SIA es la empresa especializada en ciberseguridad del grupo Indra. Con más de treinta años de trayectoria, lideran el sector en España y llevan el concepto de ciberseguridad más allá que sus competidores, tanto por el alcance de los servicios que proporcionan, como por el nivel de compromiso, agilidad, innovación y cercanía que caracteriza a su forma de hacer las cosas.
Mar Sánchez, Cybersecurity Key Account Manager en SIA, an Indra company, nos cuenta en esta entrevista el panorama actual de la empresas gestoras de agua ante las amenazas cibernéticas y de qué forma contribuye SIA a hacer frente a los retos.
¿Cuáles son los retos actuales a los que se enfrentan las gestoras de agua en materia de ciberseguridad?
Según el informe del World Economic Forum de 2022, en la actualidad, nos enfrentamos a una situación muy complicada porque, por una parte, la pandemia ha incrementado de forma aguda nuestra dependencia de los sistemas digitales y, al mismo tiempo, ha llevado a muchas organizaciones a estar más abiertas y expuestas y, en algunos casos, ha mostrado la vulnerabilidad de sus sistemas.
Esta combinación nos lleva a un escenario en el que se esperan ataques de cada vez mayor volumen y sofisticación a grandes infraestructuras estratégicas, tales como las relacionadas con la gestión del agua, con potenciales consecuencias muy graves para la sociedad y los estados.
Si a este peligroso cóctel, añadimos la escasez de profesionales especializados disponibles y las restricciones económicas que muchas organizaciones afrontan en la actualidad, nos encontramos ante un gran desafío para llevar a cabo una adecuada gestión de riesgos de ciberseguridad por parte de las gestoras de aguas.
¿De qué forma SIA ayuda a hacer frente a estos retos?
En SIA conocemos la paradoja a la que se enfrentan las organizaciones en la actualidad, con grandes retos que afrontar, y al mismo tiempo, presupuestos limitados para llevarlos a cabo. Es por ello, que nuestra sólida experiencia en la protección de las infraestructuras críticas y nuestro conocimiento tanto del negocio como de las tendencias actuales en materia de cibercrimen, nos permiten asesorar a las gestoras de aguas para ayudarles a priorizar lo que es realmente importante, de manera que puedan maximizar sus inversiones en ciberseguridad y conseguir una mayor protección de sus activos y procesos críticos.
"En SIA conocemos la paradoja a la que se enfrentan las organizaciones en la actualidad, con grandes retos que afrontar, y al mismo tiempo, presupuestos limitados para llevarlos a cabo"
Además del asesoramiento en los niveles más estratégicos, disponemos de capacidades para hacernos cargo de la gestión, la operación y la monitorización de la seguridad IT y OT; para esta, hemos definido una especialización que nos permite dar un servicio alineado con la protección, detección y respuesta ante incidentes en este tipo de tecnologías. También, aseguramos la disponibilidad de los procesos críticos mediante planes de continuidad de negocio y gestión de crisis. Por último, la gestión de identidades en entornos OT, gestión de PKI en entornos industriales y firma digital de facturas y sellado electrónico, son sólo algunas de las soluciones que más demandan nuestros clientes del sector de la gestión del agua.
¿Por qué es importante tener en cuenta la ciberseguridad en la gestión de infraestructuras críticas relacionadas con el agua?
La gestión de las infraestructuras críticas es cada vez más digital. Procesos tales como el tratamiento del agua, la potabilización, el control de la calidad, la desalinización, la depuración, el abastecimiento, etc., hoy en día, son impensables sin el uso de las tecnologías IT y OT. Todos estos procesos son monitorizados mediante la captura de información del entorno físico a través de sensores con el fin de medir determinados parámetros y actuar sobre dicho entorno ante determinados eventos. Por tanto, para una correcta toma de decisiones, es de vital importancia que en la información recogida se cumpla el principio de integridad y dicha información no haya sido manipulada. De igual manera, ha de cumplirse el principio de disponibilidad, ya que una parada de estos procesos debido a un fallo o un ciberataque puede provocar problemas de incalculables consecuencias tanto para la salud de las personas como para el ecosistema.
En este punto, la protección del valor de la información es algo crucial en la estrategia de transformación digital de las organizaciones, donde sus datos son cada vez más numerosos y críticos, y las soluciones de continuidad de negocio les ayudan a evitar la pérdida de datos y reducir los tiempos de inactividad provocados por amenazas externas, indisponibilidades de red, errores humanos y otras interrupciones del servicio. Es fundamental contar con especialistas para definir e implementar las estrategias de respaldo y recuperación ante desastres que son esenciales en estas circunstancias, y que permiten a las organizaciones recuperar el servicio en minutos en vez de horas, días y semanas. Y, finalmente, igual de importantes los principios de confidencialidad, autenticidad y trazabilidad.
En definitiva, proteger las infraestructuras que gestionan este bien esencial es clave, y dado que en la gestión de este tipo de infraestructuras cada vez cobra mayor fuerza las tecnologías IT y OT, la ciberseguridad desempeña un papel protagonista para llevar a cabo este objetivo con éxito.
Bajo su punto de vista, ¿cree que los operadores deben darle mayor importancia a la ciberseguridad en la cadena de suministro?
Las infraestructuras críticas están muy reguladas y la sociedad, a través de los organismos reguladores, exige que su gestión se lleve a cabo en un marco de ciberseguridad cada vez más exigente. Esto implica que la superficie de ataque de la propia infraestructura se desvíe hacia proveedores y otras terceras partes que interactúan de alguna manera con la propia infraestructura.
Por tanto, si el operador está bien protegido y los cibercriminales requieren de una gran inversión para poder llevar a cabo un ataque, quizá, lo más eficiente para ellas sea buscar hacer el máximo daño con la mínima inversión, mediante un ataque a la cadena de suministro. Dado que los operadores están cada vez más especializados y externalizan muchas de las funciones que quedan fuera del core de su negocio, es de vital importancia prestar atención al riesgo que entraña trabajar con terceros.
Tradicionalmente, las organizaciones se han apoyado en servicios de terceros, cuya prestación ya implica acceso a información confidencial, recursos o sistemas de aquellas. A pesar de los innumerables beneficios de la digitalización, surgen también nuevas amenazas de ciberseguridad y vectores de ataque que ponen en riesgo, de una manera continua, dinámica y dirigida, la cadena de suministro en la que se basa la entrega de los servicios digitales a clientes; comprometen su disponibilidad, así como la seguridad, integridad y confidencialidad de los activos de información que se manejan en la gestión de dichos servicios.
En los últimos años, se han multiplicado exponencialmente las brechas de ciberseguridad, siendo origen de muchas de ellas vulnerabilidades existentes en los recursos y procesos de terceros que intervienen en alguna de las fases del ciclo de vida de la cadena de valor de un servicio; esto puede conllevar un impacto directo en la responsabilidad que asume la organización propietaria del servicio a nivel económico, contractual, reputacional, de cumplimiento, etc.
"La ciberseguridad desempeña un papel protagonista para llevar a cabo este objetivo con éxito"
Los procesos de análisis y gestión de riesgos de ciberseguridad deben considerar, de una manera global e integrada y en sentido amplio, todos los activos que intervienen en la cadena de suministro o valor, y no solo aquellos que forman parte del perímetro interno de las organizaciones. Es por ello, que los terceros también deben de formar parte de la estrategia de protección y monitorización, estableciéndose procesos y controles específicos, tanto a la hora de seleccionar inicialmente a un tercero, como a la hora de verificar periódicamente que las garantías de ciberseguridad no se relajan en ningún momento y continúan siendo efectivas.
