Gold Fields: «Nunca podemos decir que tenemos un nivel de ciberseguridad óptimo»

Gold Fields: «Nunca podemos decir que tenemos un nivel de ciberseguridad óptimo»

El riesgo de que superen las barreras de seguridad, en cualquier empresa, de cualquier rubro, está siempre latente. José Ishikawa, gerente de Tecnología de la Información para Gold Fields en América. Esta entrevista aparece en la edición 82 de la revista Energiminas.

Un estudio de PwC sostiene que las mineras le prestan menos atención a la ciberseguridad, y, por supuesto, concluyen que esto es un error que debe ser subsanado en el menor tiempo posible. En aquel estudio, se asevera que solo el 12% de los CEO de las compañías de minería y metales están extremadamente preocupados por la cibernética y la ciberseguridad (por debajo del 21% en el año fiscal 18 y el 14% en el año fiscal de 2019). Sin embargo, según el informe Mine 2020, el número de violaciones cibernéticas reportadas entre las compañías mineras se cuadruplicó hasta mediados de junio. Las compañías mineras podrían pensar que son un objetivo poco probable para ataques cibernéticos, pero como dependen cada vez más de lo autónomo y lo digital, aumenta con ello el riesgo de un ciberataque, refiere PwC en la investigación.  Advierte, además, que la ciberseguridad debería ser parte integral del negocio minero. En esto último está de acuerdo José Ishikawa, gerente de Tecnología de la Información para Gold Fields en América, quien todos los días es testigo de los intentos de ataques de los hackers a sus sistemas.

Durante esta pandemia se ha hablado mucho de la bioseguridad en minería, pero muy poco o nada de la ciberseguridad de las operaciones mineras. En tiempos en que se fomenta más el uso de tecnología, ¿debería preocuparnos más también los piratas informáticos?

La realidad es que durante esta pandemia han aumentado notablemente los diferentes tipos de ataque cibernéticos a los distintos sectores: banca, finanzas, entidades del Estado… hace un par de meses atacaron a la marca de relojes deportivos Garmin. Todas las actividades (correr, caminar, etc.) de las personas que utilizan estos productos se almacenan en servidores de la marca, pero los hackearon y publicaron información. Hace dos semanas atacaron Migraciones de Argentina y se han robado mucha información de Interpol. También atacaron al Banco de Chile, y en este país todos los chilenos tienen una cuenta. El impacto es considerable. Entonces el sector minero no es ajeno a este tipo de ataques y desde luego es un asunto que nos debe preocupar, tanto es así que desde Gold Fields, a nivel corporativo, gestionamos los riesgos y dentro de los diez riesgos principales que hemos identificado, uno de ellos es el ataque informático.

Entiendo entonces que ha aumentado el presupuesto para ciberseguridad…

Eso es un hecho, no en todos los sectores, en todas las empresas se puede aumentar ese tipo de presupuesto de igual magnitud; dependerá mucho del giro del negocio. Lo que invierte un banco en ciberseguridad pueden ser millones de dólares y en otras empresas, cientos de miles. Depende del sector, qué tan basado está el negocio en la tecnología y en esa medida la inversión es mayor o menor. 

¿Cuánto destina Gold Fields a la ciberseguridad en Cerro Corona?

Mira, a nivel corporativo y global… Este es un asunto que nunca acaba, siempre se identifican nuevos riesgos, y definir un monto exacto es muy difícil pero definitivamente se han incrementado los presupuestos en todas las regiones donde opera Gold Fields de forma significativa por el asunto de la ciberseguridad.

Usted menciona que la cantidad de ataques se han incrementado, así como los tipos de ataque. ¿Malware, fishing?

