La seguridad física y la ciberseguridad deben ir de la mano como una única disciplina

Por ENRIQUE BILBAO | Director Gerente en INERCO Security &  MANUEL CARPIO | Consultor Senior de Ciberseguridad en INERCO Security

Cuevavaliente Inerco, ahora INERCO Security, empieza 2019 con importantes novedades que afectan intensamente a su plan de desarrollo de negocio. Entrevistamos por ello a dos activos muy importantes de la compañía: Enrique Bilbao, socio fundador de la empresa y nuevo Director Gerente de la misma, y a Manuel Carpio, bien conocido técnico y gestor de la Ciberseguridad, recién incorporado a la empresa como Consultor Senior y experto de Ciberseguridad.

¿Cuáles son las principales novedades que os afectan profesionalmente?

—Enrique Bilbao: En mi caso, y siguiendo el plan trazado de desarrollo de Cuevavaliente Inerco, en este 2019 asumo el cargo de Director Gerente de la empresa. Sustituyo así a mi padre, Alfonso Bilbao, con quien fundé Cuevavaliente Ingenieros en 2005. Es por ello un momento muy especial que, unido a nuestra integración con el grupo INERCO, nuevos socios en Cuevavaliente junto con Alfonso y conmigo, hacen que esta responsabilidad coincida con el fuerte impulso que estamos teniendo como empresa, al aprovechar las sinergias de todo tipo que INERCO nos brinda. Además este año que empieza es el del lanzamiento comercial de un nuevo servicio que llevamos perfilando desde 2016: el de la Ciberseguridad aplicada a la Seguridad Física, formando un todo para nuestros clientes. Y, finalmente, para que por novedades no quede, este año también damos un paso más en nuestra integración a este grupo de ingeniería, cambiando nuestra razón social a la de INERCO Security, enfatizando nuestra colaboración con la oferta global de Seguridad de INERCO en Safety, Medio Ambiente y Seguridad Laboral.

—Manuel Carpio: Para mí, la incorporación al equipo de INERCO Security ha supuesto varias cosas: la primera participar en un proyecto muy ilusionante de consultoría realmente de Seguridad Integral, en el que la Seguridad llamada Física y la Ciberseguridad van de la mano como una única disciplina, y por otra encontrarme con un grupo joven y entusiasta en el que está mi amigo Alfonso Bilbao, actualmente como Director Adjunto y liderando esta actividad de fusión de ambas especialidades.

¿En qué se traduce para los clientes potenciales el nuevo servicio CBSF?

—Enrique Bilbao: Se trata de añadir una capa fundamental de Ciberseguridad a los propios dispositivos de Seguridad Física, tradicionalmente carentes  en muchos casos de esta autoprotección. Pensemos en complejos sistemas de vigilancia por televisión, en Centros de Control de edificios y plantas importantes, tanto de empresas como de la Administración, en el que las vulnerabilidades informáticas de una infraestructura cada vez más conectada, pueden dejar inoperante el Sistema de Seguridad completo, o borrar ciertas imágenes, o hacer público un archivo de vídeo, etc. Nuestro papel, como en el resto de nuestras actividades se limita a la consultoría: entender qué carencias hay, y proponer cómo resolverlas. No somos un integrador de Ciberseguridad, y nos mantenemos independientes de este tipo de empresas y de productos concretos. Creemos que estos nuevos servicios, y lo estamos ya constatando, son de gran utilidad para nuestros clientes.

—Manuel Carpio: Desde mi propia experiencia anterior estoy convencido de la existencia de importantes carencias en materia de Ciberseguridad en muchos Sistemas de Seguridad Física complejos existentes. Medidas tradicionales en el mundo IT, tanto organizativas, como técnicas, no se aplican en muchos casos en este tipo de Sistemas, que forman parte de los llamados CPS, Cyber Physical Systems. A veces no existe un administrador del propio Sistema Informático, ni se realizan copias de respaldo, ni se actualizan parches, etc., además de no contarse con medidas técnicas obvias, como sistemas de detección de intrusión informática, antivirus actualizados, etc.

¿Por qué INERCO Security puede suponer una oferta interesante en este nuevo campo?

—Manuel Carpio: La respuesta a esta pregunta es una de las claves que me han hecho apreciar este proyecto. Un Centro de Control de Seguridad (CCS) es un sistema complejo, que administra a subsistemas muy diferentes entre sí, que cooperan entre ellos y comparten las redes de comunicaciones, pero que son muy diferentes en el tipo de señales que utilizan, imágenes, voz, datos de accesos, alarmas, comandos de movimiento de cámaras, etc. Esta complejidad tan específica, hace que proteger un CCS y al resto del Sistemade Seguridad ante ciberataques no se limita a las medidas tradicionales de los Sistemas IT, se trata de un Sistema OT muy peculiar, en el que es preciso conocer en profundidad sus protocolos, las buenas prácticas de conexionado y tratamiento de señal, etc., para poder analizar sus necesidades de ciberprotección y, sobre todo, cómo implementarlas. Sinceramente, creo que este tipo de problemas solo puede acometerse con éxito desde una integración real de la Seguridad Física y la Ciberseguridad, que es lo que suministramos a través de nuestro servicio CBSF, basado en el conocimiento y la experiencia de Cuevavaliente Inerco, líder en la ingeniería de Sistemas de Seguridad en grandes proyectos en España y en Iberoamérica y en el nuevo impulso que tengo el honor de encabezar de la nueva actividad específica de Ciberseguridad en Cuevavaliente Ingenieros.

