En la era de la industria 4.0, las empresas que siguen compitiendo en el actual entorno de cambio permanente se distinguen por su alto nivel de digitalización y conectividad, por su sostenibilidad y resiliencia, así como por su protección y por la capacidad para hacer frente a las nuevas amenazas.
La evolución tecnológica de las empresas que operan en el sector industrial transcurre, en materia de ciberseguridad, por dos caminos que deben converger. Si tradicionalmente los entornos informacionales o de gestión (TI) estaban desvinculados de los operacionales u OT, la situación ha cambiado radicalmente en los últimos años con el impulso de dos vectores.
En el entorno TI, la ciberseguridad camina pareja a una tendencia dominante desde hace algo más de una década: el cloud. En un primer momento, las compañías empezaron a alojar en la nube (pública o privada) aplicaciones no críticas y, una vez probadas las ventajas del modelo, también han trasladado las que se encargan de aspectos core del negocio.
El movimiento no cesa y, a la vista de los niveles de adopción, los beneficios que aporta la nube son indudables, aunque es imprescindible garantizar su seguridad a todos los niveles.
En el sector industrial, el 71 % de los líderes digitales está obteniendo resultados de sus estrategias de ciberseguridad
En este sentido, los riesgos y las amenazas en el mundo cloud son los mismos que en el mundo on-premise, tanto en lo referido a infraestructura como en cuanto a aplicación. Una aplicación cloud también puede tener deficiencias en su construcción y configuración y, por tanto, ser igual de vulnerable.
Contratar espacio, infraestructura o servicios en la nube significa asegurar la disponibilidad. En este contexto, la seguridad —de las infraestructuras, las plataformas, las aplicaciones y, por supuesto, los datos— es responsabilidad compartida entre el proveedor y el usuario. Por tanto, en la nube también debe existir un modelo de gobierno, una arquitectura y una gestión de la seguridad.
Evitar una “mala postura” en la nube
Los entornos en la nube deberían estar bien configurados, ya que de lo contrario podrían resultar más inseguros que el CPD propio, debido a su mayor exposición y a la dispersión de servicios e infraestructuras.
Si los servicios en la nube no están bien gestionados (lo que se conoce como una “mala postura” en cloud), se generan agujeros de seguridad. Por ello, la migración de servicios a la nube debe acompañarse de políticas e infraestructuras de seguridad, y los servicios cloud deben monitorizarse de la misma forma que en un entorno on-premise.
Es cierto que muchas organizaciones cuentan con profesionales y conocimientos para llevar a buen puerto despliegues tradicionales, y pueden encargarse incluso de su gestión y monitorización. Sin embargo, en el viaje a la nube es conveniente contar con la experiencia y conocimiento de un partner experto que también proporcione los servicios de seguridad de un Centro de Gobierno de Seguridad Cloud.
Esta situación es común a muchos sectores, que incluyen banca y seguros, turismo, energía y, por supuesto, industria. Los grandes proveedores de servicios en la nube, como MS Azure, AWS y Oracle cuentan con sus portfolios de soluciones propias de seguridad en la nube. En un contexto tan distribuido es importante poseer el adecuado expertise en todo el abanico de soluciones (ver Cuadro).
La ciberseguridad gana relevancia
Tradicionalmente, la ciberseguridad en el entorno industrial era un asunto por el que las empresas se han venido preocupando menos. Ello era así fundamentalmente por dos motivos: primero, en los entornos OT lo más importante no son los datos de las aplicaciones y los sistemas, como sucede en los entornos TI, sino la disponibilidad (en este entorno la prioridad es evitar cualquier posibilidad de caída de los sistemas); segundo, en este ámbito se empleaban protocolos propios y no tan conocidos como TCP/IP, lo que, de alguna manera, los hacía menos vulnerables.
Últimamente se han producido ataques a infraestructuras críticas y se ha incrementado el malware dirigido a entornos industriales
Sin embargo, durante las últimas dos décadas se vienen produciendo ataques a infraestructuras críticas y se ha incrementado el malware dirigido a entornos industriales: en solo un año el ransomware específico para el entorno industrial se ha multiplicado por diez. Además, las redes industriales, que históricamente habían estado desconectadas, también migran a la nube y el avance de IoT es imparable.
Esto supone un cambio radical, porque la gestión remota de la maquinaria, los PLC, los robots y todo tipo de dispositivos ya no solo es posible, sino imprescindible.
La situación ha cambiado y en este nuevo escenario la seguridad tiene cada vez mayor trascendencia. Así lo refleja nuestro informe Voice of Our Clients 2022 para el sector industrial, para el que hemos mantenido entrevistas con un total de 156 ejecutivos del sector repartidos por varios países.
Tras la sostenibilidad y la digitalización, que ocupan las dos primeras posiciones de la lista de tendencias de las compañías industriales, la ciberseguridad ha ganado relevancia para los ejecutivos de estas empresas. Concretamente ocupa la segunda posición entre las prioridades de TI y el tercer lugar si nos referimos a las principales tendencias del sector. A ello hay que sumar que el 71 % de los líderes digitales está obteniendo resultados de sus estrategias de ciberseguridad.
Tras la sostenibilidad y la digitalización, la ciberseguridad ha ganado relevancia para los ejecutivos de estas empresas
Aplicado al entorno OT, cabe destacar que en muchos casos estas organizaciones todavía no disponen de herramientas tan básicas como, por ejemplo, una solución para el descubrimiento de activos (para saber qué hay conectado y sus posibles vulnerabilidades); y tampoco cuentan con herramientas de acceso remoto para el parcheo, una vez detectado un problema.
Es urgente cambiar esta situación, aunque hay que celebrar que cada vez son más las plantas industriales que buscan cumplir con la serie internacional de estándares IEC 62443. Desde CGI seguimos acompañando a las empresas industriales en este camino con servicios de evaluación del riesgo, de protección y de operación, para prevenir y responder con éxito a cualquier ataque.