El fishing es algo que se ha incrementado muchísimo… si analizamos los tipos de ataques informáticos que hay, claramente podemos identificar tres tipos de hackers: tenemos el pirata informático que claramente busca un beneficio, y este recurrirá al fishing pues busca robarte tus datos y claves para robarte la plata del banco o pedir un rescate por la información que te ha robado, ransomware en la jerga de los conocedores. Si no tienes respaldada esa información, la única forma de recuperarla, en efecto, será pagando. Otro tipo de ataque es el de espionaje, espionaje industrial, entre países. En este tipo de ataques los hackers buscan hacerlos de la manera más silenciosa y limpia posible, sin dejar huellas; hablamos de otro nivel de ataque. Y hay un tercer tipo de hacker que lucha por algún tipo de causa social. Allí tienes a los grupos tipo Anonymous. Sus ataques son de denegación de servicio. Buscan saturar tu página web y dejarte fuera de servicio. Es una forma de llamar la atención y plasmar su opinión sobre algo con lo que no están de acuerdo. 

¿Y qué tipo de ataques reciben generalmente ustedes?

Mira, todas las empresas, y Gold Fields no se puede excluir… los ataques son diarios y en cualquier momento podemos estar recibiendo un correo con fishing, por ejemplo, pero tenemos mecanismos y sistemas que detectan cuando un correo es en realidad un fishing y el sistema sencillamente lo bloquea. En ese sentido, lo que intento decir es que todas las empresas están constantemente bajo ciberataques. Entonces debemos recurrir y mucho a herramientas que detecten, supervisen y nos permitan tomar acción, si no automáticas, entonces manuales en el tiempo oportuno.

¿No le causa preocupación el trabajo remoto desde el punto de vista de la ciberseguridad? Una computadora de casa no tiene los mismos sistemas de seguridad que las de oficina. 

Sí, el trabajo remoto genera un mayor riesgo a los ataques cibernéticos porque hay una pérdida de control. En efecto, no es lo mismo un usuario con una laptop trabajando dentro de las oficinas, dentro de la red local, con todos los mecanismos de seguridad, que tener al mismo usuario laborando desde casa en donde claramente no existen los mecanismos. Sin embargo, hace mucho que se desarrollan servicios de seguridad en nube que protegen la información y los activos informáticos así sea que el usuario trabaje en forma remota. Por ejemplo, nosotros utilizamos un servicio llamado Umbrella, basado en la nube, que brinda una base de datos de todas las páginas a escala mundial categorizadas con buena o mala reputación. Y dependiendo de ello, se puede ejecutar una política para que los usuarios no puedan navegar en ese tipo de páginas. De esta forma, extiendes políticas de control, de seguridad fuera de los límites de la oficina, de la operación minera al home office. El usuario, esté en Perú, en EE UU, en Daguestán, siempre su máquina estará protegida. Ha habido también mucho avance en tecnologías tipo EDR (esta tecnología, llamada de endpoints, ofrece una visibilidad completa de extremo a extremo sobre la actividad de cada equipo de la infraestructura corporativa, administrada desde una única consola) analiza constantemente los ejecutables, y si detectan que uno de estos puede comprometer el equipo, sencillamente lo bloquea. Esos son los mecanismos que usamos actualmente en Gold Fields para el trabajo remoto. Hemos estado preparados para afrontar esta situación, no hemos tenido ninguna interrupción del servicio y en términos de productividad, la hemos podido mantener a pesar del trabajo remoto y de lo rápido que hemos tenido que adaptarnos al cambio. Si antes teníamos la VPN (Virtual private network) lista, listos también los sistemas de videoconferencias, entonces esto ayudó mucho para enfrentar la pandemia desde el punto de vista de trabajo y productividad. 

El 54% de empresas mineras tuvo incidentes de ciberseguridad entre 2018 y 2019, según un estudio de EY. Esta cifra es muy alta, ¿no cree?

Sí, es alta, y el tema de la ciberseguridad es importante y una realidad. Cada vez más los ataques se incrementan. Para que tengas una idea, los hackers que ejecutan estos ataques, desde el punto de vista del negocio, el tamaño del negocio para estos piratas informáticos equivale a lo que pueden ganar los narcotraficantes con el negocio de las drogas. ¡Es muy grande! Esta es una realidad. Por otro lado, las mineras tienden a desarrollar procesos de transformación digital y claramente, mientras más digital, la exposición al riesgo crece.

