Tras una jornada llena de entrevistas y otros contenidos, la Sala Auditorio cerró con la mesa redonda «CISO en el sector OT»
El CISO DAY 2021 continuó con su actividad y tras la ponencia de FASTLY (resumen en este enlace) dimos paso a la que sería la última charla del día. Más que una charla, el último contenido acogido por la Sala Auditorio fue una mesa redonda llamada «CISO en el sector OT«. En ella, varios profesionales del sector nos hablaron largo y tendido de las tecnologías de operación en el ámbito empresarial. La Mesa Redonda contó para ello con varios invitados de excepción, a saber: Diógenes Mariño, CISO Corporación América Airports Uruguay; Alejandro Scatton, Cybersecurity Protection OT en Siemens; José Luis Gallego, OT Cybersecurity Architecture en Cepsa; Gersán Murcia, CISO para Canaragua Concesiones, Aguas de Telde y Teidagua; Ignacio García Egea, Director Técnico de A3Sec España.
CISO en el sector OT: A la caza de la amenaza industrial
El primero en abrir el fuego de la mesa redonda fue Ignacio García Egea, Director Técnico de A3Sec, quien se centró en threat hunting en redes OT: -«al final el threat hunting en redes OT no es más que el threat hunting IT de toda la vida pero cambiando lo que se busca. Los ciberatacantes, en lugar de buscar la filtración de datos buscar parar los sistemas, cambian el PH de una red de aguas, o la apertura/cierres de ciertas válvulas. De esta forma, los sistemas industriales sufren muchos ataques que son distintos. Al final acaban sacando información inyectando/modificando esos protocolos OT que no son iguales para todas las compañías. Usamos técnicas de threat hunting clásico pero aplicando unos artefactos con migas de pan para monitorizar todos los pasos del ciberatacante»-.
Tras esta breve presentación, dio comienzo la mesa redonda CISO en el sector OT, siendo el primero en hablar Gersán Murcia, CISO para Canaragua Concesiones, Aguas de Telde y Teidagua. Según comentó: -«en Canarias lo tenemos separado, la parte de IT y OT. Aplicamos diferentes tipos de planes de seguridad, como por ejemplo: detección de anomalías o inventario de activos. Pero todos sabemos que, al final, tenemos más telecontroles virtuales, más tendencia a motor de cálculo en la Nube y la estrategia se basa en ZERO TRUST. Aplicamos esos planes de seguridad a una zona concreta para hacer custodia del dato. Con las herramientas EDR vemos más posibilidades de infiltraciones, de movimientos laterales, etc.«-.
Conectándose con sistemas no pensados para ello
Alejandro Scatton, Cybersecurity Protection OT en Siemens, comentó sobre el tema en cuestión: -«desde nuestro punto de vista, lo que es especialmente relevante es que en esta serie de entornos vemos una combinación bastante peligrosa de cosas que nos hemos visto obligados a conectar que no estaban pensadas para ello. Además de eso, no solo las hemos conectado sino que se nos ha olvidado que las teníamos. Esta combinación de sistemas fuera de soporte, y luego no conectarse de forma segura (ZERO TRUST) conlleva que estemos en un entorno complejo de defender. Podríamos ser capaces de desplegar ciertos mecanismos para detectar amenazas sin que ello sea el esquema tradicional de desplegar soluciones basadas en agente»-.
Diógenes Mariño, CISO Corporación América Airports Uruguay, ofreció su punto de vista comentando: -«es muy importante el contexto que tenemos actualmente, donde la mayoría de aeropuertos tuvo que repensar cómo hacer las cosas. Afortunadamente, teníamos que repensar cómo hacerlo a raíz del COVID-19. Teníamos el camino bastante adelantado respecto a la segmentación de servicios y sistemas; separando IT y OT donde también tenemos despliegues EDR y ciertos sistemas de monitorización constante sobre la plataforma. Y eso nos ha llevado a tener un control medio respecto a la seguridad en estas plataformas. No obstante, tenemos mucho camino por recorrer y muchas cosas que plantear«-.
