back arrow
Back to Resources

Defendiendo el futuro: La ciberseguridad en ciclos de vida ferroviarios | Francisco Lázaro Anguis | S2E3

In the first Spanish episode of the Secure Tracks podcast, guest host Omar Benjumea sits down with RENFE CISO and DPO, Francisco Lázaro Anguis

Únase al presentador Omar Benjumea mientras charla con Francisco Lázaro Anguis, CISO y DPO de RENFE, en el primer episodio en español de Secure Tracks. Explore el complejo desafío de proteger los sistemas ferroviarios a largo plazo. Descubra cómo la ciberseguridad se vuelve parte integral del diseño, las pruebas y el mantenimiento ferroviario, garantizando la resiliencia contra las amenazas que pueden evolucionar durante las próximas tres décadas. Descubra el delicado equilibrio entre seguridad y "safety" en el complejo mundo de las operaciones de tecnología ferroviaria.

Sobre nuestro invitado:

Francisco Lázaro Anguis, es un reconocido líder en los campos de ciberseguridad y sistemas de información y actualmente se desempeña como Director de Seguridad de la Información (CISO) y Oficial de Protección de Datos (DPO) en RENFE, el principal operador ferroviario español. Es también presidente del grupo de calidad y seguridad de la Asociación de Usuarios de Telecomunicaciones y Sistemas de Información (AUTELSI), Director del Centro de Estudios de Movilidad e Internet de las cosas y co-director del Grupo de Inteligencia Artificial y Ciberseguridad, ambos del ISMS Fórum, dónde también es miembro de la Junta Directiva y vicesecretario.Miembro de la junta directiva de la Asociación Española de Ejecutivos y Financieros, miembro de tres grupos de normalización ISO/UNE, vocal experto en el Foro Nacional de Ciberseguridad, coordinado por el Departamento de Seguridad Nacional, experto colaborador en la actual Estrategia de Ciberseguridad Nacional, autor y colaborador en la publicación de varios libros y cuenta con diversos premios a su trayectoria profesional, entre ellos la medalla al merito de la guardia Civil con distintivo blanco y es profesor asociado en la UPM.

Decades Defended: Embedding Cybersecurity to a 30-Year Rail Lifecycle

Join guest host Omar Benjumea as he sits down with Francisco Lázaro Anguis, CISO and DPO of RENFE, in Secure Tracks's first Spanish episode. Explore the intricate challenge of securing railway systems for the long haul. Discover how cybersecurity becomes integral to rail design, testing, and maintenance, ensuring resilience against evolving threats over three decades. Uncover the delicate balance between safety and security in the complex world of rail tech operations.

About our guest:

Francisco Lázaro Anguis is a recognized leader in the fields of cybersecurity and information systems, currently serving as the Chief Information Security Officer (CISO) and Data Protection Officer (DPO) at RENFE, the primary Spanish railway operator. He is also the president of the quality and security group at the Telecommunications and Information Systems Users Association (AUTELSI), Director of the Center for Mobility Studies and the Internet of Things, and co-director of the Artificial Intelligence and Cybersecurity Group, both at ISMS Fórum, where he also serves as a member of the Board of Directors and vice-secretary.

Francisco is a board member of the Spanish Association of Executives and Financiers, a member of three ISO/UNE standardization groups, an expert member of the National Cybersecurity Forum, coordinated by the National Security Department, a collaborating expert in the current National Cybersecurity Strategy, author and contributor to several books, and has received various awards for his professional career, including the Medal of Merit from the Civil Guard with a white distinction. Additionally, he is an associate professor at UPM.


English Translation:

Omar Benjumea: Hello, I'm Omar Benjumea, and this is the second season of Secure Tracks, the podcast where industry leaders are invited to talk about cybersecurity and railway operational technologies. In this episode, the first one we do in Spanish, we will talk with Francisco Lázaro, CISO of the Spanish operator RENFE, about the impact that new safety regulations may have on railway operators. Francisco Lázaro has had an extensive resume for many years. He is CISO and DPO of RENFE and president of the Quality and Security Group of the Association of Telecommunications and Information Systems Users. He is director of the Center for Mobility and Internet of Things Studies and co-director of the Artificial Intelligence and Cybersecurity and Cybersecurity Group, both of the ISMS Forum, where he is also a member of the Board of Directors and deputy secretary. He is also a member of the Board of Directors of the Spanish Association of Executives and Financiers. Members of three ISO UNE standardization groups. Expert member of the National Cybersecurity Forum, coordinated by the Department of Homeland Security. Collaborating expert in the current National Cybersecurity Strategy and author and collaborator in publishing several books. In addition, he has various awards for his professional career, including the Medal of Merit from the Civil Guard with a White Distinction, and is an associate professor at the UPM. Francisco, welcome to the podcast, and thank you for sharing this time with us.

Francisco Lazaro Anguis: Very good morning. Thank you so much. It is a pleasure to be with you. 

Omar Benjumea: We like to start every podcast episode by asking the guests about their beginnings in cybersecurity. So we won't make an exception. In your case, would you like to tell us what your first steps were in the cyber world?

Francisco Lazaro Anguis: If a person's career path hits different passages, they take different paths. When I started working, I started working in the world of systems technology and systems architecture, and little by little, at that time, cybersecurity, as we understand it today, did not exist. There was what was the security of large mainframe systems, and at that time, what local networks were beginning to take shape. So I started on the topic of security in local networks. Little by little, I began to specialize in the security environment of systems that were not large, and when the Internet entered, I had the opportunity to, uh, help install the beginnings of the Internet in our company. With those beginnings, it was necessary to provide it with security. So, well, I am in charge of the security of those Internet connections, those internal Internet accesses, and the interconnection with our internal systems. It is precisely there that I began to develop an activity closely related to security. Years later, I went through different departments with responsibilities as head of operational systems, including traffic safety and physical security systems. Finally, well, I was named head of information security, which was what it was called at that time. moment, and from there, well, my career has meant that I have been dedicated to cybersecurity for a few years now, trying to make sure that this passion for this world also converges with my other professional passion.

Omar Benjumea: Very good. Until relatively recently. I understand your responsibility did not extend to railway technologies and systems that are commonly known. Do you want to tell us when and how this transition occurred? From the figure of the CISO responsible for Information Security to the new CISO responsible for all of the organization's cybersecurity?

Francisco Lazaro Anguis: Eh, It is interesting to see the evolution a little because it is true that in each company, it happens differently, even in the life experience of each professional, because that evolution has been taking place differently. In my case, for example, I started, as I said, with the topic of communications because I am a telecommunications engineer. I moved on to security in local networks and, later, the Internet. I had another phase in which I was responsible for operating systems, and, as I said before, operating systems are operational in the security field. In the case of traffic safety, no, and later, I became responsible for cybersecurity evolution. If you look at it, it's curious because it's security, security in circulation, and then, eh, computer security. It is true that information security was through its applications, but that was what made me come into more contact with the world of railway operations because, until that moment, my relationship was with the world of telecommunications and, let's say more with the issue of data processing centers, office networks and much less the railway environment. That's not where I started to know more about what it represents, Safety in a very global way of the importance of safety in a very global way, applied both to circulation and to the world, for example, of the workshops and then with the new responsibility of cybersecurity, because it is where we begin to give it a little shape and where we say hey, in the world of traditional security about traditional information systems Data processing center, large systems, departmental systems, jobs, information security, well, it has its place. It has been evolving, and we have a good level, but we understand that in the railway world, It is necessary to take that experience and bring it to the world of railway safety. When we raise it with senior management, it seems natural that we take charge of security in the OT world, not the operational one. And it depends on the companies because, in other companies, a different evolution has occurred. Those responsible for the operational environments are the ones who have been acquiring information security baggage and are the ones who are responsible for information security. In our case, what we have done is the opposite, coming from the world of communications to the world of information and information systems. We provide that knowledge, and we have to gain knowledge of the railway world. They are like the two main lines that companies follow. There is even a third when companies are operators of critical infrastructure and essential services. It may turn out that whoever carries out security in the operational world strictly related to essential services or critical infrastructures may have another department with more of that responsibility, which is different from the two I mentioned above. They are not those of information systems, they are not those of operations, workshops, etc., but it is 1/3 that has more responsibility for the critical infrastructures of essential services. If you ask me my personal opinion, I sincerely believe that it makes much more sense for information security to take charge to extend that level of maturity to other environments because, in the end, we are talking about information assets, we are talking of vulnerabilities, of threats, of technology, in short, and therefore we want those who can contribute the most to be those who have a direct relationship with information systems.

