Ciberseguridad Industrial, la eterna olvidada

La ciberseguridad industrial sigue siendo la eterna olvidada. Todavía quedan muchas preguntas por resolver: ¿cuánta seguridad necesito en mis sistemas?, ¿cuáles son los ataques más comunes en la industria?, ¿qué herramientas necesito utilizar?, ¿cómo puedo cuantificar el riesgo por ciberseguridad? Diversos estudios certifican que la inversión en ciberseguridad industrial viene siendo reducida desde hace unos años y parece que continuará la tendencia en los próximos. ¿Cómo es posible que en una sociedad cada vez más digitalizada se olvide la necesidad de proteger aquellas infraestructuras críticas para personas, para los propios activos o para el medio ambiente? ¿Cómo es posible que no se incluyan partidas o proyectos específicos que promuevan la implantación de proyectos orientados a la protección de nuestras infraestructuras?

“La ciberseguridad industrial se convierte en un deber más que una obligación, en una inversión más que en un gasto”

La percepción social sobre la ciberseguridad se caracteriza principalmente por el desconocimiento, la incertidumbre, el miedo, la duda… desconectada de la realidad de cómo resolverla. Cada vez que ocurre algún ataque cibernético a alguna entidad reconocida, la sociedad se pregunta el por qué no hay algún mecanismo ‘mágico’ que resuelva este asunto como si se tratara de una caja negra. Y la realidad, es que no hay hechizos mágicos, no hay atajos para la implantación de medidas globales que limiten o mitiguen totalmente el riesgo asociado a los ataques cibernéticos. La ciberseguridad industrial se convierte en un deber más que una obligación, en una inversión más que en un gasto. Los modelos de dirección deben cubrir bajo un paraguas único los departamentos IT/OT tradicionalmente separados por culturas, hábitos y personas. Y no es sólo una cuestión de dinero o inversión; es una cuestión de compromiso desde la dirección de la compañía.

Por otro lado, la implantación de estándares de ciberseguridad como la reconocida ISA99/IEC62443 todavía está lejos de ser una realidad habitual. Esta y otras recomendaciones similares incluyen colecciones de políticas, conceptos de seguridad, salvaguardas, pautas, enfoques de gestión de riesgos, acciones, capacitación, tecnologías y garantía de mejores prácticas. Todas estas herramientas deberían guiar las prioridades y las inversiones para lograr los niveles deseados de seguridad cibernética. En todo caso, la implantación de cualquier norma al respecto no asegura niveles adecuados de protección. Las personas forman parte del ecosistema productivo y son la principal causa de fallas o errores de seguridad. La concienciación de las personas es prioritaria más allá de la implantación de equipos, barreras o zonas ‘militarizadas’.

Desde ISA España nos comprometemos para la difusión del conocimiento de todas aquellas tecnologías que consideramos estratégicas para nuestra industria. La ciberseguridad no puede ser menos y para ello acabamos de formar un grupo de trabajo creado específícamente con la misión de divulgar, compartir y hacer de la ciberseguridad industrial  un deber para nuestra industria. Desde aquí os animamos a participar activamente. Conecta con ISA, conecta con nosotros.

David Marco Freire,

Líder para Iberia en Ciberseguridad Industrial e Industry X en Accenture y

Líder Grupo Ciberseguridad en ISA Sección española

Págs. 16 a 17