Entrevista con Agustín Solis, director de Sistemas de Seguridad, Thales en España
Terrorismo, intereses económicos o conflictos geopolíticos. Son muchos los motivos que pueden esconderse tras un ataque a una infraestructura crítica. Aun sabiendo que el riesgo se puede minimizar, pero nunca eliminar, es esencial estar preparado para responder a cualquier incidente, según explica el experto de Thales España Agustín Solís, director de Sistemas de Seguridad.
¿QUÉ RIESGOS ASUMEN LAS EMPRESAS QUE TRABAJAN EN INFRAESTRUCTURAS CRÍTICAS?
La ley PIC (Protección de Infraestructuras Críticas )impone una serie de obligaciones a los operadores, en el sentido de mejorar su defensa para prestar los servicios esenciales a la sociedad. No tiene carácter coercitivo y carece de régimen sancionador. Está basada en el convencimiento de que es necesaria para el país y en los principios de colaboración público-privada. España está razonablemente protegida en el entorno físico, no así en el cibernético.
¿EXISTE UN CALENDARIO QUE DEFINA CÓMO SE ABARCARÁN LOS ASPECTOS QUE FALTAN POR IMPLEMENTARSE? ¿SE DESTINA PRESUPUESTO SUFICIENTE?
El planteamiento es bastante claro en cuanto a plazos. Aun así, no todos se están cumpliendo, muchas veces porque el operador debe recabar gran cantidad de información sobre la infraestructura, que no es baladí. Además, el ámbito socio-económico y de inversión no favorece este tipo de desarrollos. Nunca es suficiente, menos aún en un entorno de control y de reducción del déficit público. Siempre haría falta más.
¿QUÉ RETOS AFRONTA THALES COMO PROVEEDOR DE SEGURIDAD?
Trabajamos en el mercado español y en el internacional para ofrecer una solución integral, dentro de un presupuesto determinado. Los riesgos proceden cada vez más del mundo ciber y no del físico, y de la combinación de ambos; un ataque físico, junto a uno cibernético, puede causar efectos desastrosos. Nuestro desafío es cubrir todo el abanico de amenazas.
¿CUÁL ES EL COMÚN DENOMINADOR EN EL DESARROLLO DE SOLUCIONES TECNOLÓGICAS
PARA ESTAS INFRAESTRUCTURAS?
En función de su situación geográfica y geopolítica, cada infraestructura tiene sus riesgos y sus amenazas.
Pero conceptualmente hay componentes de la solución comunes a cualquier tipo de activo. Por ejemplo, siempre se necesita una capa de sensorización, a través de videovigilancia o de intrusión perimetral, aunque no es lo mismo un centro sanitario en un núcleo urbano que una refinería en el desierto. La casuística es infinita cuando descendemos al detalle y a la implementación.
Ocurre lo mismo en ciberseguridad. Cada sistema de información tiene sus características, pero hay bases aplicables a diferentes casos. Tenemos que ser capaces de cubrir todo el círculo, desde el análisis de las amenazas hasta la preparación de respuesta a un ataque, para proporcionar una solución correcta al nivel de riesgo que consideremos adecuado mantener, ya que el nivel cero es difícil de alcanzar.
¿CÓMO SE PROTEGE UNA INFRAESTRUCTURA CRÍTICA Y QUE PODRÍA SUCEDER SI FALLA UN ESLABÓN EN LA CADENA?
Nuestra tecnología persigue que, en caso de incidencia, se asegure la continuidad operativa de la infraestructura; que se vea afectada mínimamente. Intentamos disuadir con un perímetro vallado o vigilado, con sistemas de videovigilancia o control de accesos, con geolocalización de dónde se ha producido la intrusión y con comunicaciones seguras para informar al operador y a las fuerzas de seguridad. Hablamos de defensa frente a actos deliberados, en contraposición a fallos de sistemas y catástrofes. La protección física tiene margen de mejora. En ciberseguridad sucede lo mismo. Pero no es fácil que un ataque con medios cibernéticos (malware o software malicioso) provoque daños en el mundo físico, porque eso requeriría un conocimiento muy profundo de las tecnologías de control industrial y de su aplicación a la infraestructura específica que se pretende atacar. Afortunadamente, las capacidades necesarias (de conocimiento, tecnológicas, financieras y organizativas) para producir este tipo de daños son muy altas. Aun así, hay que estar preparados. Aunque los sistemas sean tecnológicamente seguros, el eslabón humano suele ser el más débil y susceptible de provocar la vulnerabilidad de los mismos. Gran parte de los ataques vienen de dentro. En ciberseguridad se trata de asaltantes pasivos; los empleados son utilizados y engañados. Por ejemplo, reciben un correo, pinchan en un enlace e, involuntariamente, facilitan la entrada de un software malicioso que se propaga en la empresa. Por eso es importante la concienciación y la formación.
¿QUÉ PROPUESTAS HACE EL SECTOR PRIVADO AL REGULADOR EUROPEO?
Entre otras, establecer un sello de calidad, con un proceso de certificación voluntario y de etiquetado por parte de los proveedores de ciberseguridad; promover un enfoque de seguridad por diseño, incorporando los requisitos desde que se concibe un producto; un marco internacional equilibrado entre seguridad y privacidad; la protección de la información; centros de análisis y compartición sectoriales, y medidas para reducir la fragmentación del mercado y así crear líderes europeos en ciberseguridad que compitan con los grandes actores internacionales.