Omar Benjumea: In the end it is true that there are different paths, but the end of the path does not end up being a little the same in all cases? There is a global trend right now in all organizations for responsibility to be part of a single team, right? It is happening to operators and, to some extent, to integrative manufacturers. You, who are in contact with professionals from many other sectors beyond the railway sector, how would you describe the current situation of the maturity of our railway sector compared to other sectors in terms of cybersecurity?

Francisco Lazaro Anguis: Well, like you said in the introduction, eh? We participate very actively in three associations of different levels, one of which is different, let's say scope. Some are specifically security, others are executives, others are users of information and communications systems. And what that does for us is, eh, having contact, as you said, extensive, with many professionals, right? And we are seeing that the evolution of security is covering more and more aspects. Eh, there is greater awareness in organizations regarding cybersecurity because, in the end, they see the external panorama, and what we are all trying to do is have an adequate level of security, right? That adequate level of security means that we all have to do our part, that the European Union has to demand that the member states of the European Union or of any other group of countries, well, it has to demand and that those of us who are like Operators, we are the ones who acquire technology, we have to demand and on the other hand those who provide services, because they have to try to anticipate those requirements as much as possible and precisely those requirements, so make, uh, make a virtue in their products so that when they are presented to third parties, they can indicate that these products are not only functionally adequate, not only do they have, for example in the railway world, not only do they provide the levels of certification that are necessary, but also in the field of information security, not only comply with requirements, but proactively believe that this is the path to a greater guarantee of a level of security for operators, clients, suppliers and society in general.

Omar Benjumea: In fact, I know that in recent years, you have incorporated risk management and cybersecurity management in purely railway systems, even in the trains themselves, right? Without going into confidential details. Could you explain to us the main challenges you have encountered so far?

Francisco Lazaro Anguis: Look, I think that at the beginning, almost all of us operators who demand cybersecurity in railway equipment found ourselves in a situation that remains somewhat special, which was that the manufacturers did not have cybersecurity experts. OK. Eh, precisely because of the first communications we had with them, from what we said, we indicated to them that it was going to be our strategy. Manufacturers have been incorporating security managers. Having a CISO, in the end, is not a corporate issue that, well, we try to defend that function, but what that role does is generate within a company an activity focused on cybersecurity. When we started to demand them, we found no CISOs within the manufacturers, okay? That is already a first problem because we have said that we have, that we come from the world of cybersecurity, and we want to learn about the railway world to try to adapt our cybersecurity requirements to that specific environment, beyond the generalities that we have knowledge of. After working for the company for many years, we lack interlocutors. So our first interlocutors were actually engineering people from the manufacturers, and we would have loved it if engineering safety officials had accompanied us. Well, precisely to try to better understand that world and adapt more closely to the requirements we were writing at that moment that we were thinking we were identifying, well, adapt them much more to an existing reality, right? That, that was our first, our first brush with reality. Hey? How do we approach it? Well, first, we look for an interlocutor, which is why I started telling it so that the dialogue is much more fluid. The second, as we approach it, is through the requirements that we put on our railway material, including railway material. All of us who are dedicated to this sector know this, right? It is not at all simple because there are some spaces because there are some certifications, but those who are not from this sector find it somewhat shocking that this is a great difficulty. But those of us who are dedicated to this sector know it. It is a great difficulty, right? So not only is the requirement established, but then how will those requirements be implemented on a material? well, a very important part is to think that railway material has a life of 30 years, right? Between 25 or 30 years, and that means you are putting in place safety requirements before the train is even designed. And once it's implemented, it's been tested, certified, and rolling. It will be in circulation for 30 years, so we have a 30-year vision of what cybersecurity will represent since it seems somewhat difficult to us and, therefore, requires an effort to try to identify how it can go. evolving and that the system has a certain slack to be able to incorporate cybersecurity elements. And then, of course, there is the whole issue of how we coexist and I suppose that later we will have a moment to talk about it. How do we make the world of safety and security coexist? How do we coexist in the world of safety? Something is secure when it is not modified and because it has been certified in a certain way. So, for it to remain safe it has to be the same as when it was certified. While in the world of security, of cybersecurity, what is safe today is insecure tomorrow, isn't it safe? That it will have to be updated and therefore it will no longer be exactly the same as when it was certified. That is complicated in making those two worlds coexist. Trying, huh? So how are we going to make them coexist when it comes to maintenance? But hey, if you are interested we will talk about this topic later because that is a world in itself.

Omar Benjumea: That is an interesting topic. Important, huh? I wanted to ask you because you have spoken before about the impulse that needs to come from the States, right? We know that there is a lot of legislation already in force, but that there is a whole series of new laws and regulations that are going to land soon completely affecting the railway sector, such as, for example, in addition to the NS, which we already have here, well which would be the NIST-2, which would be the CRA, etc. What reading do you make about the impact that these new requirements will have on how you manage the cybersecurity of railway technologies?

Francisco Lazaro Anguis: This is all the legislation. In the end, if you are mature enough, the legislation has a relatively low impact on your cybersecurity practice. That is to say, in the end, all regulations are based on pillars that are common even outside of the railway sector. In this case, we are talking about the general one, as you said, the resilience one, and the NIST-2. However, it has some pillars that are common, such as risk analysis, the management of security incidents, communication to control authorities, and the responsibilities of senior management. Now the supply chain is beginning to appear very strongly. That is to say, there are a series of repeated elements, and if you already have cybersecurity implemented in your company, it is very difficult for you not to have implemented those requirements. That is to say, I cannot understand that we do not rely on risks to make decisions and, therefore, that we do risk management of everything: new products, new projects, and new services. That is, we are based on risks. I cannot understand that if you have a security practice, you do not adequately manage security incidents, with greater or worse or less provision of human, economic, and technical resources. But you will have to have it, and of course, you have to have a capacity for transparency or a need for transparency beyond the obligation that it makes you towards the control authorities or the responsible authorities because you have to make a communication. So it is very It is difficult for that not to happen. In any case, does all the regulation always come to help, at least that's how I understand it, does it come to help what you are already doing? No, why not, first you see what is being done and what you consider They are good practices, apart from the fact that they are aligned with ISO 27001, with any other certification, because you see that not only is it that you are aligned, but it can also serve as an impetus for certain aspects that are not yet being taken very seriously, no. ? For example, like the supply chain, the supply chain. Surely, all of us who are operators, all of us who buy material, demand, but I believe that the supply chain feels obligated by our requirements but does not feel like an active party obliged by the legislation. That is why it is very important that the legislation not only includes concepts such as and you have to demand from the supply chain what Annex Two says, but also that when national transpositions are made, since they have not been taken into account in the European legislation, that and you have to demand that it becomes a and you have to comply. That is to say, the supply chain is considered within the subjective scope of the obligated subjects. Therefore, it is not because the operator that purchases from it places obligations on it, but because it is directly obliged to offer quality products, and that is where we would enter the issue of the iron, etcetera of another, of other legislations and the field. And in the specific case that you have talked about about the National Security Scheme, well, it is the national scheme of Spain, that is, the competent authority, which in our case is the Spanish National Intelligence Center, since it has established a development framework? of security for all public entities and now also for the entities that or the companies that supply public entities and it is also a reference in the national order, even if you are not within that subjective scope, right? So the schema, for example, has one, it has an interesting action, which is the compliance profiles, the compliance profiles. It is when a certain environment cannot comply with the entire national security scheme because it is very designed for information and communications technologies, that is, very much for data processing centers, cloud systems, offices, etc.. You put them in an environment that is much more particular, such as the railway, where there is also what we said before about safety and security because doing and living together has one. A peculiarity is that specific profiles can be created for these environments. Therefore, it is adapted to the environment on which the National Security Scheme will be applied. You take its principles, its minimum requirements, it is adapted to that environment. So to your question, I've gotten involved, huh? Well, let's say that the regulations are very good because they first establish common bases for everyone, which is very good. Second, it can oblige everyone, it can oblige subjects such as the supply chain, who perhaps until now did not feel like an obligated party and will do so. And then it also allows. Establish lines of development that improve even more, give greater maturity, or allow one to evolve in a much more correct way. The entire world of cybersecurity.

Omar Benjumea: I know you actively participate in the development of new standards, not like the TS 50701 or the future IEC 63452. What is your point of view about the need and benefits of this type of standard for the sector beyond the legislative topics we just discussed?