¿En qué consiste realmente el servicio de Ciberseguridad aplicada a la Seguridad Física?

—Enrique Bilbao: Como he comentado anteriormente, es un servicio de consultoría especializada, liderado por Manuel Carpio, en el que un equipo mixto de especialistas analiza las vulnerabilidades de un Sistema de Seguridad, las presentan al cliente y priorizan y estiman económicamente su resolución. En una segunda fase, se especifican las medidas a adoptar para la petición de ofertas a enviar a los integradores de Ciberseguridad y, en muchos casos, a empresas de seguridad tradicionales para que soslayen deficiencias de conexionado. También se proponen soluciones que se describen en detalle en esta segunda fase, meramente organizativas o de procedimientos de operación.

—Manuel Carpio: El servicio CBSF busca tres conjuntos de utilidades para el cliente final: conocer sus vulnerabilidades en materia de Ciberseguridad de su Sistema de Seguridad Físico, ayudarle a resolverlas mediante la asistencia para la contratación y disposición de soluciones y finalmente, si así lo desea, asistirle a la posible certificación de su sistema mediante terceros, como sería la certificación LEET o las que en breve estarán en el mercado derivadas de la legislación de Protección de Infraestructuras Críticas, o de la ley de Ciberseguridad.

«Existen importantes carencias en materia de Ciberseguridad en muchos sistemas de Seguridad Física complejos»

CBSF se basa, por otra parte, en un potente cuestionario, con 345 items, que permiten analizar las protecciones teóricas ante ataques cibernéticos desde cuatro puntos de vista: Medidas técnicas de Ciberseguridad: específicas como detección de intrusos, cortafuegos, SIEMs, aplicación de parches, etc. Medidas Organizativas de la Operación del CCS como respaldo de sistemas, plan de continuidad, gestión de incidentes, etc. Funcionalidad específica del Sistema de Seguridad administrado por el CCS como conexiones de los tamper y antimasking, disponibilidad en zonas protegidas de los controladores, etc. y, finalmente, Medidas deSeguridad Física del CCS, es decir, esclusas, protecciones físicas de acceso al CCS, etc.. Las medidas que se analizan en este cuestionario se basan en las descritas en diferentes fuentes: Esquema Nacional de Seguridad (ENS), ISO/IEC 27002; Check list de certificación LEET; Normativa EN/UNE de Seguridad Física aplicable a Centros de Control y a los Subsistemas de Seguridad conectados; Buenas prácticas de Seguridad Física y Normativa del CNPIC para certificación de Seguridad de Infraestructuras Críticas (cuando esté disponible). Los cuatro puntos de vista descritos se presentan de forma gráfica para ver cuáles son las carencias existentes mediante una aplicación informática propia de Cuevavaliente Ingenieros, que permite profundizar en busca de las carencias concretas encontradas. En estos últimos meses ha sido un trabajo apasionante compartir con el experimentado equipo de Cuevavaliente Inerco el desarrollo de esta metodología, en el que todos hemos experimentado la riqueza de hacer converger realmente la Seguridad Física y la Ciberseguridad. Las primeras aplicaciones con clientes reales han sido un motivo de enorme satisfacción personal, al constatar la utilidad del servicio CBSF.

¿Cuáles son los pasos inmediatos de Cuevavaliente Ingenieros al respecto?

—Enrique Bilbao: Se trata de un proyecto estratégico para nosotros,en nuestro camino continuo de adelantarnos
a las necesidades del mercado según varían las amenazas, por lo que desde INERCO Security estamos poniendo un énfasis especial en su desarrollo. La incorporación de Manuel Carpio a nuestro equipo forma parte de esta decisión estratégica, poniéndose al frente de la nueva actividad.

—Manuel Carpio: El Proyecto ya no es tal, realmente es un servicio totalmente definido y que ya estamos prestando a los primeros clientes. La etapa en la que estamos es puramente la de su comercialización, tanto en España como en el resto de los países en los que opera INERCO. La novedad del servicio presenta la dificultad de darlo a conocer, pero la recepción por el mercado está siendo muy buena, por lo que está siendo una labor muy gratificante. Además para mí implica trabajar con un equipo muy estimulante profesionalmente y en un ambiente especialmente agradable.

Artículo publicado en la revista Cuadernos de Seguridad, Marzo 2019, pg 66-68