“Hemos avanzado pero sigue existiendo una enorme desconexión entre la seguridad que exhiben las infraestructuras críticas y la protección que marca la ley”. Mario García, director general de Check Point para España y Portugal, resume el panorama de seguridad que exhibe el segmento industrial más crítico en España. Una reflexión al hilo del estudio, “Estado de la ciberseguridad en los operadores de infraestructuras críticas, en España”, que se ha realizado para evaluar su situación una década después de que entrara en vigor en España el Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) de obligado cumplimiento para los 12 segmentos estratégicos industriales (Administración Pública, agua, alimentación, química, TIC, espacio, sistema financiero y tributario, transporte, energía, industria nuclear, instituto de investigación y salud) y los más de 100 operadores que se encargan de abastecer los servicios esenciales de los españoles en estos apartados.
Un informe en el que se ha interrogado a poco menos de la mitad de los operadores en cinco áreas (agua, sistema financiero y tributario, transporte, energía e industria nuclear). La conclusión más dolorosa es que dos de cada diez operadores reconoce que no han evaluado su nivel de riesgo contra una ciberamenaza. Una cifra que en el segmento del agua y del transporte alcanzan, respectivamente, el 40% y el 44%, respectivamente. En los lados ms positivos, el hecho de que el 57 % sí ha realizado una evaluación técnica y el 51 % ha llevado a cabo una evaluación organizativa. Eso sí, el 5 %, el baremo más grave quizás, no sabe si ha evaluado este riesgo.
Conexiones y sensibilización
La conexión entre los sistemas de control industrial (SCI) y las informáticas es motivo de preocupación. Miguel García-Menéndez, vicepresidente del Centro de Ciberseguridad Industrial, desveló que en el 11 % de los casos la red corporativa de la empresa y la industrial está conectada con los SCI. En el lado positivo, el 22 % asegura que se encuentran absolutamente separadas y el 27 % confirma que la red industrial presenta distintos niveles de segmentación.
En relación a la sensibilización, uno de cada cuatro directores de estos operadores no está sensibilizados acerca de la seguridad, “a pesar de que la ley cita al Consejo de Administración como directamente responsable”, apunta Mario García. En el lado más positivo, el 38 % asegura que está “bastante” concienciado.
Por segmentos, el sector de aguas está por debajo de la media en sensibilización de los responsables de negocio: el 67% de los directivos no está concienciado sobre el efecto que puede tener un ciberataque.
García-Menéndez resumió que hay que trabajar para incrementar las evaluaciones de riesgo, en una adecuada conexión de las redes industriales y en sensibilizar más a la dirección.
Medidas de protección
A pesar de ello, las predicciones para el futuro son positivas: el 75 % de los encuestados considera que la inversión en ciberseguridad industrial se incrementará en los próximos meses.
Su uso de las herramientas de protección se refleja en que más del 50 % cuentan con firewalls convencionales, antivirus e IDS/IPS y, además, llevan a cabo auditorías de seguridad interna y una gestión de la respuesta a incidentes. Sin embargo, menos del 20 % utiliza firewalls industriales específicos y gestiona la seguridad de su cadena de suministro.