Francisco Lazaro Anguis: Look, we firmly believe in the field of normalization. We actively participate in three normalization groups. Two were closely related to the world of =information security, and the third was related to the world of the railway sector. We believe, therefore, in our DNA we believe the rules because we believe that it is good that a group of experts help us mark a good path, that in addition, all of us, eh, the companies that are dedicated to this, then we have a path marked and on that, we improve it, but that we have a common point of improvement where a group of experts and professionals help the successive versions to improve. In this case, what would be the security requirements and especially the regulations on cybersecurity in the railway environment? Because indeed the norms such as the resilience one, the directives such as the resilience one or the NIST-2 or the National Security Scheme in the Spanish case. But the same thing exists in France and other countries; well, they are very generic, and it is necessary to land them in the world of railways. These other standards are born from railway operators, and therefore, we say that they have their birth. They have an orientation toward transferring good cybersecurity practices to the railway environment. No? Therefore, we firmly believe in the need to standardize to the extent possible and with the capacity we have since we actively collaborate in the drafting of these regulations so that when they return to us as standards, well let's feel identified and let's not miss aspects and say how it is possible that, for example, the management of security incidents has not been taken into account, right? Well, elements like these, then we consider it to be very important. We believe that in addition, regardless of the initial orientation given, because in the end, the rules are made by consensus and are made with the participation of many experts. So, well, there are always things that you say well, I can live with this, but I would have preferred to do it this other way, regardless of all this, it is always good and comes to help. And we also collect things that otherwise will remain in the pipeline, right? As it was said in the past, we do not collect things that, if not, the general regulations or general legislation will not take into account. For example, when NIST-2 talks about security measures and talks to you, for example, about encryption, well, he could have talked about anything else or any other control, but he specifically mentions it just like the General Protection Regulation. Data specifically mentions encryption, when there are many other controls that could also be named, right? Well, in the railway world, we miss it because there is no talk of proper segmentation, right? What is very important in railway equipment, in trains, to segment the area of customer-oriented information systems, from driving-specific control systems from any other? The different systems that we have identified and say have to be segmented. So, all of these regulations are very desirable, and we like to see them evolve. And you still don't know much, eh? There should be more.

Omar Benjumea: We'll have to give it time, right? Changing the subject a little, I would like to talk a little about more operational topics. No. Which would be a SOC for example. And I know that at RENFE, you use the concepts of SOC and CERT in a very, very concrete and specific way. Do you want to tell us a little about what a SOC is for you and how you have it structured?

Francisco Lazaro Anguis: Yes, maybe I’ll start with a little why. We first believe in security with different layers or different levels of defense. We believe in operation, supervision, and auditing. And that in itself is already a germ of what I am going to tell you next. Additionally, as you have explained, I have a double role, even a triple role, because in some things, eh, let's say I have responsibility in the field of physical security, but it is a minor issue. But I also have it. But yes, mainly. I am the head of cybersecurity and the head of data protection. As the head of data protection, my main functions are to advise and supervise legal compliance. Is that the same thing that we wanted to do in the responsibility of CISO, that my main function or my main functions are related to advice and supervision in advice since it goes into risk analysis, it goes into the preparation of the strategy, the regulatory framework, etc., right? In these risk analyses, we do not manage the risk; that is, we carry out a risk assessment, we propose controls, but it is the person responsible for the product or service or project within the company who has to manage the risk, not the IT person, but the business manager who has decided that he needs that product or service or project. If we talk about the railway environment, it is the area that has decided to acquire new railway equipment. He is the one who has to manage the risk and does so based on our advice. But he manages it as he sees fit and with the advice of the operational areas. And once it has been decided what controls he has decided, what controls can be implemented, our work returns again in an active way to monitor and tell the real situation with respect to what had been thought in the risk assessment, that is, when we talk about inherent, residual risks, etc. So what is the risk situation with respect to what we advised had to be done? We have an independent function; we elevate it to senior management. Those considerations that we have about how the security operation is being developed. We do not operate security. From my department, we advise and supervise, and I finally come to your question within that supervision. Within that supervision, we consider ethical hacking and how managing security incidents corresponds to supervision. OK. Therefore, on the one hand, my department does not carry out the operation; it carries out advice and supervision. Incident management is considered a part of supervision because, in the end, it is an indicator of our level of security and can even be related to how we operate and, therefore, who does it cannot be supervised. itself. And in that management of security incidents and in that specialization, in that field of security incidents, is where we separated. In such a way that we said a shock due to terminology can be anything goes; even if we look at SOC models, we will find that they are not defined at all because even ENISA since it talks about EH, talks about both the security operation and the management of incidents, as well as even functions that are more typical of security offices such as risk analysis, etc. and they put everything in the same drawer. Then a SOC, a security operations center, well it can be everything, but it can also be, but it can also be specialized. In our case, what we decide is based on that we have the role of advice and supervision since we manage security incidents and the CESID OK or the FER as the nomenclature you want to assign it, well the CESID or the CER, they are in our in our function. While the SOC, what we call a SOC, is directly related to the security architecture and the operation of security. In other words, and ITIL language, the incidents would be in the SOC, that is, all those malfunctions that are not due to an intentional negative action. Well, they are on the operations side. When there is a possibility or an action to break the security policy, to violate the security policy, or the intention to violate it, it is considered a security incident. And that happens to our being, to our CSIF. Of course, the profiles are different. We have incident analysts, we have incident management experts, we have intelligence analysts, while on the SOC side what we have are fundamentally experts in all the technology that we are operating, that is, in the specific firewall technology. , in WAF technology, probes, etc. Therefore, everything that is intelligence and response elements, incidents, security, threats, etc., corresponds to the CSIF. Everything that is the installation of security architectures and their operation, configuration, maintenance, performance optimization, etc., and dealing with users regarding those elements that are providing service to them is carried out by the SOC. Okay, and of course, there is a great connection between the two, and an incident can lead to an incident or several incidents, right? But they are different profiles and also have different relationships. For example, the SOC relates very directly to manufacturers. We also have a relationship with manufacturers, but much greater with other CERTs. For example, we are part of the ecosystem of international and national certs, as we are part of the CSIF. Spot. There are more than 40 organizations with incident response groups where we collaborate and share information. Then, even in those relationships, they are different, they relate a lot. That is very related to users. We interact much more with the higher levels of business because we are the ones who have to understand what their needs and projects are, etc. And we also have a broad relationship with State Security Forces and Bodies, right? As in the Spanish case, is it the police or Civil Guard?

Omar Benjumea: Very good. Francisco recently announced the creation of a cybersecurity center in Galicia. Do you want to tell us how it fits into what you just explained to us?

Francisco Lazaro Anguis: Yes, the company is immersed in the creation of what are called digital skills centers. These digital competence centers are created in areas of Spain called depopulated areas, which have been losing population over the years and were also important nodes in the railway world. And like all things, there are nodes that are no longer important because traffic changes, and so they wanted to unite the creation of technological positions in environments that were saying that they were losing population and that, in the past, were important railway nodes between the centers of digital competence that were designed. It is good that they were identified, designed, and currently operational; there is the Railway Cybersecurity Digital Competence Center. Its name already indicates that its main focus and objective scope is railway systems, no. And therefore what we are doing is everything we are putting into the requirements of the new railway material. Everything that later arises from this operation is due to events that indicate a malfunction or must be analyzed. If a system has changed, for example, until very recently, the information systems that were inside a train, well, they were a small number because there were five, six, ten, and there is a train that is working in tests with 50,000 sensors. IoT. Well, that changes, right? And you have to put in place security that takes into account all these elements and well, there are not always going to be incidents, come on, in fact it is what happens the least in security incidents. So the Monforte Center is oriented towards the operation of security in the railway environment, that is, trains, stations, and workshops, and with a very strong focus on those environments and a very good knowledge of what systems they are. those that are providing service to railway operations, right? And therefore their security operations, how do they fit in with those railway operations and with a great knowledge of the systems behind them and what is their normal and correct operation? First, to help them from protection and second, to identify if there is an incident and pass it on to our group with its specialists in the cybersecurity, railway, incident, and cybersecurity railway environment.

Omar Benjumea: Very good. And hey, you were commenting before right? Implementing changes or applying patches in railway systems is difficult due to those approvals or certifications in the existing safety world. I wanted to ask you several questions and you answer them, eh? United as you see fit. But first, how does that application of patches match the model you were talking about, right? I understand it would be more related to the purely SOC part in your case. And then if you think that it is one of the great obstacles for the industry and if you see a possible solution for articulating this application of patches for railway systems.

