Charlamos con David Muñiz, Chief Information Security Officer en Talgo. Muñiz nos permite conocer más en profundidad cómo se trabaja la ciberseguridad en una empresa industrial.

CyberSecurity News (CSN): Antes de empezar, ¿podrías contarnos cómo ha sido la trayectoria de la ciberseguridad en una empresa como es Talgo?

David Muñiz (DM): Las diferentes amenazas que afectan e impactan a cualquier compañía a nivel global, tampoco pasaron desapercibidas para Talgo. Este fue el punto de partida para crear el departamento de ciberseguridad en 2019. Desde entonces, el esfuerzo del trabajo en equipo y colaboración con otras áreas nos han llevado a gobernar y gestionar los riesgos IT, OT y de producto.

CSN: Con el papel de CISO que a día de hoy tienes, cuéntanos, ¿cómo estás gestionando el desarrollo de los sistemas OT bajo el punto de vista de la ciberseguridad?

DM: Llevar ciberseguridad a una compañía desde el lado de los sistemas de información ya es un esfuerzo considerable, habitualmente marcados por presupuestos limitados y dificultad de reclutar y retener talento. En compañías con ámbito industrial, liderar y conseguir cambios satisfactorios en los escenarios OT supone un reto adicional. En nuestro caso, este cambio se está gestionando bajo las siguientes líneas de actuación:

• La identificación de riesgos y cuantificación adecuada de su impacto
• La definición de un programa de ciberseguridad OT basado en los estándares de referencia como la ISA62443, TS50701 (específico en el sector ferroviario) o NIST, que permita fijar y adaptar controles y medidas técnicas a nuestro sector
• Colaboración público-privada con nuestros clientes y proveedores, para identificar estrategias conjuntas de mejora como acelerador del cambio
• Establecer un entorno de estrecha colaboración entre los equipos de ingeniería y ciberseguridad, como fórmula para lograr alcanzar el mejor resultado acorde a las necesidades y condiciones técnicas de cada entorno

CSN: David, ¿dirías que las operaciones industriales son objetivo de ciberataques?

DM: Sin lugar a duda, solo hace falta mirar el histórico de casos registrados, o los medios de comunicación las últimas semanas, para encontrar ejemplos de casos reales. No debemos olvidar que los procesos y operaciones industriales son objeto de ciberataques cuando el foco son directamente los propios sistemas industriales, pero también colateralmente cuando son atacados los sistemas corporativos con los que están estrechamente relacionados. Nos gusta siempre hablar de la importancia de independizar los dos mundos, pero la realidad es que en una infinidad de escenarios esa independencia no llega a ser completa ni perfecta.

CSN: Durante tu trayectoria profesional, ¿podrías decirnos cuáles han sido las carencias en ciberseguridad que te has encontrado respecto a las infraestructuras industriales?

DM: Cada sector industrial lleva un ritmo diferente en la adaptación y protección de sus entornos, pero creo que las mayores carencias comunes a la gran mayoría parten de una conciencia y compromiso real sobre el problema. A partir de aquí, el resto de palancas y apoyos como una regulación sectorial más contundente, inversión adecuada en las compañías, y la resistencia al cambio cultural, serían más soportables permitiendo agilizar su gestión. 

CSN: Tecnología cloud: ¿qué necesitamos tener en cuenta a la hora de utilizarla en entornos industriales?

DM: Usar la cloud para los entornos industriales es un tema muy discutido actualmente, y los posicionamientos son variados. Considero que cada sector y escenario debe realizar una valoración real y sensata de la necesidad de involucrar la cloud en sus procesos industriales, y ponderar estos beneficios con los riesgos que implica. Hay que diferenciar los casos de uso realmente necesarios y de valor, de los que son simple marketing o capricho evolutivo.

Posiblemente sea algo imparable y que habrá que gestionar, porque hay casos con grandes beneficios indudables, pero también un primer punto clave e incluso crítico debe estar en asegurar que el caso de negocio para integrar la cloud incluye también los riesgos y costes de ciberseguridad ligados a los equipos de trabajo y medidas técnicas para su gestión

CSN: Y ya para terminar, ¿qué objetivos tenéis, respecto a la ciberseguridad, en los próximos años?

DM: Tenemos varios objetivos, entre los cuales desarrollar nuestros programas de ciberseguridad IT y OT, e incrementar la madurez y resiliencia, claramente son dos de los más importantes, pero no los únicos. 

Además de avanzar en los programas de ciberseguridad, uno de los objetivos realmente más interesantes se centra en aportar soluciones y alternativas al problema de reclutar talento. 

Más allá de buscar especialistas en la escasez del mercado laboral, nuestro objetivo es aportar a la eficiencia y valor de la compañía creando cantera de ciberseguridad industrial, a través de la especialización y reconversión hacia la ciberseguridad de personal con background de ingeniería. 

Hay mucho conocimiento sectorial y de operativa que ahora mismo solo tiene un ingeniero industrial, y donde un especialista de ciberseguridad no llega aún, sin contar los tiempos de adaptación y aprendizaje de los procesos de compañía.

Identificar y formar a ingenieros con talento y motivación para crecer profesionalmente en el ámbito de la ciberseguridad nos está permitiendo responder a las necesidades del sector y de nuestros clientes.