Jairo Alonso, de S21Sec: 'La colaboración entre industria, proveedores de tecnología y agentes reguladores debe ser total para mejorar la seguridad en IIoT'

Conjuntamente con el pasado IoT Solutions World Congress, se celebró la 4ª edición del Barcelona Cybersecurity Congress (BCC). Este evento internacional, centrado en la ciberseguridad, contó con un excepcional programa de conferencias entre la que cabe destacar la que organizó S21Sec sobre los riesgos IoT en el entorno industrial titulada "Modelos, riesgos y mitigación", a cargo de Jairo Alonso Ortíz, Manager de Ciberseguridad en entornos industriales.

En esta ponencia, Jairo Alonso habló de las vulnerabilidades en sectores estratégicos (banca, energía, sanidad, transporte, etc.), ciberatacantes, motivos y, lo más importante, cómo mitigarlos a tiempo. Y es que el IIoT se está adoptando muy rápidamente en el entorno industrial debido a la implantación de Industria 4.0. Al igual que la adopción de Ethernet dentro de las instalaciones industriales, IIoT ofrece muchas ventajas, pero si se implementa mal, también conlleva muchos problemas de seguridad asociados. Al igual que existe un modelo de referencia para las arquitecturas de red industriales típicas, también existe un modelo para IIoT. La IIoT presenta nuevos riesgos para el entorno industrial, derivados de sus nuevas vías de comunicación y de su dependencia de Internet para los servicios en la nube.

Hemos tenido el placer de poder entrevistar a Jairo Alonso para conocer su opinión sobre la necesidad de aplicar nuevas soluciones y estrategias de ciberseguridad para hacer frente a los riesgos en IIoT...

¿Cuáles cree que son los principales riesgos asociados con la adopción de dispositivos IoT en entornos industriales?

"El mayor riesgo es la gestión de los nuevos equipos, tanto por su volumen como por sus propias características de funcionamiento. La llegada de dispositivos IoT al mundo industrial implica que el número de dispositivos en una planta va a crecer de forma exponencial, en contraposición al modelo estático tradicional."

¿Qué desafíos existen a la hora de implementar soluciones de seguridad para proteger las infraestructuras críticas en la industria?

"El mayor problema para estas tecnologías dentro del entorno industrial es el cambio de paradigma. El entorno industrial es, habitualmente, muy estático, pero la irrupción de IoT hace que los dispositivos cambien rápidamente, las soluciones varíen casi de forma continua, etc. Esto hace que el modelo tradicional de monitorización tenga que pasar a ser más activo e intrusivo que debe controlarse muy bien para no interferir en el proceso productivo."

¿Existe actualmente una falta de estándares y regulaciones en el IoT industrial?

"Se está tratando de regular este nuevo modelo de generación de información basado en estos dispositivos, pero los estándares y regulaciones tardan en llegar. En los grupos de trabajo del estándar de referencia para la industrial, IEC 62443, ya se ha puesto el foco en IoT y ya están planificados nuevos documentos orientados en la seguridad en éste ámbito dentro del estándar."

¿Qué papel juega la colaboración entre la industria, los proveedores de tecnología y los agentes reguladores en la mitigación de los riesgos en IIoT?

"La colaboración debe ser total, sino no se va conseguir proteger adecuadamente este nuevo modelo de trabajo. Actualmente ya se quieren solicitar controles de seguridad a todos los dispositivos Iot e IIoT por parte de las Unión Europea que deben ser aplicadas por los proveedores para que finalmente repercuta en una mejora de seguridad de la industria."

En la actualidad, ¿perciben los expertos en ciberseguridad que las empresas del sector industrial están debidamente informadas y reconocen la existencia de riesgos reales de ataques a través de IIoT? En caso afirmativo, ¿están dando los pasos necesarios para mitigar esos riesgos o bien delegan en los reguladores?

"Las empresas industriales son conscientes de que el IoT requiere de medidas de protección, pero actualmente no son capaces de valorar por sí mismas las medidas que deben aplicar y cómo llevarlas a cabo. Esto hace que no estén aplicando las mejores medidas de seguridad y que cada vez se recurra más a empresas expertas en seguridad para que les ayuden a proteger todos sus dispositivos conectados." (Redacción)