José Luis Gallego, OT Cybersecurity Architecture en Cepsa, añadió al tema: -«en Cepsa, como en cualquier empresa del sector, la ciberseguridad en estos momentos es un tema muy importante. Prestamos mucha atención y hacemos mucho hincapié en el tema de la separación de entornos IT y OT, con una adecuada segmentación. Aplicamos normativas, detección de activos, monitorización de actividades… Pero nos damos cuenta que siempre falta algo. Los malos son los que siempre llevan ventaja, y tenemos que ir a la par«-.
Ransomware, el ciberataque del día a día
Gersán Murcia, CISO para Canaragua fue el primero en responder a la reacción que tienen cuando oyen hablar de ransomware. Según comentó: -«al ver esa noticia lo primero que piensas es que no sea a mí. La primera llamada que haces es al SOC, para ver cómo estamos y se investiga. Nosotros, en Canarias, nuestro plan de inversión en temas ciber lo solemos dividir en un 50%: uno para planes de protección específicos y otro para continuidad de negocio. Hace dos años lanzamos una iniciativa para certificar las tres empresas en planes de ciberseguridad«-.
Alejandro Scatton, Cybersecurity Protection OT en Siemens comentó sobre el tema: -«cuando ocurre este tipo de incidentes, en nuestro caso no solo pensamos en una fábrica en concreto ni en varias a la vez. Es un tema que hay que acotar de manera urgente y, por lo general, lo que se suele hacer es ofrecer una respuesta adecuada desde el punto de vista del cliente. Desde el punto de vista nuestro, primero verificar si se trata de un tema ya reconocido, y luego ofrecer apoyo a los clientes«-.
Diógenes Mariño, CISO Corporación América Airports Uruguay dijo sobre el asunto tratado: -«para el negocio aeroportuario, cualquier paralización de sus operaciones acarrea un impacto operativo, social y político. El despertar una mañana y ver que una empresa amiga ha sido víctima de un ataque te hace replantearte cómo haces las cosas, cómo actúas ante esos eventos. Tenemos que estar siempre encima de las actualizaciones en temas operativos para el mantenimiento. No deja de ser una preocupación constante ser víctima de un ataque por sus catastróficas consecuencias«-.
La concienciación en ciberseguridad, clave
José Luis Gallego, OT Cybersecurity Architecture en Cepsa, comentó sobre esta hipotética posibilidad: –«lo primero es preguntar qué ha pasado, evaluarlo, etc. Después te empiezas a preguntar un montón de cosas y, partir de ahí si tienes un plan de respuesta y empiezas a mirar todo, si está actualizado, todo está bien. Al final terminas un poco con el vector de entrada, por dónde ha entrado, qué ha sido. Te das cuenta que muchas veces es el tema de concienciación en el que se tiene que hacer hincapié. Al final, siempre vienen por medio de un factor humano vía phishing o un UBS, ya sea intencionado o no«-.
En relación al threat hunting, Gersán Murcia, CISO para Canaragua comentó: -«en nuestra casa, hemos dado pasos pero estamos en fase embrionaria. Siempre tendemos a ser reactivos, o simplemente quedarnos en la parte de aplicación, no hay una parte evolutiva de investigación. Nuestras máquinas más críticas tienen sistemas EDR, buscamos comportamientos y patrones como comandos de PowerShell, usuarios de servicios que hayan intentado un inicio interactivo…»-.
Alejandro Scatton, Cybersecurity Protection OT en Siemens dijo sobre el asunto: -«creo que, al final, podemos caer en el tema de que en este mundo industrial vamos a un paso distinto. Hay una variedad de fábricas y nivel de madurez tan diverso que plantear el threat hunting como un mecanismo de protección estándar es complicado»-.
Diógenes Mariño, siguiendo los pasos de su compañero, dijo que: -«creo que nos falta madurez para implementar algo por el estilo. La idea es maravillosa, pero plasmarla en la realidad es difícil por temas de madurez corporativa. Creo que los pasos se están dando, y en algún momento vamos a tener que pensar en implementar algo por el estilo. eE justo y necesario en base a la evolución continua y la diversificación de los ataques cibernéticos»-.
