El responsable de Ciberseguridad Industrial
¿Qué más tiene que suceder para que las organizaciones industriales, las ingenierías que diseñan la automatización de las plantas, los integradores que implementan los sistemas y los FABRICANTES DE TECNOLOGÍAS DE OPERACIÓN INCORPOREN LA FIGURA DEL responsable de gestionar los riesgos tecnológicos en sus compañías?
En 2017 se han registrado miles de incidentes que han afectado por igual a todos los sectores industriales, según el Instituto Nacional de Ciberseguridad (INCIBE) de España, solo en el primer semestre han gestionado 69.213 incidentes en nuestro país, de los cuales 431 corresponden a operadores de infraestructuras críticas , incrementándose su número en un 20% con respecto a los incidentes gestionados en 2016.
Al aumento de incidentes hay que añadir la elevada identificación de vulnerabilidades en la tecnología que gobierna y controla procesos industriales críticos, el Equipo de Respuesta ante Incidentes en Sistemas de Control Industrial de Estados Unidos (ICS-CERT, por sus siglas en Inglés) ha reportado en 2017 nueve alertas graves y 275 avisos por vulnerabilidades en el software de diferentes fabricantes, entre los que se encuentran ABB, Belden, OSISOFT, Mitsubishi, Moxa, Philips, Rockwell o Schneider Electric.
Seguro que para la automatización de sus plantas Ud. está usando alguna de estas tecnologías, y es muy probable, que, a día de hoy, el software de dichos sistemas no haya sido actualizado para corregir estas vulnerabilidades, estando expuesto a sufrir un incidente que podría parar la producción; pero lo que es más grave, podría provocar un accidente con consecuencias nefastas para las personas que operan en la instalación o sobre el medioambiente.
La tecnología de operación industrial, lejos de desaparecer, aumentará en los próximos años. Según GEINFOR, fabricante especializado en procesos de negocio para la industria, se prevé que en los próximos cinco años el 70 % de las organizaciones industriales abrazará, en mayor o menor medida, el paradigma Industria 4.0 y, por lo tanto, algunas de sus tecnologías. Si no existe un responsable de gestionar los riesgos tecnológicos que pueden afectar a la integridad y a la continuidad de la tecnología de la que depende el negocio, estoy convencido de que su organización sufrirá algún incidente tecnológico, y que, si no están preparados, las consecuencias pueden ser irreversibles.
Según el estudio “Putting Industrial Cyber Security at the top of the CEO agenda” encargado por el fabricante Honeywell a la consultora LNS Research, el 45% de las organizaciones encuestadas no tiene un responsable de liderar la ciberseguridad industrial. Además, este estudio, en el que participaron 130 directivos de compañías industriales, refleja que más de la mitad de los que trabajan en una instalación industrial han experimentado al menos una brecha de ciberseguridad.
¿Cuáles son las funciones y responsabilidades en ciberseguridad industrial que deberían existir dentro de la organización?
Las responsabilidades deben estar claramente definidas en cada uno de los niveles organizativos, y será necesaria la existencia de una figura de responsable o coordinador que gestione y reporte el riesgo a un comité de seguridad, formado por los principales representantes del