), “todo es mucho más costoso y complicado” y, para recuperarlos, hay que usar las copias de seguridad. “La gran mayoría de los ataques provienen de dentro de las organizaciones, de los propios empleados, al ser el eslabón más débil de la seguridad”, alertó.
En su intervención, Ylenia Lantigua, directora de Operaciones y Procesos de Hospiten, insistió en que “hay que integrar los procesos de ciberseguridad en la rutina diaria” y aceptar que, para un acceso a un servicio digital puede pedirse al usuario, además de su contraseña, un código de verificación al móvil o el reconocimiento facial.
Hospiten trabaja en una red aislada y reconoció la complejidad de hacer entender a los sanitarios todas las medidas, lo que obliga a “un equilibrio que dificulta la operativa pero donde prima la ciberseguridad”, deshabilitando los usuarios sin actividad reciente, impidiendo la navegación libre o el poder conectarse desde casa.
Mientras, Carlos Martín, gerente de los Servicios Informáticos del Instituto de Astrofísica de Canarias, destacó que “los centros de investigación son peculiares al ser abiertos y contar con colaboradores externos”. Por tanto, para mantener la seguridad “se requiere mucha colaboración”, como en un entorno familiar, pues “una postura insegura de un miembro puede afectar a todo el colectivo”. Su mayor preocupación es que la infraestructura de millones de euros del IAC “esté disponible y operativa para su uso”.
En su intervención, Deepak Daswani, experto en ciberseguridad, reconoció que “los programas pueden tener fallos o vulnerabilidades que pueden convertirse en una brecha de seguridad”. Reconoció el salto en los estándares de seguridad y que “las empresas están concienciadas sobre la ciberseguridad e invierten en la protección de sus sistemas y usuarios”. Señaló que “hay maneras de trabajar en un entorno estable y de confianza, con un nivel de seguridad razonable”, pero reconoció que “las telarañas de los ciberdelincuentes, a veces, son muy sofisticadas” y es fácil caer.
Ovidia Soto, profesora de Tecnología Educativa y Competencias Digitales, instó “al buen uso, responsable y coherente de la Inteligencia Artificial en el ámbito educativo”, utilizando las herramientas adecuadas. Cree que es necesaria una “formación en ciberseguridad para toda la comunidad educativa” como principal medida de prevención de estos riesgos. No le gusta el concepto de nativos digitales y denomina a esta generación “los huérfanos digitales”, pues muchos menores de 20 años “no saben enviar un correo electrónico en un contexto formal”.
Mientras, José Manuel Fernández-Sabugo, director de Cepsa en Canarias, insistió en que, “si hay ciberseguridad, hay posibilidad de aumentar la eficiencia y la sostenibilidad de nuestro negocio”. “En Cepsa, llevamos 94 años gestionando la seguridad industrial, que ha ido avanzando con el paso de los años; incorporamos el concepto de compliance, es decir, hacer las cosas respetando las reglas, y ahora estamos en el capítulo de la ciberseguridad de los datos”.
Cepsa está realizando una “transformación cultural y de modelo de negocio, que no podríamos llevar a cabo sin la digitalización”. La tarea de los líderes es “definir de qué manera somos capaces de que la ciberseguridad esté presente en toda la cadena de valor y en la rutina diaria de las personas de nuestra sociedad”. La grabación de la sesión está disponible en el canal de YouTube de Cepsa.
Hemeroteca
Publicidad
Esquelas