CIO México, en colaboración con Tenable, realizó la mesa redonda virtual “Ciberseguridad en la Tecnología Operativa”. Dada la emergencia mundial de salud pública que actualmente enfrentamos, fue llevada a cabo en un formato de videollamada grupal.

En esta reunión se profundizó sobre la convergencia entre los mundos de Tecnología de la Información (IT) y Tecnología Operativa (OT), que hacen imperativo contar con una estrategia holística de seguridad que elimine el riesgo de la brecha entre ambos ambientes, maximizando la visibilidad y reduciendo costos.

Al inicio de su ponencia, Luis Isselin, Country Manager de Tenable México, remarcó que en este nuevo ambiente convergente es necesario tener una visibilidad holística del riesgo, ya que las empresas están expuestas a ataques que podrían conllevar a la detención de la operabilidad. Asimismo, resaltó la importancia de saber identificar el nivel de riesgo a la que se enfrentan las empresas.

“Ante esta transformación digital cada vez hay más amenazas y es un problema mucho más complejo. No sólo hablamos del mundo del TI: estamos viendo componentes nuevos como la OT o el IIoT. Tenemos que gestionarlos en torno a una estrategia de  ciberseguridad”, aseguró Isselin.

La importancia de los usuarios en la seguridad digital de las empresas

Los asistentes a la mesa redonda virtual compartieron cuáles son los retos que enfrentan en torno a esta convergencia y las prácticas que están implementado en materia de seguridad. Se contó con la participación de expertos en la materia como Fernando Gamallo, Director Corporativo de TI y Procesos de Laboratorios Sanfer, quien aseguró que la ciberseguridad se mide dependiendo con la óptica que se mire.

“Nosotros hemos hecho tres grandes acciones en cuestión de seguridad informática de alto nivel. Involucramos al seller, los hackeamos a manera de juego para llamar su atención. También dejamos de medir la seguridad como tecnología para medirla como riesgo e hicimos que la ciberseguridad fuera transversal a la organización. Esta estrategia ha hecho que cada miembro de la organización se dé cuenta que es corresponsable de una parte de la seguridad informática”.

Fernando Velasco, Gerente de Tecnologías de Información de Grupo Wendy, coincidió con Gamallo y complementó el tema de la responsabilidad de los usuarios en la seguridad digital de la empresa.

“En Grupo Wendy también hemos hecho hincapié en aumentar el nivel de conciencia. Podemos tener redes separadas, el mejor antivirus, seguridad perimetral, etc; pero nos queda claro que el eslabón más débil siempre es el usuario”.

Salvador Moreno Torres, Regional IT Manager de Dow Química Mexicana, agregó que la parte cultural es fundamental a la hora de implementar medidas de seguridad digital.

“En Grupo Dow tenemos una dinámica de entrenamiento muy fuerte. En ocasiones mandamos mock mails al personal e identificamos a los usuarios que ‘caen’, de ahí generamos una retroalimentación. También tenemos cursos en línea donde damos a conocer qué es un password seguro y cómo generarlo, qué es el almacenamiento seguro y cuál no lo es, tips y trucos de seguridad, etc. Todo este entrenamiento al personal nos ha dado buenos resultados. Creemos que es un tema que va en conjunto, tanto la parte técnica como la parte cultural”.

Raymundo Martínez, Security Officer ICS para Engie México, aseveró que la evangelización en las empresas es primordial. Y es por ello que han enfatizado la parte de awareness con los usuarios y en la innovación de este tipo de técnicas.

“Tenemos semanalmente un comité de ciberseguridad donde involucramos a todas las gerencias. En estos comités se exponen los puntos importantes del tema. También ejecutamos Semanas de Ciberseguridad donde emitimos comunicados o mensajes. En conjunto hemos tenido muy buenos resultados, pues ahora el personal tiene la capacidad de detectar cuándo un correo es apócrifo”.

Por su parte, Enrique Guízar, Regional IT Service Delivery de Grupo Bimbo, resaltó la cultura de seguridad que se realiza en esta organización a todos los niveles. “Estamos llevando estrategias a centros de ventas e implementando firewalls para todos los dispositivos usados”.

Gabriel Pavón, CIO de Grupo Infra, externó que cuando surgió la emergencia sanitaria, algunos colaboradores no tenían conciencia que al combinar actividades de casa y oficina, exponían su privacidad.

“Comentamos con nuestros colaboradores que no expusieran información personal. Les hicimos tomar conciencia que debían tomar medidas adicionales, pues era posible que desconocieran lo que estaba pasando en su propio equipo”.

Definición de estrategias en tiempos del Coronavirus

Mauricio Amaro Lozada, CIO de Grupo Avante Textil, se refirió a la actual situación, donde buena parte del personal ha tenido que trabajar desde su casa.

“Algo que descubrimos fue que cuando un trabajador hace labor de oficina en casa, cree que se trata de ciberseguridad personal, no corporativa. Esa trampa psicológica es la que tratamos cambiar. Contamos con la ventaja de que hace años realizamos una campaña de ciberhigiene”.

Al respecto, Miguel López, Gerente de TI de Agrana Fruit México, comentó que para su empresa no fue tan complicado llevar a sus empleados a un trabajo desde casa, dado a que el 50% de su plantilla ya disponía de una laptop para trabajar. “El principal problema a resolver es que el personal no estaba acostumbrado a trabajar de esta forma. Pero en tema de seguridad digital no hemos tenido complicaciones, ya que recibimos asesoría de un grupo que se encuentra en Austria y apoya a todas las filiales del mundo”.