Francisco Lazaro Anguis: Personally, huh? I see that it is complex, I mean, it is not one of these things you say. Well, I put these tools, I do these actions, I know that this environment could be improved, and with this, I am going to improve it. It is really complicated because there are many actors and above all they all have to try to change what is behind it, right? On the one hand, there is what we said before, that the world of safety is designed so that everything is certified and little evolution is made. The world of cybersecurity is designed so that everything evolves as threats and risks in cybersecurity advance and that is every day. You encounter new situations. Every day, it is discovered that there is code that is exploitable, and we can do things like, for example, put detectors and put segmentation, etc. But in the end, it is necessary to update the information systems. The problem is that, in my opinion, that should come from a much higher level, it should come from the world of safety, and it should be seen as it should or can be fitted, for example, updates with early updates, those updates that Do not modify an EH certified scenario, or others of greater or lesser importance but in greater volume by carrying them out when scheduled maintenance, short cycle maintenance, and long cycle maintenance are carried out. That is to say, there are a lot of issues that not only affect the operator. What's more, normally, whoever sells the train, the train manufacturer is the one who then does maintenance or does it 100% himself or through companies owned by the operators; since he does the maintenance and, those issues have to be analyzed and are not so much of an individual operator because he has to get inside the culture and get inside the culture. That is, culture in the end is those things that we do because we think it is the normal way of doing things, that is what our culture would be. It's how we approach our lives and any aspect of culture, including gastronomy, right? Hey? And then, applied to the professional world, it is not as easy as what we want to do, but rather what is understood by the sector, which should be done. For example, when we put cybersecurity elements on trains, we find ourselves in a new situation. When the trains are circulating, they can have communication mechanisms with the maintainers so that they can collect all the telemetry and then when the maintenance is done, they can act in an appropriate way, even removing the train from service to carry out maintenance. What are we going to find now? Well, we already find ourselves, because we already have trains circulating with specifically cybersecurity elements in different, well in five, with, with five manufacturers, in different series, well we find that all the cybersecurity elements are very talkative. They are very explosive in reporting and decisions have to be made. So those, those security events, we, for example, manage daily, not exclusively in the railway environment, but in general we manage around the 3 billion daily security events, well, all those events, now those that are generated in the world of the train, which are many. Okay, well, you have to identify them to identify what the normal operating patterns are and later, to identify what are the anomalies that should be investigated, both because they are operating anomalies. Well, for example, certain network cards have been changed and the manufacturer has not communicated it as security incidents. Therefore, we have to involve many parties. Furthermore, these parties cannot make decisions separate from the context of other operators in other parts of the world because they have to try to ensure that their railway materials and their way of understanding, um, the operation of the train, well, they are present in several countries, but Your requirements are specific, right? Therefore, there is the issue of regulations that we talked about before, so that these requirements are much more extensive. But it is necessary for the legislative part and at the highest part of the sector's pyramid to talk about these issues and try to resolve what a cybersecurity operating model is like. If the alerts reach the maintainers first, like all. Everything has been done with the rest of the elements so that they can see if it is an operation problem or not, if it arrives in parallel to the operator's cybersecurity operation and the operation of the trains. If they also arrive at the CESID. If these questions, well we have to refine them because we find some. Totally new scenarios and although we dedicate effort and think about it and also do things, we don't just think. What is important is that what is the context, which would be the group of operators and manufacturers, since they will speak in a much more active way about how they have to solve it.

Omar Benjumea: Very good and to go, to finish, to close. Francisco, if any of the podcast listeners would like to contact you, what social networks are you active on? What would be the best way to contact you?

Francisco Lazaro Anguis: Well, LinkedIn is the best way to contact me.

Omar Benjumea: Very good Francisco Lázaro, Well, thank you very much for sharing this time with us and for the Secure Tracks audience. Thank you very much for listening to us. This is the end of today's episode. Until next time and let's keep roads and trains safe. Until then.

Francisco Lazaro Anguis: Omar, it has been a pleasure. See you later.

Transcripción española

Omar Benjumea: Hola, soy Omar Benjumea y esta es la segunda temporada de Secure Tracks, el podcast donde líderes de la industria son invitados a hablar sobre ciberseguridad y tecnologías operativas ferroviarias. En este episodio, el primero que realizamos en castellano, vamos a hablar con Francisco Lázaro CISO del operador español Renfe, sobre el impacto que las nuevas regulaciones en materia de seguridad pueden suponer para los operadores ferroviarios. Francisco Lázaro tiene un currículum extenso desde hace muchos años. Es CISO y DPO de Renfe, pero además es presidente del Grupo de Calidad y Seguridad de la Asociación de Usuarios de Telecomunicaciones y Sistemas de Información. Autelsi es director del Centro de Estudios de Movilidad e Internet de las Cosas y codirector del Grupo de Inteligencia Artificial y Ciberseguridad y Ciberseguridad, ambos del Isms Forum, donde también es miembro de la Junta Directiva y vicesecretario. Es también miembro de la Junta Directiva de la Asociación Española de Ejecutivos y Financieros. Miembros de tres grupos de normalización ISO UNE. Vocal experto en el Foro Nacional de Ciberseguridad, coordinado por el Departamento de Seguridad Nacional. Experto colaborador en la actual Estrategia de Ciberseguridad Nacional y autor y colaborador en la publicación de varios libros. Además, cuenta con diversos premios a su trayectoria profesional, entre ellos la Medalla al Mérito de la Guardia Civil, con Distintivo Blanco y es profesor asociado de la UPM. Francisco, bienvenido al podcast y gracias por compartir este tiempo con nosotros.

Francisco Lazaro Anguis: Muy buenos días. Muchas gracias. Es un placer estar con vosotros. Lo mismo digo.

Omar Benjumea: Nos gusta empezar todos los episodios del podcast preguntando al invitado por sus inicios en el mundo de la ciberseguridad. Así que no haremos una excepción. ¿En tu caso, te gustaría contarnos cuáles fueron tus primeros pasos en el mundo ciber?

Francisco Lazaro Anguis: Si la trayectoria de una persona en la trayectoria profesional va pegando diferentes, va cogiendo diferentes caminos. Yo cuando empecé a trabajar empecé a trabajar en el mundo de de la técnica de sistemas, de la arquitectura de sistemas y poco a poco, en aquellos momentos la ciberseguridad, como hoy la entendemos, no existía. Existía lo que era la seguridad de los grandes sistemas de los sistemas mainframe y en aquel momento pues empezaba a empezaba a andar lo que eran las redes locales. Entonces empecé en el tema de la seguridad en las redes locales. Poco a poco me fui especializando en el entorno de seguridad de los sistemas que no eran grandes y cuando entró a internet pues tuve la oportunidad de, eh ayudar a instalar los comienzos de Internet en nuestra compañía. Con esos comienzos había que dotarle de seguridad. Entonces, bueno, pues me encargo de la seguridad en en esas conexiones a Internet, de esos accesos internos a Internet, de la interconexión con nuestros sistemas interiores. Y es justamente ahí, pues cuando empiezo a desarrollar más una actividad muy relacionada con, con, con la seguridad. Años más tarde pasé por diferentes departamentos con diferentes responsabilidades como responsable de sistemas operacionales, entre ellos seguridad en la circulación, sistemas para la seguridad física y finalmente, bueno, pues soy nombrado responsable de seguridad de la información, que era como se llamaba en aquel momento y desde ahí, bueno, pues la trayectoria hizo pues que ya llevo unos cuantos cuantos años dedicados a la ciberseguridad, intentando bueno, pues que esa pasión que tengo por este mundo pues confluya también con la otra pasión profesional.

Omar Benjumea: Muy bien. Por lo tanto, hasta hace relativamente poco tiempo. Entiendo que tu responsabilidad no abarcaba las tecnologías ferroviarias y los sistemas que normalmente se conocen como OT. ¿Verdad? ¿Nos quieres contar cuándo y cómo se ha llevado a cabo esa transición? ¿Desde la figura del CISO, responsable de Seguridad de la Información al nuevo CISO, responsable de toda la ciberseguridad de la organización?

