martes, 2 de julio de 2013

"Puede ser más fácil intentar vulnerar una infraestructura desde el ciberespacio que desde el mundo físico"

Samuel Linares es Director del Centro de Ciberseguridad Industrial (CCI), Experto Evaluador de la Comisión Europea y Experto CIIP (Critical Information Infrastructure Protection) de ENISA (European Network and Information Security Agency). Con más de 18 años de experiencia en seguridad, integración de sistemas y gestión proyectos multinacionales y multiculturales, ha sido el principal impulsor del concepto “Ciberseguridad Industrial” en español, lo que le ha llevado a ser reconocido como uno de los mayores expertos iberoamericanos en este ámbito y a participar como ponente, chairman y profesor en numerosos eventos en todo el mundo (España, Estados Unidos, Reino Unido, Bélgica, Qatar, México o Argentina, en otros).

Samuel cuenta en su haber con numerosas certificaciones en el ámbito de la ciberseguridad, como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor o BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, además de otras específicas de distintos fabricantes el mercado, y es Ingeniero Técnico en Informática por la Universidad de Oviedo y Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara.

Puede seguirse su actividad habitualmente a través de su cuenta twitter @infosecmanblog o su blog http://blog.infosecman.com






Samuel Linares


Se te considera uno de los principales impulsores del concepto de "ciberseguridad industrial" en español, lo que te ha llevado a ser reconocido como uno de los mayores expertos iberoamericanos en este ámbito. ¿Qué entedemos por ciberseguridad industrial y por qué es tan importante?

Gracias por el piropo. En el ámbito hispanohablante existen excelentes profesionales de la ciberseguridad que quizás han tomado otros caminos de  especialización. Probablemente mi terquedad  e insistencia en querer hacer que la ciberseguridad en el ámbito industrial tomase la importancia que se merece, ha sembrado esa percepción  en el mercado. He dedicado alguna línea que otra, y desde luego muchas conversaciones, a defender el concepto respecto a otros como seguridad SCADA o seguridad de los Sistemas de Control. Siempre defiendo la definición que en su momento trabajamos en nuestro equipo: la Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías. Este aspecto hoy en día es vital, puesto que buena parte de nuestros servicios esenciales e infraestructuras críticas, residen finalmente sobre infraestructuras industriales que, desde hace unos años, también están expuestas a nuevas amenazas en el ciberespacio.

¿Qué son las infraestructuras críticas de un país y quién las quiere atacar?, ¿por qué y para qué?

Desde una perspectiva general, las infraestructuras críticas son aquellas responsables de prestar los servicios esenciales para un país, que aseguran el modo de vida que todos tenemos. Hablamos pues de sectores como la energía, el transporte, sistema financiero, telecomunicaciones o el sector del agua, entre otros. Todas estas infraestructuras hoy en día utilizan tecnologías de la información que, de un tiempo a esta parte, han pasado a estar igual de expuestas que otros entornos más conocidos hasta ahora y por tanto se han convertido en objetivos claros para grupos con actividades maliciosas en el mundo tradicional (como terroristas, estados, etc.). Ahora puede ser más fácil intentar vulnerar una infraestructura desde el ámbito del ciberespacio que desde el mundo físico y estos grupos están tomando posición reconociendo infraestructuras accesibles desde Internet, recopilando información e incluso accediendo o vulnerando las mismas, como se ha constatado en recientes estudios al respecto.

¿Existe un perfil del ciberdelicuente?

Probablemente no solo uno, sino varios. Lo mismo ocurre si le quitamos el prefijo "ciber". Dependiendo de la actividad, el objetivo o el entorno, el perfil de las personas que están detrás de los ataques varía mucho. En nuestro ámbito, el industrial, el de las infraestructuras críticas, probablemente quienes menos nos preocupen sean los "ciberdelincuentes ocasionales" o como se les venía llamando, "script kiddies", personas que simplemente prueban ataques sencillos, automatizados, sin un  objetivo concreto, pocos recursos y con bajos conocimientos técnicos. Nuestra mayor preocupación hoy en día viene de los ataques dirigidos que suelen venir acompañados de profesionales de altísimo nivel, conocimiento, experiencia y apoyados con cantidades muy importantes de recursos (humanos y económicos). Los objetivos en este caso suelen estar meridianamente claros… cuando llegan a conocerse.