Creo que quizá han aumentado los ataques dado que cada vez se automatizan más…

Sí, creo que digitalizándose es aquí la palabra correcta, antes que automatizándose porque las plantas mineras, en efecto, están automatizadas muchas de ellas, pero en minería, desde el punto de vista tecnológico, habitamos dos mundos: el de IT (Information technology), como lo conocemos todos, pero en operación prima el Operation Technology (OT). Estas son una serie de sistemas, de redes que normalmente han estado aisladas del mundo IT pero que con la evolución tecnológica han llegado a converger. Si es que hablamos de los sistemas para la operación minera, corren en los mismos servidores que se usan en la red IT, y la idea es que las buenas prácticas de IT, en términos de estándares —acabamos de certificarnos en ISO 27001—, sean extendidas hacia el mundo de Operation Technology. Todo esto es un proceso que culminará en una convergencia tecnológica de estos dos mundos, y producto de la unión, los mismos riesgos que se tiene en una red IT, expuesta a Internet, se pueden extender hacia una red OT, que normalmente no ha estado expuesta a Internet y a los usuales ataques cibernéticos. 

¿La transformación digital, sin ciberseguridad, es posible? 

Definitivamente no es posible. No. No. La ciberseguridad es una tendencia que atraviesa tanto IT como OT y es parte de la transformación digital. 

¿A usted le cuesta convencer a sus jefes de que aumenten el presupuesto para ciberseguridad o no? En otras palabras, ¿sus jefes realmente están comprometidos con la ciberseguridad? 

Siempre es difícil sustentar cualquier presupuesto, pero creo que esta situación de pandemia ha ocasionado que nuestros directivos, y en general el sector sea más consciente de que es una necesidad, de que no se pueden desarrollar negocios digitales, no se puede comenzar la transformación digital si no se cuenta con una base de seguridad sólida, y no solo hablo de herramientas de seguridad, de soluciones de seguridad que nos ayuden a prevenir ataques o encararlos, sino también a procesos que nos ayuden a gestionar la información de una forma segura y eficiente. 

Se habla mucho de las tecnologías abiertas, del código abierto. Suena bonito. Sin embargo, sospecho que los códigos abiertos, para empresas tan grandes como las mineras, son un riesgo más. 

Definitivamente, y en Gold Fields no desarrollamos software, nosotros normalmente utilizamos software comercial. Utilizamos SAP, PI System para la planta, todos son comerciales, y si hay uno que queremos enfocarlo de una manera distinta, lo contratamos como servicio. Pero el desarrollo de software, como tú mencionas, supone otro tipo de riesgo y otros tipos de mecanismos de control. Los bancos, por ejemplo, desarrollan mucho software por la cantidad de sistemas que gestionan y normalmente son in house

¿Qué tan estandarizada está la tecnología? Tengo entendido que ese es uno de los problemas al momento de pretender incorporar innovaciones.

Bueno, la tecnología tiene un ciclo de vida que debe ser gestionado y ciertamente no podemos pretender que la tecnología de hoy se mantenga así, inamovible, por los siguientes cinco o diez años. Una empresa debe gestionar el ciclo de vida de la tecnología, tener planes de renovación tecnológica para minimizar los riesgos y obtener nuevos beneficios. Y en el sector minero, el ciclo de vida, se debe asociar y mucho a la fase de la vida de la mina en la cual se encuentra la operación. No es lo mismo una mina que empieza, pues esta adopta lo último del mercado, las últimas versiones de las soluciones, pero cuando una mina tiene ciertos años, se le complica ejecutar inversiones importantes en tecnología. Depende mucho de la etapa en que esté la mina para pensar en actualizar los sistemas operativos.

¿Me quiere decir entonces, señor Ishikawa, que Salares Norte, de Gold Fields en Chile, tendrá mejor tecnología que Cerro Corona porque será nuevo?