El papel del CIO y del CISO para trazar una estrategia de seguridad

La repentina contingencia sanitaria conlleva que algunos organismos se vean obligados a invertir en innovación y capacitación para mejorar la seguridad, competitividad y agilizar los procesos. Por ello, el papel del CIO y del CISO es crucial en estos momentos.

Delfino Vázquez, Coordinador de Control de Acceso Lógico y Seguridad de la Información de Grupo Inova, dijo que esta emergencia llevó a la empresa a equipar a algunos de sus empleados para trabajar desde casa.

“Además de comprar más equipos y más VPN, aumentamos las medidas de seguridad para identificar a nuestros clientes. También realizamos un test con los empleados y arrojó que el 50% estaba satisfecho con la nueva modalidad y quería continuar trabajando de esa manera”.

Gustavo Lozada, Gerente de Operaciones de TI para Énestas, expresó que muchas empresas se vieron tomadas por sorpresa ante el cambio de modalidad de trabajo. “Estamos en proceso de adaptación ante este cambio. Uno de los principales retos ha sido la capacitación de herramientas como G Suite. En conjunto con una serie de medidas de seguridad, actualmente seguimos capacitando, y estamos al 70% de este proyecto”.

En términos de operatividad y OT, Armando Méndez Hernández, CIO de Kiekert de México, manifestó que ya han realizado proyectos de conectividad de IT con OT en cada una de sus plantas. “Estamos trabajando en una línea piloto llamada Line House, es la más grande y moderna de Kiekert en cuestión de robotización y IoT. Estamos conectando una línea de producción de más de 1,500 dispositivos a la red, obviamente tenemos que tenerlo muy bien segmentado para evitar malware o virus. Para ello trabajamos de la mano con Siemens”.

Complementando esta información, Elizabeth Avila Solís, Gerente de Sistemas para Chemours DuPont México, comentó que en el caso de su compañía sus estrategias están fijadas de manera global y no local. Dupont se considera pionera en la realización de auditorías de ciberseguridad en la cual se envían a los trabajadores correos para concientizarles en este tema.

“En Dupont nos estamos transformando hacia la digitalización, estamos muy interesados en estos planes de evolución y tenemos gran entusiasmo de saber lo que está pasando en este mercado. Estas decisiones se llevan a cabo de forma corporativa, pero ya estamos en camino hacia esta transformación”, manifestó.

Los problemas principales a la hora de asegurar los entornos OT

Otro de los desafíos que van más allá de la cultura son los ambientes OT, que constituyen otro problema a resolver.

“Nosotros siempre hemos mantenido OT separada de IT, con personal distinto. Actualmente estamos en etapa de integración y colaboración entre ellas”, dijo Mauricio Amaro, de Grupo Avante Textil. “Nuestra principal preocupación en este sentido es definir una estrategia de defensa en este nuevo ambiente y en conjunto con OT. En el ambiente de oficinas lo que nos funcionó más que sólo comprar nuevas herramientas, fue trazar una estrategia de defensa de manera holística. Ahora vamos a seguir el mismo camino”.

En este mismo tema, Fernando Gamallo, de Laboratorios Sanfer, agregó que en su empresa se realizaron análisis de riesgos operativos.

“Con ello garantizamos que nuestra gente responsable de fabricación y operación se diera cuenta que existe un riesgo de ciberseguridad. Además de que cada rubro del plan de continuidad de negocio se implemente un nivel de ciberseguridad como un elemento de acción”.

Por su parte, Salvador Moreno Torres, de Dow Química Mexicana, añadió que en esta compañía se tiene identificado al personal en tres segmentos: operativo, móvil y de oficinas. Desde el punto de vista de ciberseguridad, el personal móvil son usuarios que se mueven constantemente. Y están enterados que no deben conectarse a hotSpots, tener contraseñas seguras, no dejar la computadora en un valet parking, etc. “La parte de manufactura es multiprotocolos, es decir, multimarca. En nuestro caso, el OT está montado sobre la red de IT, y tenemos gobernanza sobre lo que está pasando”.

Una propuesta ante esta nueva era de ciberseguridad

Uno de los puntos más mencionados por los participantes de esta mesa redonda virtual fue que la pandemia ha sacudido a las empresas en las últimas semanas. Muchas de éstas han optado por no crear nuevas políticas y procesos, sino trasladar las mismas ante esta convergencias. Sobre esta situación, Luis Isselin, Country Manager de Tenable, concluyó:

“Coincidimos en que la plataforma sea horizontal. Que sea la misma que nos ha permitido medir el riesgo, priorizar de manera efectiva las vulnerabilidades porque sabemos que hay decenas de miles. Estamos trayendo al mercado el concepto de Cyber Exposure, que consiste en tener la visibilidad completa de la superficie de ataque, tanto en vulnerabilidades como en cumplimientos regulatorios. Con Cyber Exposure, la visibilidad será horizontal: La nube, IT, desarrollo basado en containers y OT”.

Isselín agregó que el objetivo es entender cuáles son las amenazas que son una posibilidad de ataque. “Este mismo concepto, que ha existido desde hace 25 años, ahora es posible integrarle esta capa de analítica sin importar si es OT o IT. Tenable, con el bagaje y el valor que tiene en el tema de vulnerabilidades puede ayudar a gestionar los riesgos en estos ambientes”, finalizó el directivo.

Por César Villaseñor, CIO México