Francisco Lazaro Anguis: Eh Es interesante ver un poco la evolución, porque es verdad que en cada compañía pues ocurre de una forma diferente, incluso en la experiencia vital de cada profesional, pues esa evolución se ha ido dando de una forma diferente. En mi caso, por ejemplo, empecé como dije en el tema de comunicaciones porque soy ingeniero de telecomunicaciones, pasé después al tema de seguridad en entornos pues de redes locales y más tarde de de Internet, y tuve otra fase en la que era responsable de sistemas operativos y como he dicho antes, de sistemas operativos, es decir, operacionales en el campo de la seguridad de la. En el caso en el caso de la seguridad de la circulación no y después pasé a ser responsable de ciberseguridad esa evolución. Si te fijas es un poco curioso porque es seguridad, seguridad en la circulación y después, eh, seguridad informática. Es verdad que seguridad en la información era a través de sus aplicaciones, pero eso fue lo que me hizo entrar más en contacto con el mundo de las operaciones ferroviarias, porque hasta ese momento mi relación era con el mundo de las telecomunicaciones y digamos más con el tema de los centros de procesos de datos, las redes de oficinas y mucho menos del entorno ferroviario. No es ahí donde empiezo a conocer más lo que realmente representa, eh La seguridad de una forma muy global de la importancia de la seguridad de una forma muy global, aplicada tanto a la circulación como al mundo, por ejemplo, de los talleres y después con la nueva responsabilidad de ciberseguridad, pues es donde empezamos a darle un poco de forma y donde decimos oye, en el mundo de la seguridad tradicional sobre los sistemas de información tradicionales Centro de proceso de datos, grandes sistemas, sistemas departamentales, puestos de trabajo, la seguridad de la información, pues tiene su lugar eh Ha ido evolucionando y tenemos un buen nivel, pero entendemos que en el mundo ferroviario es necesitario. Es necesario coger esa esa experiencia y llevarla al mundo de la de la seguridad ferroviaria. En nuestro caso digamos que, eh, cuando lo planteamos a la alta dirección, eh, parece natural que nos hagamos cargo de la seguridad en el mundo OT, no en el mundo operacional. Y digo que depende de las compañías porque en otras compañías se ha producido, eh pues una evolución diferente. Digamos que son los responsables de los entornos operacionales los que han ido cogiendo bagaje de seguridad de la información y son los que son responsables de la seguridad de la información. En nuestro caso, lo que hemos hecho es lo contrario, viniendo del mundo, de la de las comunicaciones, viniendo al mundo de la información y de los sistemas de información. Lo que hacemos es aportar ese conocimiento y tenemos que coger, eh, conocimiento del mundo ferroviario. Son como las dos grandes líneas que se siguen en las empresas. Incluso hay una tercera, que es cuando las empresas, eh son operadores de infraestructuras críticas y servicios esenciales. Puede resultar que quien lleve la seguridad en los mundos operacionales estrictamente relacionados con las EH, con los servicios esenciales o con las infraestructuras críticas, pues sea otro departamento que tenga más esa esa responsabilidad y no es ninguno de los dos que he dicho anteriormente. No son los de sistemas de información, no son los de operaciones, talleres, etcétera, sino que es 1/3 que tiene más una responsabilidad sobre las infraestructuras críticas a los servicios esenciales. Si me preguntas mi opinión particular, pues yo creo sinceramente que tiene mucho más sentido que sea la seguridad de la información quien se haga cargo, quien extienda ese nivel de madurez a otros entornos, porque al final estamos hablando de activos de información, estamos hablando de vulnerabilidades, de amenazas, de tecnología, en suma, y por lo tanto queremos que quien más puede aportar son los que tienen una relación directa con los sistemas de información.

Omar Benjumea: ¿Si al final es verdad que hay diferentes vías, pero el el el final del camino no acaba siendo un poco el mismo en todos los casos? ¿Que es esa, eh? ¿Podemos decir que hay una tendencia global ahora mismo de todas las organizaciones, a que la responsabilidad acabe siendo parte de un único, de un único equipo, verdad? Y de hecho, no solo está pasando los operadores, sino también hasta cierto punto, en fabricantes integradores. ¿Tú, que estás en contacto con profesionales también de otros muchos sectores más allá del ferroviario, cómo describirías la situación actual de la madurez de nuestro sector del sector ferroviario comparado con otros sectores en materias de ciberseguridad?

Francisco Lazaro Anguis: ¿Bueno, como como has dicho la introducción, eh? Participamos de forma muy activa en tres asociaciones que son de diferente nivel uno son de o diferente, digamos alcance. Unos son de específicamente de seguridad, otros son ejecutivos, otras son de usuarios de sistemas de información y comunicaciones. ¿Y eso al final lo que nos hace es, eh, tener un contacto como tú decías, extenso, con muchos profesionales, no? Y lo que estamos viendo es que la evolución de de la seguridad pues va abarcando cada vez más aspectos. ¿Eh Hay una mayor conciencia en en las organizaciones en materia de ciberseguridad, porque al final ven el panorama exterior y lo que estamos intentando entre todos es tener un nivel adecuado de seguridad, no? Ese nivel adecuado de seguridad significa que todos tenemos que poner de nuestra parte que eh la Unión Europea tiene que exigir que los Estados miembros de la Unión Europea o de o de cualquier otro agrupación de países pues tiene que que exigir y que los que estamos como operadores que somos los que adquirimos tecnología, tenemos que exigir y por otro lado los que proveen servicios, pues tienen que intentar adelantarse en la medida de lo posible a esos requerimientos y precisamente de esos requerimientos, pues hacer, eh, hacer una virtud en sus productos para cuando se presentan ante terceros, poder indicar que esos productos no solamente son funcionalmente adecuados, no solamente tienen, por ejemplo en el mundo ferroviario, no solamente aportan eh los niveles de certificación que son necesarios, sino que también en el campo de la seguridad de la información, EH no solamente cumplen con requisitos, sino que creen de una forma proactiva que ese es el camino para una mayor garantía de un nivel de seguridad de operadores, de clientes, de proveedores y de la sociedad en general.

Omar Benjumea: ¿De hecho, me consta que en los últimos años habéis estado incorporando la gestión de riesgos de y la gestión de ciberseguridad en los sistemas puramente ferroviarios, incluso en los propios trenes, verdad? Sin entrar en detalles confidenciales. ¿Nos podrías explicar cuáles han sido los principales desafíos con los que os habéis ido encontrando hasta hasta ahora?

Francisco Lazaro Anguis: Mira, yo creo que en un comienzo casi todos los operadores que exigimos ciberseguridad en el material ferroviario nos encontramos con una con una situación que queda un tanto especial, que era que los fabricantes no tenían expertos en ciberseguridad. Vale. Eh, Precisamente por las primeras comunicaciones que tuvimos con ellos, por lo que decíamos, les indicábamos que iba a ser nuestra estrategia. Los fabricantes han ido incorporando responsables de seguridad. El tener un CISO al final no es un tema corporativo de que, bueno, intentamos defender esa función, sino que esa ese rol lo que hace es generar dentro de una compañía pues una actividad centrada en la ciberseguridad. ¿Cuando empezamos a exigirlos, pues nos encontrábamos que no había CISOs dentro de de los fabricantes, vale? Eso ya es un primer problema, porque si nosotros hemos dicho que tenemos, que venimos del mundo de la ciberseguridad y queremos enterarnos del mundo ferroviario para intentar adecuar nuestros requerimientos de ciberseguridad a ese entorno específico, más allá de las generalidades que tenemos conocimiento. Después de llevar muchos años trabajando en la compañía, pues nos encontramos con que nos faltan interlocutores. Entonces nuestros primeros interlocutores realmente fue gente de ingeniería de los fabricantes y nos hubiera encantado que nos hubieran acompañado responsables de seguridad de la ingeniería. ¿Pues precisamente para para intentar entender mejor ese mundo y adecuar más las y adecuar mucho más los requerimientos que estábamos escribiendo en ese momento que estábamos pensando que estábamos identificando, pues adecuarlos mucho más a una realidad existente, no? Ese, ese fue nuestro primer, nuestro primer encontronazo con la realidad. ¿Eh? ¿Cómo lo abordamos nosotros? Pues primero buscamos un interlocutor, que por eso mismo es por lo que lo he empezado contando, para que el diálogo sea mucho más fluido. El segundo, como nosotros lo abordamos, es a través de los requerimientos que ponemos en nuestro material ferroviario e incluir material ferroviario. ¿Todos los que nos dedicamos a este sector lo sabemos, no? Que no es nada sencillo, porque existen unos espacios, porque existen unas certificaciones, pero los que no son de este sector pues les parece un tanto chocante que eso sea una gran dificultad. Pero los que nos dedicamos a este sector lo sabemos. ¿Si es una gran dificultad, no? ¿Entonces no solamente se establece el requerimiento, sino después como esos requerimientos se van a implementar sobre un material y pues una parte que es muy importante es pensar que el material ferroviario tiene una vida de 30 años, no? Entre 25 o 30 años, y eso significa que estás poniendo requisitos de seguridad incluso antes de que se diseñe el tren. Y una vez que está implementado, que ha pasado las pruebas, está certificado y está rodando. Va a estar 30 años circulando, con lo cual tener una visión a 30 años de lo que va a representar la ciberseguridad, pues se nos antoja un tanto difícil y por lo tanto pues requiere de un esfuerzo por nuestra parte el intentar identificar cómo puede ir evolucionando y que tenga una cierta holgura el sistema para poder ir incorporando eh elementos de de ciberseguridad. Y después, desde luego, está todo el tema de cómo hacemos convivir y supongo que más tarde pues tendremos un momento para hablar de ello. ¿Cómo hacemos convivir el mundo del safety y security? ¿Cómo hacemos convivir en el mundo de el safety? Algo es seguro cuando no se modifica y porque ha sido certificado de una determinada manera. Entonces, para que siga siendo seguro tiene que estar igual que cuando fue certificado. ¿Mientras que en el mundo de la seguridad, de la ciberseguridad, lo que hoy es seguro, mañana es inseguro, seguro no? Que habrá que, que habrá que actualizarlo y por lo tanto dejará de ser exactamente igual que cuando fue certificado. Eso es complicado en hacer convivir esos dos mundos. ¿El el intentar, eh? ¿Pues cómo vamos a hacerlos convivir a la hora de los mantenimientos? Pero bueno, si tienes interés más tarde hablamos de este tema porque eso es un mundo en sí mismo.

