La ciberseguridad industrial, una necesidad cada vez más acuciante en el ámbito industrial… y formativo

Antes de lo que denominamos cuarta revolución industrial, la conexión entre el mundo de las tecnologías de información (IT) y el mundo de las tecnologías de operación (OT) era algo prácticamente inexistente. Los equipos de control industrial (PLC, DCS, etc.) no disponían, por lo general, de capacidades de comunicación con los sistemas IT de la empresa. La llegada de la “Industria 4.0” trajo consigo, entre otras muchas cosas, que los equipos de control industrial comenzasen a integrar tecnologías de comunicaciones compatibles con las existentes en el mundo IT, lo que ha posibilitado que estos mundos, antes disjuntos, puedan conectarse entre sí hoy en día. Este hecho aporta innumerables ventajas, pero también conlleva nuevos riesgos que es preciso abordar, entre ellos el de la ciberseguridad industrial.

El entorno de la ciberseguridad industrial es muy cambiante, es preciso actualizar a diario los conocimientos y brechas descubiertas. Además, deben aplicarse las mejores técnicas de protección y prevención, es decir, aquellas que han probado ser las más eficaces contra los riesgos conocidos y las que se creen mejores frente a los riesgos no conocidos. Para poder lograr con éxito esta protección, el profesional debe entender muy bien las necesidades de negocio que está protegiendo en la parte de proceso, para centrarse en los sistemas clave de la organización que esté abordando.

Estamos en un cambio de inflexión en el desarrollo industrial, acentuado por el nuevo escenario geopolítico en el que nos encontramos inmersos actualmente. Las organizaciones se han dado cuenta que no pueden seguir mirando hacia otro lado y se están lanzando poco a poco a abordar la ciberseguridad de sus procesos productivos, fijándose en las industrias más punteras y sus casos de éxito, que son ya numerosos y permiten utilizar estrategias y herramientas que han probado ser efectivas salvaguardando la disponibilidad de la fábrica. Dentro de este contexto, la demanda de profesionales con conocimiento de las tecnologías y soluciones para ciberseguridad industrial se está duplicando año tras año para poder abordar todos estos proyectos.

Aun así, siguen existiendo empresas que creen que todavía no es su momento para invertir en esta área, arriesgándose a ser los más vulnerables de su entorno, ya que no perciben el riesgo, quizá por falta de concienciación. Sin embargo, dar algunos pasos en la buena dirección no es caro y la diferencia entre hacerlo o no puede ser muy grande o, incluso, catastrófica.

Afortunadamente, el sector industrial cuenta ya con compendios de buenas prácticas, directivas y normativas específicas al respecto, como la ISA/IEC 62443 (que fue creada originalmente por ISA) y que permite a la empresa abordar de una forma estructurada y estandarizada la gestión de los ciber-riesgos en lo que denominan IACS (Industrial Automation and Control Systems). De esta forma se incluye también los procedimientos del proceso industrial. Esta forma holística de verlo ayuda a proteger tanto el “safety” como la continuidad de negocio de la corporación. Pero aún es necesario un esfuerzo en la difusión y la adopción de este enfoque de ciberseguridad industrial, y en la correspondiente formación de profesionales.

Las Universidades deben participar de forma activa en la formación continua de los profesionales de nuestra sociedad, pues es una de sus misiones (y uno de los objetivos de desarrollo sostenible, ODS). Las Universidades pueden, mediante una oferta de títulos propios, organizar de forma ágil y flexible formaciones adaptadas a las necesidades de la sociedad, en las que participen tanto expertos universitarios en la materia como reconocidos profesionales con amplia experiencia. Y a todo ello se suma el rigor y los procedimientos de garantía de calidad que se aplican en las instituciones universitarias públicas.

Precisamente en este ámbito, y orientados por las conclusiones del informe Galicia2030, encargado por la Secretaría General de Universidades de la Xunta de Galicia) y que estudia el catálogo de perfiles profesionales de futuro, la Universidad de Vigo ha lanzado recientemente un título propio de Especialista en Ciberseguridad Industrial. Este título pretende precisamente cubrir este gap formativo, tanto para el profesional que proviene del mundo OT y que quiere conocer la problemática que hasta ahora le era ajena como para el profesional que proviene del mundo IT y que quiere conocer las particularidades que tiene la aplicación de las técnicas de ciberseguridad aplicadas en el mundo IT en el ámbito de la planta industrial.

José Ignacio Armesto Quiroga,

Miembro del Comité Español de Automática

Profesor Titular de Ingeniería de Sistemas y Automática 

de la Universidad de Vigo

Organizador de las Jornadas JAI   

Este artículo aparece publicado en el nº 539 de Automática e Instrumentación págs. 14 a 15.