Cargando Eventos

« Todos los Eventos

  • Este evento ha pasado.

Convergencia de modelos de tres líneas de defensa entre IT y OT.

3 mayo, 2022 @ 10:00 am - 5:00 pm

Gratuito

En el mes de mayo de 2021 se produjo un importante ciberataque sobre una infraestructura crítica en EE. UU., el conocido ataque sobre Colonial Pipeline, una organización que soporta un oleoducto de más de 8.000 km que distribuye combustible desde Texas a New Jersey.

La imagen de debilidad que ofreció la superpotencia fue llamativa y puso en evidencia lo que se ha estado avisando desde hace tiempo, “esto puede pasarle a cualquiera”.

Por otra parte, la reciente experiencia de los ataques a la cadena de suministro de Solar Winds puso sobre la mesa que centenares de empresas industriales, entre otras, habían sucumbido a un sofisticado ataque, bien diseñado y de larga duración, en el que el acceso y robo de información parecía ser el objetivo principal.

Resulta sorprendente que estos ciberataques hayan tenido éxito cuando parecía que se habían desplegado múltiples y eficaces iniciativas para evitarlos. Se suponía que, gracias a la intensa regulación sobre ciberseguridad de estos últimos años, las compañías habían cumplido sus obligaciones y por lo tanto deberían estar libres de peligro. Y no ha sido así.

¿Cuál es la causa de este fallo?

En esta ponencia queremos plantear que la convergencia de modelos entre IT y OT ha puesto de manifiesto una debilidad en el mundo OT, derivada del hecho de que, a diferencia de su contraparte en IT, carece del modelo de Tres Líneas de Defensa.

Vamos a analizar el modelo y a estudiar una posible aplicación de este, de forma que permita incrementar el grado de madurez actual y asegure que la mitigación de riesgos esté funcionando de manera eficaz.

Erik de Pablo Martínez, es físico y PDD por el IESE.

Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la industria del petróleo, en España y en Sudamérica.

Está orientado a la auditoría de sistemas en entornos industriales y de negocio y focalizado en los nuevos riesgos tecnológicos: ciberseguridad, infraestructuras críticas, detección y prevención del fraude, IoT, IA, Big Data, Blockchain etc…

Recientemente y durante 6 años ha sido director de Investigación en ISACA-Madrid y es socio Director de la empresa de auditoría de sistemas RUTILUS. Pertenece al panel de expertos del CCI (Centro de Ciberseguridad Industrial).

Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems Control).