Parece que con el Iberian Blackout 28A y cierto crecimiento de la preocupación por la ciberseguridad en la industria desde hace un par de años muchos directivos no saben por donde empezar.
10 de abril de 2025.
Han pasado mas de 15 años desde que empecé a escribir artículos relacionados sobre la ciberseguridad industrial. El motivo fué porque me parecía realmente absurdo como los directivos de las compañías por aquella época estaban en la mas absoluta ignorancia y querían seguir siendo ignorantes del riesgo de un ciberataque, principalmente porque la pela es la pela.
Actualmente hemos sobrepasado con creces la fecha de caducidad de la ignorancia autoinducida, ha habido miles de ataques con graves repercusiones. Las organizaciones de cibercriminales, ciberterroristas y las propias agencias de seguridad nacional adhoc de muchos paises que participan de la generación del propio problema en vez de resolverlo están a años luz de la sociedad, campan a sus anchas atemorizando y destruyendo allí donde deciden actuar.
Existe bastante probabilidad de que un IB 28A vuelva a producirse, o que incluso se extienda mas allá de los pirineos y logre tirar otros grids.
Si eres un directivo, aun no han atacado a tu empresa pero estas viendo las barbas del vecino remojar te preguntarás : madre mia ¿ por donde empiezo ?
La verdad que la respuesta es complicada.
Desde hace bastantes años suelo dar explicaciones y algun curso de ciber en reducidos grupos, y siempre he tenido una dificultad similar, ¿ por donde empiezo a explicar ?.
Hace algún tiempo creé cierta metodología, una que da respuesta a este problema a través de abordar tres principales aspectos:
PTH - Perspectiva temporal histórica
RYE - Recomendaciones y estándares.
LYR - Legislación y reglamentos.
La PTH aporta un fondo, una base para el preocupado directivo o los diferentes stakeholders que necesitan poder entender conceptos que escuchan a diario de unos y otros entendidos en ciber pero que aunque pueden llegar a dilucidar realmente no tienen un verdadero conocimiento sobre ellos. Y una herramiente muy util para esto es volver la mirada atrás y tener a mano una linea cronológica a que arroje luz.
La PTH requiere un artículo completo pero a grosso modo podríamos decir que la ciberseguridad no es algo de los años 2000, ni si quiera de los años 90, es tan temprana como del año 1967 : por un lado hay registrado uno de los primeros hackeos, y por otro Wills Ware escribió un ensayo llamado "Security and Privacy in Computer Systems" que compartió en la Joint Computer Conference de Nueva York.
Increiblemente, seguro que no lo esperáis, este artículo de Ware tuvo su relación con los guionistas de Wargames, sí, la película de los 80 "Juegos de Guerra" con título en castellano ( una de mis preferidas ) que acojonó a Ronald Reagan cuando la vió.
Fred Kaplan describió en su libro “Dark Territory: The Secret History of Cyber War” como Ronald Reagan tras ver la película preguntó si era posible que ocurriese algo parecido al guión de la misma, a lo que parece ser que el General John Vessey como Jefe del Estado Mayor respondió dias mas tarde con la famos a frase “Mr. President, the problem is much worse than you think.”
Con esto quiero decir que llevamos mas de 55 años con el problema de la ciberseguridad, NO ES DE AHORA.
A muchos no le sonará de nada la cantidad de leyes y normas que en los EEUU se desarrollaron durante los 70s, 80s y siguientes decadas. Pero seguro que le sonará el atentado del 11S y el ya mítico Stuxnet.
A muchos tampoco le sonará la contidad de hijos de Stuxnet y ciberataques que han ocurrido en los últimos 20 años, ni si quiera le sonará el concepto de convergencia en tecnologias y metodologías entre IT y OT.
Pues todo esto lo aporta la PTH, de ahí su importancia.
La RYE es el conglomerado de normas y recomendaciones o buenas practicas a lo largo y ancho del mundo pero principalmente con origen en EEUU. La PTH aporta la base para llegar a comprender la maraña que se ha llegado a formar entorno a la ciberseguridad.
Por ahora Trump no ha decidido cortar el acceso a la vasta cantidad de información sobre ciberseguridad que puede ser consultada en la DoD, DHS CISA, NIST, NERC... pero el día que lo haga lo vamos a lamentar porque podemos acceder a documentacióntan temprana como de los años 60 y curiosamente gestionar temas tan actuales como de 2025.
A grosso modo decir que como referencia debemos tener principalmente la 27001 a modo general y respecto a industria la 62443 y 27019... hay mas, muchas mas, pero estas principalmente.
Es muy muy duro si nunca se han tratado conceptos básicos de seguridad meterles mano, por lo que siempre se recomienda localizar algun recurso gratuito como youtube y una caja de Nolotil.
Haré mas adelante aproximaciones a ellas asi como una tabla comparativa entre las decenas de normas y recomendaciones...
La LYR es la parte mas dura, pero la que mas "daño" en comparación puede generar a una compañía en cuanto a coste se refiere, pero debe ser vista como una oportunidad para decididamente abordar el problema de la ciberseguridad porque si no se hace te lo van a reclamar en un juzgado, o igual se te mete un ramson que te encripta hasta las copias de seguridad por inútil.
Principalmente, como he venido avisando, la NIS2 es un golpe en la mesa, ya se acabaron las tonterías, o la industria se pone las pilas o si antes no es ciberatacada por su negligencia se verá penalizada en el mercado y en los tribunales.
El sector energético es el que ahora mas conozco y lo siento pero tengo que decirlo, VAYA DESASTRE SEÑORES, por Dios Santísimo, gástense el puñetero dinero y sobre todo TOMÉNSELO EN SERIO, ahora no vengan pidiendo "informes sobre ciberseguridad de los sistemas" como si ustedes se hubiesen preocupado antes de crear el Plan de Ciberseguridad de marra para sus propiedades y su cadena de suministro, que no lo han hecho.
Si no queremos otro IB 28A entonces PÓNGANSE LAS PILAS.
Para terminar recomendar pero con precaución la contratación de una buena consultoría, y para mí una buena consultoría es aquella que esta fuera de la categoría del "cuentaovejas", busque el chiste en intenet que seguro que les es útil.
Una ayudita : https://www.chistesbromasymas.com/chiste-el-consultor-adivino/
Javier G. Sáenz
Ingeniero Senior IT&OT
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT
No hay comentarios:
Publicar un comentario