Un estudio sobre la seguridad IT en la industria

Un reciente estudio de Electroustic, especialista en comunicaciones y productos Ethernet, ha revelado una actuación por parte de las empresas a menudo muy precaria respecto a la seguridad de sus sistemas de información. Es así que más del 34% de los encuestados por los autores del informe señalaron que su compañía no había establecido una política clara en este ámbito, destacando una importante falta de información sobre los riesgos de seguridad más comunes y todo ello en un momento en el que Internet permite el acceso remoto a datos industriales. Es cierto que la preocupación de los usuarios está presente, identificando a un 31% de los encuestados que colocan la piratería como principal preocupación, seguido por un error humano (17%) y los intercambios con la nube (11%).

La mayoría de las violaciones de seguridad son causados por ataques externos, que a menudo vienen en forma de malware y que podrían evitarse mediante una infraestructura adecuada, junto con la formación adecuada del personal. En este sentido, Paul Carr, director general de Electroustic, afirma que "la amplia gama de productos disponibles para la seguridad IT de la industria puede ser de doble filo. Aunque hay muchas opciones para elegir, la inexperiencia puede llevar fácilmente a las empresas a gastar una fortuna en sistemas que no cumplen con sus necesidades específicas".

Según Carr, es crucial establecer una seguridad de red que ofrezca varios niveles de defensa situados en un cortafuegos industrial. Estos deben ser fáciles de implementar y administrar, al tiempo que muestran las cualidades de fiabilidad, flexibilidad y robustez. Un buen sistema de seguridad IT debe garantizar a una empresa que cumple o excede los criterios exigidos por NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) y las normas ISA / IEC-62443.

Además de este aspecto técnico, las respuestas recogidas en el estudio de Electroustic muestran una falta de sensibilización y formación del personal y sugieren que estas dos cuestiones deberían tenerse más en cuenta por parte de las empresas industriales. Con este fin, debería establecerse formalmente por cada empresa una carta de uso de las tecnologías de comunicación e información. Esto también implica un programa de información del personal, idealmente complementada con cursos prácticos que permitan a todos hacer frente a los riesgos cibernéticos.