La normativa de seguridad en España se va adaptando a los cambios que se producen en la realidad y, en el caso de la ciberseguridad industrial no es ninguna excepción. Sin embargo, las organizaciones deben focalizar sus esfuerzos y, más allá de entender sus obligaciones en materia de protección de la información como una mera cuestión de cumplimiento, han de asumir su papel a la hora de garantizar la inviolabilidad de sus activos de datos.
En el caso de los entornos industriales, esta responsabilidad comienza por diferenciar la protección de datos corporativos de la ciberseguridad industrial. Por una parte, se encontraría toda la información de negocio, histórica y transaccional; mientras que, por el otro, estamos hablando de datos relacionados con PLCs, SCADA y el resto de sistemas que intervienen en un entorno de producción.
El primer paso es mejorar las capacidades de detección y ganar en visibilidad. Es preciso poder prevenir cambios y amenazas. Pero, para hacer frente a los ataques digitales también hay que implementar medidas de seguridad, monitorizar los accesos y controlar cualquier cambio que pudiera producirse indicando una amenaza potencial o latente.
Tecnologías de última generación aumentan la eficiencia en los procesos a la vez que el IoT industrial consigue dar un impulso a la eficiencia y rentabilidad de las operaciones (“El impacto económico del IoT alcanzará los 11,1 trillones de dólares para el año 2025, pudiendo llegar a los 3,7 trillones en entornos industriales”. McKinsey. Unlocking the potential of IoT).
La Transformación Digital de los entornos de producción tiene muchos lados buenos y, sin embargo, al tratarse de una realidad poliédrica, presenta algunos inconvenientes.
Estas desventajas pueden llegar a ser muy graves cuando tienen que ver con los ataques a la red. Y es difícil evitarlos. Entre otras cosas porque cada vez se amplían más las conexiones y, en un escenario en que tantos dispositivos, sistemas y personas interactúan, gracias al IoT, proteger las redes de control es más difícil que nunca. La ciberseguridad industrial se plantea como un gran desafío que preocupa a las organizaciones, donde ya nadie está seguro de si sus instalaciones estén protegidas y listas para actuar en caso de producirse una brecha de seguridad.
Para mantenerse a flote es conveniente aplicar algunas de las mejores prácticas en ciberseguridad industrial a nivel de gobierno:
- Incorporar la gestión de riesgos cibernéticos en los procesos existentes de gestión de riesgos y gobernanza.
- Elevar las discusiones sobre la gestión de la ciberseguridad industrial a la Alta Dirección, para garantizar su rentabilidad y alineación con las necesidades empresariales de la organización.
- Ir más allá del cumplimiento y tomar lo establecido en la normativa aplicable como una línea de base desde la que avanzar hacia una gestión más completa y eficaz del riesgo en el campo de la ciberseguridad industrial.
Y combinarlas con los principios de ciberseguridad industrial a nivel de gestión:
- Evaluar y gestionar los riesgos cibernéticos específicos de la organización para poder identificar y priorizar las medidas de protección necesarias, asignar recursos, informar decisiones de inversión a largo plazo y desarrollar políticas y estrategias que permitan alcanzar el nivel de protección y respuesta adecuados.
- Proporcionar supervisión y revisión a través de la evaluación regular de presupuestos de ciberseguridad industrial, externalización y planes de adquisición de TI, informes de incidentes, servicios en la nube, resultados de evaluación de riesgos y políticas de alto nivel.
- Desarrollar y probar planes de contingencia para tener la tranquilidad que, caso de que el atacante aprovechase una vulnerabilidad, la organización pueda responder a tiempo y minimizar su impacto.
La autoevaluación previa a la elaboración del plan de ciberseguridad industrial, para conocer los riesgos actuales que afectan a la organización y el impacto comercial asociado, es tan importante a la hora de diseñar una estrategia de protección como lo es la participación de los ejecutivos en su definición.
Determinar el punto de intersección entre los niveles de riesgo aceptable y el límite de la rentabilidad permite una gestión optimizada de la seguridad en un entorno industrial. Además, la comunicación regular y la elaboración de una estrategia de respuesta ante los posibles ataques terminan de completar el blindaje a que toda organización de sectores industriales debería aspirar.