Definitivamente que sí porque Cerro Corona tiene una operación de doce años y Salares Norte es un proyecto que está empezando. Por ejemplo, en Salares Norte utilizaremos la tecnología de los gemelos digitales (digital twins) para simulaciones en 3D y poder predecir el resultado de algún cambio o una nueva estrategia. En comunicaciones, por ejemplo, en Salares Norte vamos a nacer con 4G con una implementación de LTE privado. 4G porque estas están probadas que las 5G. En Cerro Corona no tiene mucho sentido incorporar esta tecnología por la configuración de la mina y porque el wifi nos funciona muy bien. Por tanto, depende mucho de la vida de la mina y en el sector, a diferencia de otras industrias, sabemos cuánto vivirá la operación. Cuando hablamos de minas de oro, estas suelen tener una vida útil más corta, aunque Cerro Corona es una excepción. 

¿Cuál diría usted que es el eslabón más débil de la cadena productiva de la mina, cuál corre más riesgo de ser atacada cibernéticamente? 

Yo diría que los ataques pueden venir de cualquier frente y hacia cualquier frente. 

Y en cuanto a los proveedores, ¿serán más estrictos con las tecnologías que ellos usen?

Pues nosotros, cuando suscribimos un contrato con un proveedor, este tiene que firmar una política de confidencialidad y de uso de datos, y claramente tenemos mecanismos para controlar eso. Si un proveedor utiliza equipamiento informático propio, este debe superar ciertas pruebas y luego nosotros lo controlamos a través de un sistema de acceso a red, y eso nos garantiza que esa PC cumple con todas nuestras políticas de seguridad. Cada vez se necesitan más soluciones tecnológicas.

Supongamos que superan la seguridad de Cerro Corona, ¿cuál es el protocolo que sigue? ¿Cuántas personas en la operación se dedican a evitar ataques?

Siempre existe una probabilidad de que superen la ciberseguridad, ningún protocolo es perfecto. Y ahora, como te comentaba, nuestras soluciones tiene capacidad de alerta y estas son analizada en Centro de Seguridad de Operaciones de la mina, son revisadas continuamente, y de presentarse un incidente mayor, una alerta del tipo alta o crítica, lo que tenemos establecido es implementar un war room, una sesión en la que se convoca a los principales proveedores y expertos de tecnología y seguridad para revisar el tipo de alerta y verificar si es que se trata de un falso positivo o de un evento que sí puede traer consecuencias. Luego de ello se toman acciones: aislar la PC, el sistema, o si es que ha sido un comportamiento anómalo de un usuario. No solo los ataques vienen por los hackers. Si no también los mismos usuarios que están haciendo un uso “inocente” de los sistemas y exponen sus computadores y los sistemas informáticos. 

Yo que usted tendría más miedo de los de dentro que de los de fuera…

Bueno, hay que controlar eso. Adicionalmente superamos como empresa una serie de auditorías globales al año. Estos procedimientos constatan que nuestros sistemas de gestión funcionen correctamente, que se estén ejecutando los backups, que las tecnologías estén actualizadas, y por otro lado realizamos auditorías mucho más técnicas, con pruebas de penetración tanto internas como externas. 

¿Pueden identificar desde dónde ejecutaron algún ataque?

Se puede rastrear desde dónde atacaron, desde dónde quisieron entrar a nuestros sistemas, pero dependerá mucho también del nivel de experiencia del hacker. Un hacker novato deja muchas pistas, pero uno muy experimentado, cuando penetra una red, de cualquier empresa, lo hace desde servidores ajenos a su país. Estos pueden, por ejemplo, hackear una empresa, una entidad del Estado, para finalmente, desde esta, penetrar en un banco. En esos casos es muy difícil rastrearlos. La ciberseguridad es un proceso de mejora continua y no acaba. Nunca podemos decir que tenemos un nivel de ciberseguridad óptimo porque eso es falso. Siempre hay nuevos malwares, nuevos virus, los hackers, en pandemia, han comenzado a colaborar más entre ellos. Prefiero ser mucho más reservado y afirmar que tengo un sistema de seguridad adecuado, pero nunca vamos a llegar a un óptimo en ciberseguridad, eso no existe, es una utopía. El riesgo está siempre latente en cualquier empresa.

Autor: Energiminas (info@prensagrupo.com)