Omar Benjumea: Hablaremos y hablaremos porque es un. Es un tema interesante. ¿Importante, eh? Pero antes te quería. ¿Te quería preguntar porque has hablado antes del impulso que hace falta que venga por parte de los estados, verdad? Y sabemos que hay un montón de legislación ya vigente, pero que hay toda una serie de nuevas leyes y regulaciones que van a aterrizar próximamente afectando completamente al sector ferroviario, como por ejemplo, además del del NS, que ya lo tenemos aquí, pues lo que sería la NIS dos, lo que sería el C.r.a, etcétera. ¿Qué lectura haces acerca del impacto que estos nuevos requisitos van a suponer en el modo en el que gestionáis la ciberseguridad de las tecnologías ferroviarias?

Francisco Lazaro Anguis: Esto toda la legislación. Al final te encuentras que si eres suficientemente maduro, la legislación tiene un relativamente, relativamente un bajo impacto sobre tu forma de realizar la práctica de la ciberseguridad. Es decir, al final toda la normativa se basa en unos pilares que son comunes incluso fuera de de lo que es el sector ferroviario. En este caso estamos hablando de la general como como bien has dicho, de la de resiliencia y de la NIST dos. Pero tiene unos pilares que son comunes como es los análisis de riesgos, como es la gestión de los incidentes de seguridad, la comunicación a las autoridades de control, las responsabilidades de la alta dirección. Ahora empieza a aparecer con mucha fuerza la cadena de suministro. Es decir, hay una serie de elementos que se repiten y si tú ya tienes implementada la ciberseguridad en tu compañía, es muy difícil que esos requerimientos tú no los tuvieras implementado. Es decir, yo no puedo entender que no nos basemos en en riesgos para tomar decisiones y por lo tanto que hagamos gestión de riesgos de todo, de los nuevos productos, de los nuevos proyectos, de los nuevos servicios. Es decir, nos basamos en riesgos. No puedo entender que si tienes una práctica de seguridad no tengas una adecuada gestión de los incidentes de seguridad, con mayor o peor o menor, eh, dotación de recursos humanos, económicos y recursos técnicos. Pero tendrás que tenerlo y desde luego tienes que tener una capacidad de transparencia o una necesidad de transparencia, más allá de la obligación que te hace que hacia las autoridades de control o las autoridades responsables, pues que tengas que hacer una comunicación, Entonces es muy difícil que eso no se dé. ¿En cualquier caso, toda la regulación siempre viene a ayudar, por lo menos es como yo lo lo entiendo, viene a ayudar lo que ya estás realizando, No, porque no, primero ves que lo que está realizando, lo que tú consideras que son buenas prácticas, aparte que estén alineadas con la ISO 27.001, con cualquier otra certificación, pues ves que no solamente es que estés alineado, sino que además puede servirte de de impulso para determinados aspectos que todavía no estén siendo tomados muy en serio, no? Por ejemplo, como la cadena de suministro, la cadena de suministro. Seguro que todos los que somos operadores, todos los que compramos material, exigimos, pero yo creo que la cadena de suministro se siente obligada por nuestros requerimientos, pero no se siente como una parte activa obligada por la legislación. Por eso es muy importante que la legislación no solamente recoja conceptos como y tienes que exigir a la cadena de suministro qué es lo que dice el Anexo dos, sino que cuando se hacen las transposiciones nacionales, ya que no se han tenido en cuenta en la legislación europea, ese y tienes que exigir se convierta en un y tienes que cumplir. Es decir, que la cadena de suministro se considere dentro del alcance subjetivo de los sujetos obligados y por lo tanto no sea porque el operador que le compra le pone obligaciones, sino porque él directamente está obligado a ofrecer unos productos con calidad y ahí entraríamos el tema de la férrea etcétera de otra, de otras legislaciones y el campo. ¿Y en el caso específico que has hablado del Esquema Nacional de Seguridad, pues es el esquema nacional de España, es decir, la autoridad competente, que en nuestro caso es el Centro Nacional de Inteligencia Español, pues tiene establecido un marco de de desarrollo de la seguridad para todas las entidades públicas y ahora también para las entidades que que o las empresas que suministran a las entidades públicas y además es un referente en el orden nacional, incluso aunque no estés dentro de ese alcance subjetivo, no? Entonces el esquema, por ejemplo, tiene una, tiene una acción que es interesante, que son los perfiles de cumplimiento, los perfiles de cumplimiento. Es cuando un entorno determinado no puede cumplir con todo el esquema nacional de seguridad porque está muy pensado para tecnologías de la información y las comunicaciones, es decir, muy para centros de procesos de datos, sistemas en la nube, eh, oficinas, etcétera y los metes en un entorno que es mucho más particular, como puede ser el ferroviario, donde además está lo que antes decíamos del safety y security, pues el hacer, el convivir tiene una. Tiene una peculiaridad que es que se pueden crear perfiles específicos para esos entornos y por lo tanto se adecúa al entorno sobre el que se va a aplicar el Esquema Nacional de Seguridad. Se cogen sus principios, sus requerimientos mínimos, se adecua para ese entorno. ¿Entonces a tu pregunta que me he enrollado mucho eh? Pues digamos que las todo lo que es la normativa es muy buena porque viene primero a poner unas bases comunes para todos y eso está muy bien. Segundo, puede obligar en ese para todos puede obligar a sujetos como son la cadena de suministro, que a lo mejor hasta ahora no se sentían como una parte obligada y lo y lo harán. Y después además permite. Establecer líneas de desarrollo que todavía mejoran más o que dan mayor madurez o que permiten evolucionar de una forma mucho más correcta. Todo el mundo de la de la ciberseguridad.

Omar Benjumea: Sé que es de Renfe. Participáis activamente en el desarrollo de nuevos estándares, no como la TS 50 701 o la futura IEC 63 452. ¿Cuál es tu punto de vista acerca de la necesidad y los beneficios de este tipo de estándares para el sector más allá de de los temas legislativos que acabamos de comentar?

Francisco Lazaro Anguis: Mira, nosotros creemos firmemente en el campo de la normalización. De hecho, eh participamos de una forma activa en tres grupos de normalización. Dos estaban muy relacionados con el mundo de la sociedad de la información y el tercero es el relacionado con el mundo del sector ferroviario. Creemos, por lo tanto, en nuestro ADN está cree las normas porque creemos que es bueno que un conjunto de expertos nos ayuden a marcar un camino que es bueno, que además todos, eh las empresas que nos dedicamos a esto, pues tengamos un camino marcado y sobre eso lo mejoremos, pero que tengamos un punto de mejora común donde un conjunto de expertos y de profesionales pues ayudan a las sucesivas versiones a ir mejorando. En este caso lo que serían los requisitos de seguridad y muy especialmente en la normativa sobre ciberseguridad en entorno ferroviario. Porque efectivamente las normas como la de resiliencia, las directivas como la de resiliencia o como la NIC dos o el Esquema Nacional de Seguridad en el caso español. Pero lo mismo que existe en Francia y en otros países, pues eh, son muy genéricas y hace falta aterrizarlas en el mundo del ferrocarril. Estas otras normas nacen desde operadores del ferrocarril y por lo tanto digamos que tienen su propio nacimiento. Tienen claramente la orientación hacia cómo trasladar las buenas prácticas de la ciberseguridad al entorno ferroviario. ¿No? ¿Y por lo tanto, nosotros creemos firmemente en la necesidad de normalizar en la medida de lo posible y en la con la capacidad que tenemos, pues colaboramos de una forma activa en la redacción de estas normativas para que cuando nos vuelvan como normas, pues nos sintamos identificados y no echemos en falta aspectos y digamos cómo es posible que no se haya tenido en cuenta, por ejemplo, la gestión de los incidentes de seguridad, no? Pues elementos como estos, entonces consideramos que es muy importante. Creemos que además, con independencia de la orientación inicial que se le dé, porque al final las normas se hacen por consenso y se hace con una participación de muchísimos expertos. Entonces, bueno, pues siempre hay cosas que dices bueno, con esto puedo vivir, pero yo lo hubiera preferido hacerlo de esta otra manera, con independencia de todo ello, siempre es bueno y viene a ayudar. ¿Y además recogemos cosas que si no se van a quedar en el tintero, no? Como se decía antiguamente, no recogemos cosas que si no eh la normativa general o la legislación general no lo va a tener en cuenta. ¿Por ejemplo, cuando habla de medidas de seguridad la NIC dos y te habla, por ejemplo, del cifrado, que bueno, podría haber hablado de cualquier otra cosa o de cualquier otro control, pero lo menciona específicamente igual que el Reglamento General de Protección de Datos menciona específicamente el cifrado, cuando hay otros muchos más controles que también podrían ser nombrados, no? ¿Pues en el mundo ferroviario echamos de menos porque no se habla de la debida segmentación, no? ¿Que es muy importante en el material ferroviario, en los trenes, para segmentar la zona de sistemas de información orientados a los clientes, de los sistemas de control específicos de la conducción de cualquier otro no? Los diferentes sistemas que hemos identificado y decimos que tienen que estar segmentados. Entonces, toda esa normativa es muy deseable y nos gusta que vaya evolucionando. ¿Y todavía no sabe a poco, eh? Tendría que haber más.

