En los últimos años se ha visto claramente que la ciberseguridad es un conjunto de prácticas que trascienden lo puramente tecnológico. Según Javier Diéguez, director del Basque Cybersecurity Centre, hoy comprendemos que la ciberseguridad tiene un componente de buenas prácticas, de gestión de riesgos empresariales, que han hecho que nuestra disciplina adquiera un rol mucho más transversal. La seguridad se toma ahora en cuenta como factor crítico en la capa directiva de los negocios, no tanto ya solo en la informática.
Javier cuenta con más de 15 años de experiencia en el sector de la seguridad empresarial e industrial, y ha sido el elegido para poner en marcha el centro de ciberseguridad vasco. Diéguez también formó parte del equipo de expertos que colaboró con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) para la definición de los Planes Estratégicos Sectoriales del negocio eléctrico. El experto responde:
-
¿Cuál es tu labor como director del centro vasco de ciberseguridad?
He sido contratado para crear el BCSC desde cero, abordando una serie de objetivos a corto plazo como la propia organización del centro y el establecimiento de relaciones de confianza con otros organismos estatales y europeos. También para construir unos servicios básicos que permitan elevar la madurez de la industria vasca de ciberseguridad, fomentando una cultura empresarial de protección y defensa.
El País Vasco, además de tener una sensibilización especial para la protección y competitividad de la industria, tiene un sector emergente bastante importante en el ámbito de la ciberseguridad. No hay otro lugar con una concentración tan alta de startups y de productos de tecnología de ciberseguridad. Desde el BCSC, tenemos la obligación de desarrollar ese ecosistema y de favorecer su crecimiento, de buscarle conexiones y oportunidades internacionales porque, al ser un negocio digital, no puede entenderse solo en clave local.
-
En tu opinión, ¿cuáles son las mayores amenazas actuales?
El mayor tipo de denuncias que se reciben tienen que ver con el fraude, en muy diferentes modalidades: desde phishing indiscriminado hasta ataques más dirigidos como la suplantación del CEO. En un ámbito más de industria, el core económico del País Vasco, hay otros dos tipos de ataques importantes. El primero sería el sabotaje, la interrupción de las operaciones, que es menos habitual y puede tomar muy diferentes formas en un entorno industrial. Y una segunda amenaza, mucho más difícil de detectar, el ciberespionaje. Este tipo de ataque busca principalmente el robo de propiedad intelectual para ganar competitividad y perjudicar a un potencial adversario de negocios, y el robo de información de estrategias comerciales.
-
Has dedicado gran parte de tu carrera a las infraestructuras críticas, en especial las eléctricas. ¿Cuáles son los riesgos más comunes que afectan a esta industria?
Los ataques a negocio hasta hace pocos años se consideraban poco menos que imposibles o muy difíciles de realizar. Sin embargo, los sistemas de infraestructura crítica cada vez están más conectados y ofrecen más puntos de contacto con el exterior, sobre todo para labores de mantenimiento. Debe haber una labor de vigilancia importante para que ese perímetro, esa superficie de exposición a Internet, esté bien protegida. Y también para que la separación entre redes, dentro de la propia empresa, esté diferenciada entre redes críticas y redes menos críticas. En este ámbito, hay mucho camino por hacer: la segmentación no siempre es la debida, no están bien definidos los perímetros, ni están bien protegidos para evitar accesos no autorizados ya sean intencionados o accidentales.
También hay una serie de problemas relacionados con la longevidad y heterogeneidad de los sistemas y a los ciclos de vida de sistemas que dan soporte a las infraestructuras críticas. En las eléctricas, los sistemas tienen ciclos de vida de décadas. Vemos que coexisten sistemas de muy diferentes generaciones; muchos de ellos son legacy que están fuera de soporte. No es extraño, por ejemplo, encontrarse con un Windows NT 4.0, un sistema operativo del año 1996. Estos softwares están completamente fuera de mantenimiento y ya no se fabrica parcheado.
Un tercer problema está derivado de la naturaleza de la tecnología y la política de soporte que tienen los fabricantes del equipamiento. Una compañía como Siemens o Honeywell suele poner limitaciones para que sus clientes, los operadores de infraestructura, puedan introducir mecanismos de control independientes o ajenos al paquete de soluciones que el fabricante le ha vendido. Esto limita la evolución de las protecciones en nuestro entorno.
-
¿Cómo puede una empresa aumentar su ciberresiliencia?
Las organizaciones deben diagnosticar su perfil de riesgo, hacerse un auto chequeo. Y para ello lo primero que debe hacer una empresa es encontrar un socio de confianza. Es más interesante que el socio de ciberseguridad sea independiente de la organización, guiado por el ámbito directivo de la organización que es quien conoce las prioridades del negocio, y por lo tanto puede establecer las prioridades y determinar activos y actividades más importantes que hay que proteger. A partir de esa definición de ese perfil y prioridades, empezar a dar pasos. También hay muchas medidas básicas susceptibles de ser aplicadas:
- Una protección de correo electrónico
- Filtros de navegación saliente para evitar acceder a URLs maliciosas.
- Protección de puestos de trabajo con soluciones de endpoint como puede ser la de Panda Security.
- Back-up de disco de forma habitual para hacer frente a ataques como ransomware que cifra la información de la empresa.