Ciberseguridad, aspecto estratégico en la transformación digital

ARTÍCULO COMPLETO
Cada vez es más evidente que hemos asimilado la ciberseguridad como una parte importante de nuestra vida personal y laboral. Si nos hubiesen dicho hace un año que nos llevaríamos las manos a la cabeza al saber que a los más pequeños de la casa se les dará clase con herramientas de videoconferencia inseguras, muchos no habríamos dado crédito. En el artículo Ciberseguridad a largo plazo, publicado en el número 400 de Nuclear España, hablamos de cómo la industria nuclear está especialmente alerta frente a los sucesos conocidos como “cisnes negros”, de baja probabilidad y gran impacto. Cuando utilizamos las tecnologías de la información para mitigar el impacto de estos «cisnes negros», que transforman el paradigma, como es el caso del trabajo en remoto durante la pandemia COVID-19, la ciberseguridad es un aspecto estratégico fundamental.

Digitalizar es “solo” un cambio…

Se etiqueta la transformación digital al nivel de Revolución Industrial y parece que si no digitalizas tu planta estás desfasado. El mercado va a querer estirarnos más de lo que necesitamos, pero hemos de ser fieles a nuestra visión y ser conservadores. Como dice el gran gurú de la ciberseguridad Patrick Miller, “antes de poner una alarma, cierras las ventanas”. Una de las primeras “ventanas” que tenemos que cerrar es conseguir que todos tengamos en cuenta la ciberseguridad en el día a día. Un cambio difícil de implantar, ya que todos aceptaremos bien un cambio “a digital” que nos proporciona beneficios, pero si ese cambio “a digital” lleva asociadas consideraciones molestas, la ciberseguridad se convierte en la cara menos amable de la digitalización.

Analógico es más seguro…

Un fallo en un sistema digital tiene los mismos impactos al negocio que ese fallo en su homólogo analógico y también la misma naturaleza de amenazas. Sin embargo, un sistema digital tiene un conjunto de vulnerabilidades que aprovechan los “ciberataques”. Pero en el fondo, el más seguro será aquel en el que se gestione su Seguridad con más eficacia. En nuestras centrales tenemos algo diferenciador: el 95 % de los activos de una planta es analógico, y estos se concentran en Sistemas No Importantes para la Seguridad. Tenemos entonces la “paradoja analógica nuclear”, el diseño clásico analógico de las nucleares nos da ventaja frente a plantas modernas. Por ello es importante mantener el “core” de los sistemas Importantes para la Seguridad en su diseño analógico.

Ciberseguridad desde el diseño

Para que un proyecto de digitalización tenga éxito, es esencial diseñar con la ciberseguridad por defecto. En las centrales españolas existe un aislamiento digital completo de los sistemas de seguridad nuclear y seguridad física, como requisito del CSN en 2012. En el ámbito de los sistemas de monitorización y control, tenemos más volumen de activos digitales a proteger. Un eficaz método es incluir un segundo aislamiento con las redes corporativas, donde enfatizamos la protección de datos de carácter personal y la frontera exterior, sin utilizar servicios en la nube que necesitemos en caso de aislarnos de internet.

Mantenimiento de la ciberseguridad

Cuando se implanta un nuevo sistema o activos digitales, es fundamental generar sus procedimientos de mantenimiento en paralelo, incluyendo entre otros, rondas de mitigación de insiders y extracción de logs. Aunando esfuerzos conseguimos generar los diseños adecuados que faciliten la ejecución de las tareas precisas de mantenimiento, para que el sistema quede preparado para asumir una auditoría de ciberseguridad completa y tenga herramientas para la detección y respuesta ante incidentes.

Respuesta a incidentes y profesionales nucleares creativos.

Es requisito de Ley que tengamos mecanismos para detectar, responder y reportar los incidentes de ciberseguridad. Reportamos con un formato según la casuística del incidente. Más difícil es detectar, pues necesitamos datos para analizar y los malos intentarán no dejar rastro. Y lo más complicado es responder. El gran problema de la ciberseguridad es que no es posible procedimentar todas las actuaciones de defensa, porque no sabemos qué nuevas armas utilizarán los atacantes ni conocemos los fallos no publicados.

Para responder a un incidente, hay que ser capaz de encontrar solución a problemas desconocidos, pero también otros enfoques a problemas conocidos.

EN LA MISMA SECCIÓN
Experiencia de Riesgos Internos/Externos en APS Nivel 1 (FS7 G.S.-1.10)