Omar Benjumea: ¿Habrá que darle tiempo, no? Ehh, cambiando un poco de tema, me gustaría hablar un poco de de de temas más operativos. No. Lo que lo que sería un shock, por ejemplo. Y me consta que en RENFE utilizáis los conceptos de SOC y de CERT de una manera muy muy concreta y específica. ¿Nos quieres contar un poco qué es para vosotros un SOC y cómo los tenéis estructurados?

Francisco Lazaro Anguis: ¿Sí, quizás antes empiece con un poco el por qué de las cosas no? Eh, eh. Nosotros primero creemos en la seguridad con los diferentes capas o con los diferentes niveles de defensa. Creemos en la operación, en la supervisión y en la auditoría. Y eso en sí mismo ya es un germen de lo que te voy a contar a continuación. Adicionalmente, como has explicado, yo tengo un doble rol, incluso un triple rol, porque en alguna cosa, eh, digamos que tengo responsabilidad en el campo de la seguridad física, pero es un tema menor. Pero también la tengo. Pero sí, de forma principal. Soy el responsable de ciberseguridad y el responsable en protección de datos, como responsable de protección de datos, mis funciones principales son asesorar y supervisar el cumplimiento legal. ¿Eso es lo mismo que quisimos hacer en la responsabilidad de CISO, EH, que su mi función principal o mis funciones principales están relacionadas con el asesoramiento y la supervisión en el asesoramiento, pues entra a los análisis de riesgos, entra la elaboración de la estrategia, el marco normativo, etcétera, no? En esos análisis de riesgos nosotros no gestionamos el riesgo, es decir, hacemos una evaluación del riesgo, proponemos controles, pero es el responsable del producto o servicio o proyecto de dentro de la compañía el que tiene que gestionar el riesgo, no el informático, sino el responsable de negocio que ha decidido que necesita ese producto o servicio o proyecto. Si hablamos del entorno ferroviario, pues es el área que ha decidido adquirir un nuevo material ferroviario. Es quien tiene que gestionar el riesgo y lo hace en base a nuestro asesoramiento. Pero eh gestiona él como crea oportuno y con el asesoramiento también a su vez de las áreas de operativas. Vale. Y una vez que se ha decidido qué controles que él ha decidido, qué controles pueden implementarse, nuestra labor vuelve otra vez a entrar de una forma activa para supervisar y decir la situación real respecto a la que había sido pensada en la evaluación de riesgos, es decir, cuando hablamos de riesgos inherentes, residuales, etcétera. ¿Pues cuál es la situación del riesgo respecto a lo que nosotros asesoramos que se tenía que hacer? Tenemos una función independiente, es decir, lo elevamos a la alta dirección. Aquellas consideraciones que nosotros tenemos de cómo se está desarrollando la operación de seguridad. Nosotros no operamos seguridad. Desde mi departamento asesoramos y supervisamos y dentro de esa supervisión llego ya por fin a tu pregunta. Dentro de esa supervisión consideramos que lo que son, eh, los hacking éticos y lo que es la gestión de los incidentes de seguridad corresponden a la supervisión. Vale. Por lo tanto, decimos por un lado, mi departamento no lleva la operación, lleva asesoramiento y supervisión. La gestión de los incidentes se considera como una parte de la supervisión, porque al final es un indicador de, EH, nuestro nivel de seguridad e incluso puede estar relacionado en con cómo se está operando y por lo tanto, quién hace no puede supervisarse a sí mismo. Y en esa gestión de los incidentes de seguridad y en esa especialización, en ese campo de los incidentes de seguridad, es donde hicimos la separación. De tal manera que dijimos un shock por terminología puede serlo todo vale, incluso si buscamos en modelos de SOC, pues encontraremos que no están nada definidos, porque incluso ENISA, pues habla de EH habla tanto de la operación de seguridad como de la gestión de los incidentes, como incluso de funciones que son más propias de oficinas de seguridad como son los análisis de riesgos, etcétera y lo meten todo en el mismo cajón. Luego un SOC, un centro de operaciones de seguridad, pues lo puede ser todo, pero también puede ser, pero también se puede especializar. En nuestro caso lo que decidimos es en base a eso de nosotros tenemos el rol de asesoramiento y supervisión, pues nosotros gestionamos los incidentes de seguridad y el CESID Vale o el FER como la nomenclatura que la quieras asignar, pues el CESID o el CER eh, están en nuestro en nuestra función. Mientras que el SOC, lo que nosotros llamamos un SOC, pues está relacionado directamente con la arquitectura de seguridad y con la operación de la seguridad. Dicho de otra forma y en lenguaje ITIL, las incidencias estarían en el SOC, es decir, eh, todo aquel mal funcionamiento que no es debido a una acción intencionada negativa. Pues están en el lado de las operaciones. Mientras que cuando hay posibilidad o hay acción de romper la política de seguridad, de violentar la política de seguridad o intención de violentarla, se considera un incidente de seguridad. Y eso pasa a nuestro ser, a nuestro CSIF. Claro, los perfiles son diferentes. Nosotros tenemos analistas de incidentes, tenemos expertos en gestión de incidentes, tenemos analistas de inteligencia, mientras que en el lado del SOC lo que se tiene es fundamentalmente expertos en toda la tecnología que nosotros estamos operando, es decir, en la tecnología específica de cortafuegos, en la en tecnología de WAF, de sondas, etcétera. Por lo tanto, todo lo que son elementos de de inteligencia y de respuesta, de incidentes, de seguridad, incluido amenazas, etcétera, pues corresponden al CSIF. Mientras todo lo que es la instalación de las arquitecturas de seguridad y la operación de las mismas, su configuración, mantenimiento, optimización de rendimiento, etcétera y el trato con los usuarios en cuanto a esos elementos que les está dando servicio, lo realiza el SOC. ¿Vale, Y desde luego hay una gran conexión entre ambos y de una incidencia puede derivarse en un incidente o de un incidente o varias incidencias, no? Pero que son perfiles diferentes y además tienen relaciones diferentes. Por ejemplo, el SOC se relaciona muy directamente con fabricantes. Nosotros tenemos una relación también con fabricantes, pero mucho mayor con otros CERT. Por ejemplo, formamos parte de del ecosistema de de de certs internacionales y a nivel nacional, pues formamos parte del CSIF. Punto. Es donde hay más de 40 organizaciones con sus grupos de respuesta a incidentes que colaboramos y compartimos información. Luego, incluso en esas relaciones son diferentes, ellos se relacionan mucho. Eso se relaciona muchísimo con los usuarios. ¿Nosotros nos relacionamos mucho más con los niveles superiores de negocio porque somos los que tenemos que entender cuáles son sus necesidades y sus proyectos, etcétera Y también tenemos una amplia relación con Fuerzas y Cuerpos de Seguridad del Estado, no? ¿Como en el caso español es policía o guardia Civil?

Omar Benjumea: Muy bien y Francisco hace poco anunció la creación de un centro de ciberseguridad en Galicia. ¿Nos quieres contar un poco cómo encaja dentro de de esto que nos acabas de explicar?