¿Hay conciencia de estos peligros entre los profesionales de las nuevas tecnologías?

Cada vez se va incrementando el nivel de conciencia sobre los riesgos asociados al entorno industrial. Sin embargo aún queda mucho por hacer. El factor humano siempre es el determinante, no el tecnológico, y la adecuada formación y concienciación de todos los perfiles participantes en la cadena de suministro de un proceso industrial es totalmente necesaria: desde el operador del proceso industrial, pasando por la ingeniería, la consultora, el personal de sistemas y comunicaciones o los equipos responsables de la seguridad de los sistemas y las personas, todos deben tener una formación y concienciación básica en ciberseguridad industrial, de igual modo que cualquier persona que vaya a entrar en este tipo de entornos, tiene que tener una formación y concienciación básica en seguridad laboral (debe ponerse el casco obligatoriamente, etc.). No debemos dejar de lado otro actor clave: la alta dirección. Si queremos que la situación cambie y se lleven a cabo proyectos de mejora, necesitamos su apoyo, y para ello por supuesto, deberán ser objeto de actividades de concienciación dirigida.

Habéis creado el Centro de Ciberseguridad Industrial. ¿Con qué objetivos?

Nuestro equipo llevábamos ya años analizando los puntos que comentamos anteriormente y otros muchos. Ante la situación podíamos optar por permanecer en una posición pasiva, aprovechando comercialmente el entorno del mercado, o pasar a la acción y buscar la mejora conjunta de la situación en compañía de todos los actores determinantes. Tomamos el camino de la acción, evidentemente. El Centro aspira a convertirse en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito. Pretendemos ser el catalizador que permita que el impulso y mejora de la Ciberseguridad Industrial se acelere con el apoyo y soporte de todos los actores del entorno.

También se ha creado el Grupo Europeo de Ciberseguridad. ¿Son útiles estos esfuerzos?, ¿están dotados con suficiente presupuesto para ser eficaces?

Toda iniciativa que nace con el fin real de mejorar la situación de ciberprotección de organizaciones, infraestructuras y sociedades, debe ser más que bienvenida. El reto aquí es la colaboración y coordinación a todos los niveles de forma que todas nuestras actividades se complementen y se consigan los mayores resultados de una forma eficiente, eficaz y sobre todo, práctica. En nuestro caso, a día de hoy no contamos con ninguna ayuda económica pública y nuestro modelo de sostenibilidad se basa en el apoyo y soporte de nuestro ecosistema, a través de los miembros y patrocinadores. Es evidente que nos gustaría contar con más presupuesto, pero la mejor forma de avanzar es marcarse objetivos cercanos, conseguibles y reales en el entorno existente. Si éste cambia y los recursos se incrementan, gracias al Mapa de Ruta de la Ciberseguridad Industrial en España que acabamos de publicar y que ha sido consensuado con gran parte del tejido industrial de nuestro país, tendremos claro en qué líneas invertir inicialmente.

Entre las predicciones de seguridad online para 2013, se habla de un aumento del cibercrimen y del ciberespionaje. ¿Crees que es así?, ¿por qué?

Absolutamente. Como comentábamos antes, el ciberespacio ha pasado a ser otro campo de acción (muy activo) en las relaciones entre estados, naciones y grupos de actividad (lícita e ilícita). El nivel de madurez de la protección lógica no siempre está a la misma altura de la física, y de ahí que en ocasiones pueda verse como una oportunidad para llevar a cabo acciones que en el mundo físico podrían ser mucho más complicadas de conseguir y, sin duda, crearían un estado de preocupación mucho mayor. Todo empieza a cambiar, pero es evidente que hasta ahora la opinión pública (y la propia percepción de ataque por un país) no interpreta igual un ataque físico de otro país sobre un edificio gubernamental para robar determinados documentos, que una intrusión lógica en su red para conseguir el mismo objetivo. El ámbito cibera empieza a incorporarse como un punto importante a tratar en las mesas de discusión de grandes mandatarios, políticos y militares y cada vez veremos más actividad en esa línea.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian