Nueva Jornada de Aprendizaje sobre “Ciberseguridad”

En esta ocasión se presentó el enfoque de ciberseguridad de la Dvisión de Construcción y el trabajo que está realizando Orbik en la ciberseguridad de productos digitales e interconectados, con varios ejemplos reales.

Las cooperativas pequeñas y medianas, en general, carecen de recursos dedicados a la ciberseguridad. Por ello, la propia División de Construcción propuso compartir un CISO (Chief Information Security Officer) entre 5 cooperativas, lo que ha demostrado ser una solución efectiva. El enfoque divisional ofrece especialización, economía de costes y unificación de criterios y estrategias.

En esta jornada, Diego Martínez, CISO de la división de Construcción, empezó resumiendo las amenazas emergentes en ciberseguridad, como ransomware para OT, ingeniería social, ataques de denegación de servicios, ataques a la cadena de suministro y fallas en la nube industrial. También mencionó la importancia económica de abordar estos riesgos, que cada año es mayor.

Diego destacó que la función del CISO se debe orientar a identificar, evaluar y gestionar los riesgos de seguridad, liderar la respuesta a incidentes y coordinar acciones con otras áreas de la organización para minimizar riesgos. Explicó con más detalle el trabajo que está realizando, como una evaluación inicial en cada cooperativa que deriva en la definición del mapa de riesgos (activos críticos, amenazas potenciales y vulnerabilidades) y la definición de objetivos y plan de seguridad. Todo ello con una visión global de la división, aprovechando sinergias, estandarizando políticas, actuaciones coordinadas de auditorias de seguridad, revisión de proveedores, programas de capacitación y campañas de concienciación, etc.

Orbik: servicios para securizar productos digitales

Orbik Cybersecurity nace de la mano del centro tecnológico Ikerlan, cuyo laboratorio de tecnologías digitales ha sido acreditado recientemente por ENAC, la Entidad Nacional de Acreditación en España, conforme a la norma UNE17025. Esto la convierte en la séptima empresa en el mundo y la primera en España en contar con un laboratorio de ciberseguridad acreditado.

Odei Olalde, CTO (Chief Technology Officer) de Orbik, compartió la necesidad de anticiparse a la nueva legislación de la Cyber Resilience Act (CRA) aprobada en marzo de 2024 y de obligado cumplimiento a partir de abril 2027. Odei resumió los contenidos de esta CRA, muy relacionada con la norma IEC 62443, y comentó las obligaciones de esta en cuanto a documentación, evaluación de riesgos, pruebas de conformidad y reporte de vulnerabilidades.

La nueva legislación sobre ciberseguridad (CRA) se aplica en Europa y los productos importados también tendrán que cumplirla.

Reconoce que hoy en día existe mucho desconocimiento por parte de las empresas sobre la situación de ciberseguridad de sus productos digitales. Por ello, insiste en la necesidad de llevar a cabo un diagnóstico inicial para saber dónde estamos. Además, destaca la necesidad de gestionarlo con una visión del ciclo entero de vida del producto.

Odei explica con más detalle los tipos de test que se realizan para analizar las vulnerabilidades de un producto digital. Como ejemplos reales presenta los casos de Savvy y Onnera Group, que ya están analizando las vulnerabilidades y las mejoras correspondientes.

En el debate que se genera sobre la situación actual de las cooperativas presentes en esta jornada, esta CRA se ve como algo que hay que cumplir, pero el coste que pueda suponer y la relativa lejanía hacen que aún no se esté priorizando.