CIONET ha reunido a un grupo de CIOs del sector farmacéutico, el pasado jueves 23 de Mayo en Madrid para disfrutar de una cata de vinos de la mano de Sothis para conocer sus retos en torno a la ciberseguridad.

Tras una breve ronda de presentación, los asistentes comenzaron a compartir su problemática actual con respecto a la ciberseguridad y cómo crear su plan de prevención, compartiendo  además, cómo se están preparando para un ataque y en el caso de que suceda, cómo responder ante él.

El primer tema ha sido la convergencia entre sistemas tradicionales de IT y los industriales (OT), que antes no solían estar conectados entre ellos y por ello, han sido áreas excluidas de la problemática de la ciberseguridad hasta ahora.

Por parte de negocio se está notando una intención de explotar la información que generan los sistemas industriales, lo cual requiere que IT y OT converjan y por tanto la ciberseguridad entre en las agenda actuales.

Multinacionales vs Nacionales

Durante la round table, se ha compartido cuales son los diferentes retos y a que necesidades se enfrentan las empresas nacionales vs las  multinacionales, del sector.

Por lo general para las filiales los retos están centrados en el riesgo y la gestión de los miles de usuarios y no le ponen foco a la parte industrial. Y como consecuencia, cómo aumentar la concienciación de las personas y cómo educar para la prevención.  

También se han comentado casos de compañías donde los medios tecnológicos para proteger a la filial también vienen dados desde internacional, donde entonces localmente lo único que se gestiona es la cultura y la concienciación de la gente.

Concienciación de personas, equipo y simulaciones

Las personas, son uno de los mayores retos si hablamos de ciberseguridad. La gran mayoría de las fugas de información vienen de los propios empleados por una falta de concienciación. Por ello se realizan simulaciones de ataques para concienciar a los empleados.

En el ISMS Forum se ha podido ver que el phising simulado (phishing as a service) es la mejor herramienta de concienciación. Pero a esto se le suma una dificultad, la rotación de empleados, lo que genera que la gente siga picando en los phising y correos maliciosos.

Dentro del plan de concienciación general nacional, se aprecia una crítica sobre la falta de  concienciación del CEO y el board. En muchos casos aún se echa en falta que los niveles más altos apoyen el presupuesto de ciberseguridad.

Además de esto, otros de los riesgo en cuanto a sistemas es que subir a la nube y cual es la mejor  gestión de identidad en el control de acceso a la misma.

Las reactividad de las organizaciones y la búsqueda de responsables

Ante la percepción de que las empresas son reactivas en el tema de la ciberseguridad y  sólo se mueven y avanzan cuando sufren ataques, a nivel nacional uno de los puntos en la agenda, es la de realizar ejercicios sectoriales, con hackers “buenos”.

No existe un sólo wannacry, sino decenas de ellos y esto es algo que no se tiene presente y solo se manifiesta “cuando le pasa al de al lado”.

Todos los asistentes a la mesa coincidieron que aunque en algunos casos la ciberseguridad no sea su responsabilidad, porque exista un CISO (que se ocupa de la formación y concienciación), la seguridad técnica es responsabilidad del CIO.

Lecciones aprendidas

En general se ve que los desastres y las auditorías son una oportunidad de mejorar y de inyectar presupuesto para la mejora de los agujeros de ciberseguridad.

En el plan nacional de ciberseguridad hay previsto no sólo multas sino también un sistema de incentivos para las compañías que lo hagan bien. Farma es un sector estratégico aunque no es una infraestructura crítica (como sí lo son los hospitales). No te pierdas nuestros próximos eventos visita nuestra app o únete a CIONET