Francisco Lazaro Anguis: Sí, La compañía está inmersa en la creación de lo que se llaman centros de competencias digitales. Esos centros de competencia digital se crean en zonas de España que se llaman zonas despobladas, es decir, que han ido perdiendo población a lo largo de los años y que además eran nodos importantes en el mundo ferroviario. Y como todas las cosas, pues hay nodos que dejan de ser importantes porque cambian los tráficos y entonces se ha querido unir esa creación de puestos tecnológicos en entornos que estaban diciendo que está perdiendo población y que antiguamente pues eran importantes nodos ferroviarios entre los centros de competencia digital que se diseñaron y que se bueno que se identificaron, se diseñaron y actualmente pues están en funcionamiento, está el Centro de de Competencias Digitales Ciberseguridad Ferroviaria. Por su nombre ya se indica que su foco principal, que su alcance objetivo son los sistemas ferroviarios, no. Y por lo tanto lo que estamos haciendo es todo lo que estamos metiendo en los requisitos del nuevo material ferroviario. Todo lo que después se derive de ese funcionamiento por los las los eventos que indiquen un mal funcionamiento o que tengan que ser analizados. Si un sistema ha cambiado, por ejemplo, hasta hace bien poco, los sistemas de información que había dentro de un tren, pues eran un número reducido, pues eran cinco, seis, diez y hay algún tren que en pruebas está funcionando con 50.000 sensores IoT. ¿Pues evidentemente eso cambia, no? Y tienes que poner una seguridad que contemple todos esos elementos y pues no siempre van a ser incidentes, vamos, de hecho es lo que menos ocurre en los incidentes de seguridad. ¿Entonces el centro de de Monforte está orientado hacia lo que es la operación de la seguridad en entorno ferroviario, es decir, trenes, estaciones y talleres, y con un foco muy eh puesto en esos entornos y con un conocimiento muy de qué sistemas son los que están dando servicio a las operaciones ferroviarias, no? ¿Y por lo tanto sus operaciones de seguridad, Como engarzan con esas operaciones ferroviarias y con un gran conocimiento de los sistemas que hay por detrás y cuál es su funcionamiento normal y correcto? Primero, para ayudarles desde la protección y segundo, para además identificar en el caso que hubiera un incidente y pasárselo a nuestro grupo con también sus especialistas en entorno de ciberseguridad, ferroviaria, de incidentes, de ciberseguridad, ferroviaria.

Omar Benjumea: Muy bien. ¿Y eh, comentabas antes no? El tema de de la dificultad de de implementar cambios o de aplicar parches en en sistemas ferroviarios debidos a esas homologaciones o certificaciones en el mundo safety que existen. ¿Te quería preguntar varias preguntas igual y y las las contestas eh? Unidas como mejor te parezca. ¿Pero eh, primero eh, cómo casa esa aplicación de parches con ese modelo que estabas comentando, no? Entiendo que estaría más relacionado con la parte eh, puramente de SOC en vuestro caso. Y después si piensas que realmente es uno de los grandes escollos para para la industria y si ves una posible solución de cara al futuro de cómo articular esta esta aplicación de parches para los sistemas ferroviarios.

Francisco Lazaro Anguis: ¿Personalmente, eh? Veo que que es complejo, o sea, no es de estas cosas que dices. Bueno, pues pongo estas herramientas, hago estas actuaciones, sé que este entorno era mejorable y con esto lo voy a mejorar. ¿Es verdaderamente complicado porque son muchos los actores y sobre todo todos tienen que intentar cambiar lo que hay detrás, no? Por un lado está lo que antes decíamos, que el mundo del safety, pues está pensado para que todo esté certificado y se haga poca evolución. El mundo de la ciberseguridad está pensado para que todo evolucione conforme las amenazas y los riesgos en la ciberseguridad van avanzando y eso es todos los días. Te encuentras con nuevas situaciones. Todos los días se descubre que hay código que es explotable y podemos hacer cosas como por ejemplo poner detectores y poner segmentación, etcétera Pero al final es necesario actualizar los sistemas de información. El problema está en que, en mi opinión, eso debería venir de un nivel mucho más alto, debe venir del mundo del safety y debería verse como se debe o se puede encajar, pues por ejemplo, las actualizaciones con actualizaciones tempranas, aquellas actualizaciones que no modifiquen un escenario certificado EH, o otras de mayor o de menor importancia pero en mayor volumen por realizarlos cuando se hagan los los mantenimientos programados, los de ciclo corto, los de los de ciclo largo. Es decir, hay un montón de cuestiones que no solamente afectan al operador. Es más, normalmente quien vende el tren, el fabricante del tren es quien hace después un mantenimiento o al 100% lo hace él o mediante empresas participadas con los operadores, pues hace los mantenimientos y esos, esas cuestiones tienen que ser analizadas y no son tanto de un operador individual porque se tiene que meter dentro de la cultura y meter dentro de la cultura. Es decir, la cultura al final es aquellas cosas que hacemos porque pensamos que es la forma normal de hacer, eso es lo que sería nuestra cultura. ¿Es como enfocamos nuestra vida y como como enfocamos cualquier aspecto de cultura, incluso la gastronómica, no? ¿Eh? Y entonces, aplicado al mundo profesional no es tan fácil como lo que nosotros queramos hacer, sino lo que se entienda por parte del sector, que es lo que se debe hacer. Por ejemplo, cuando metemos elementos de ciberseguridad en los trenes nos encontramos con una situación nueva. Los trenes cuando están circulando, pues pueden tener mecanismos de comunicación hacia los mantenedores para que vayan recogiendo pues toda la telemetría y después cuando se hagan los mantenimientos, pues actuar de una forma adecuada, incluso retirar el tren del servicio para hacer un mantenimiento. ¿Qué nos vamos a encontrar ahora? Pues que o que nos encontramos ya, porque nosotros ya tenemos trenes circulando con elementos específicamente de ciberseguridad en diferentes, bueno en cinco, en con, con cinco fabricantes, en series diferentes, pues nos encontramos que todos los elementos de ciberseguridad son muy eh dicharacheros, son muy explosivos informando y hay que tomar decisiones. Entonces esas, esos eventos de seguridad, nosotros por ejemplo, manejamos al día, no exclusivamente al entorno ferroviario, sino en general manejamos entorno a los 3 mil millones de eventos de seguridad diarios, pues todos esos eventos, ahora los que se generan en el mundo del tren, que son muchos. Vale, pues hay que identificarlos para identificar cuáles son los patrones normales de funcionamiento y más tarde, pues identificar cuáles son las anomalías que deben ser investigadas, tanto porque son anomalías de operación. Pues, por ejemplo, que se han cambiado determinadas tarjetas de red y no lo ha comunicado el fabricante como lo que son propiamente los incidentes de seguridad. Por lo tanto, tenemos que involucrar a muchas partes. ¿Esas partes, además, no pueden tomar decisiones separadas del contexto de otros operadores en otras partes del mundo porque tienen que intentar que sus materiales ferroviarios y su forma de entender, eh, la operación del tren, pues casa en varios países, sino que tus requerimientos sean sean específicos, no? Por lo tanto, está ahí el tema de la normativa que hablábamos antes, para que esas para que esas exigencias sean mucho más extensas. Pero hace falta que en la parte legislativa y en la parte más elevada de la pirámide de la del sector, se hablen sobre estos temas y se intente resolver cómo es un modelo de operación de la ciberseguridad. Si las alertas llegan en primer lugar a los mantenedores, como todos los. Toda la vida se ha realizado con el resto de los elementos para que ellos vean si es un problema de operación o no, si llega en paralelo a la operación de ciberseguridad del operador y a la operación de los trenes. Si llegan además al CESID. Si estas cuestiones, pues hay que afinarlas porque nos encontramos con unos. Escenarios totalmente novedosos y aunque nosotros le dedicamos esfuerzo y pensemos sobre ello y además hagamos cosas, no solamente pensemos. Lo que es importante es que lo que es el contexto, lo que sería el conjunto de operadores y fabricantes, pues hablaran de una forma mucho más activa de cómo lo tienen que resolver.

Omar Benjumea: Muy bien y para ir, para ir acabando, para ir cerrando. ¿Francisco, si alguno de los oyentes del podcast quisiera contactarte, en qué redes sociales eres activo? ¿Cuál sería la mejor manera para contactarte?

Francisco Lazaro Anguis: Pues por LinkedIn es la la mejor forma de contactar conmigo.

Omar Benjumea: Muy bien Francisco Lázaro, Pues muchísimas gracias por haber compartido este rato con con nosotros y para la audiencia de Secure Tracks. Muchas gracias por escucharnos. Este es el fin del episodio de hoy. Hasta la próxima y mantengamos vías y trenes seguros. Hasta entonces.

Francisco Lazaro Anguis: Omar, ha sido un placer. Hasta luego.

Share this post


Defendiendo el futuro: La ciberseguridad en ciclos de vida ferroviarios | Francisco Lázaro Anguis | S2E3

icon location
customer icon

The Customer

challenges icon

The Challenges

solution icon

The Solution

Let’s Talk About Securing Your Rail

Our experts will get you back on track

Schedule a Call
Blue right arrowWhite right arrow