¿Conoces las razones por las que la ciberseguridad OT no se aborda en una pyme o sigues pensando que es solo cuestión de presupuesto? Varias pequeñas y medianas empresas entrevistadas han desvelado algunos motivos en un estudio reciente del Centro de Ciberseguridad Industrial (CCI).
Sin duda, el presupuesto es siempre una barrera para la toma de decisiones y la implantación de cualquier nueva iniciativa en las pymes. Esto no es menos en lo que se refiere a ciberseguridad, pero más allá de este claro impedimento, hay otras razones de peso que dificulta a las pymes industriales alcanzar un buen nivel madurez en ciberseguridad OT. En este artículo vamos a ayudarte a entender algunas de ellas.
Razones
- La ciberseguridad OT no se enfoca correctamente en las pymes: no se percibe el beneficio que puede proporcionar solo su gasto y no existe una figura responsable que defienda su alta criticidad para el negocio.
Efectivamente, muy relacionado con la cuestión del presupuesto está la forma en la que la ciberseguridad se plantea dentro de las organizaciones. En muchos casos es errónea, considerándose solo un gasto, con el consiguiente recorte de presupuesto. Está demostrado que aplicar ciberseguridad en un entorno OT ayuda a mejorar la eficiencia global de los equipos.
Aplicar ciberseguridad en un entorno OT ayuda a mejorar la eficiencia global de los equipos
Su beneficio va más allá de solo evitar paradas indeseadas debido a un ciberincidente, algo muy obvio, sino que el conocimiento, la documentación, la cooperación y la mejora de los procedimientos que la implementación de ciberseguridad requiere permite que los parámetros fundamentales de la producción, la disponibilidad, el rendimiento y su calidad aumenten. Esto mejora, por tanto, el indicador clave de rendimiento de la eficiencia en la producción industrial.
Este es un dato muy relevante que debe ser defendido ante las «altas instancias» de la organización, sea cual sea su tamaño. El problema añadido en las pymes es que no existe esa figura que lo defienda. Es cierto que, de nuevo, el presupuesto es una barrera, pero más allá de lo limitado de los recursos en las pymes, es necesario que algún profesional asuma −voluntaria o forzosamente− ese rol.
Sin un responsable de ciberseguridad OT, la organización nunca comenzará a dar pasos en el rumbo correcto; y más allá de ello, las empresas cliente, con cierta madurez en ciberseguridad, trasmitirán su descontento al no contar con un interlocutor claro para estas cuestiones.
No olvidemos que las pymes son proveedores de otras organizaciones, y como tal, sus buenas o malas prácticas en ciberseguridad terminan siendo ‘vigiladas’ por sus empresas cliente. Una compañía de estas últimas características, preocupada y ocupada por mantener una salud adecuada de su tecnología en lo que a ciberseguridad OT se refiere, instará a sus proveedores −independientemente de su tamaño− a lograr un nivel óptimo de ciberseguridad, ya que de ello dependerá su propia resiliencia. Al final de la carrera por vender, una pyme no competitiva terminará siendo desbancada por aquella mejor tecnificada, más eficiente y capaz de ofrecer continuidad en su producción y servicio −incluso ante incidentes cíber−.
- La pequeña cuenta de la ciberseguridad OT de una pyme no es atractiva para un proveedor de ciberseguridad.
Estamos ante un problema global que solo podrá ser solucionado de la misma forma: con una solución global.
Aplicar ciberseguridad en entornos industriales no tiene fórmulas mágicas que permitan replicar una implementación tras otra, amortizando costes… Muy al contrario, pese al amplio abanico de eficientes herramientas que ofrece el mercado actual, es imposible prometer una instalación estándar sin un ‘acompañamiento’ previo, continuo y a futuro. Este gran esfuerzo por analizar, comprender las necesidades y adecuarse a ellas para dar el mejor servicio por parte de las empresas especializadas en ciberseguridad OT, hace que una pequeña cuenta como la pyme no sea atractiva ni capaz de generar beneficio claro ante la ingente inversión de recursos.
Existe, por tanto, un nicho en esa especialización por parte de los proveedores que deberá ser asumido por el mercado a través de distintas aproximaciones. El tándem ideal es aquel que permite al proveedor ver un beneficio claro al ofrecer un servicio de calidad y a la pyme gozar de la tranquilidad de encontrar un producto acorde a sus necesidades. Alianza que, en este momento, raramente encuentra un final feliz para ambas partes.
La respuesta debe estar en la solución global de la especialización, bien sea por sectores, tecnología o tamaño; pero el mercado debe ofrecer respuestas a las actuales demandas no atendidas.
- Al igual que con otros riesgos de la organización, deberían establecerse unos mínimos en ciberseguridad OT para todas las organizaciones industriales.
Las empresas viven en un voraz entorno VUCA. Pequeños cambios en la organización pueden suponer diferencias en su nivel de competitividad, en positivo o en negativo, y no es menos en lo que respecta a ciberseguridad y las pymes industriales.
Un cambio en su planificación respecto a ciberseguridad debe ser estratégicamente analizado. La pyme debe ser capaz de trasladar las bondades de esta inversión a sus clientes, ya que supondrá un cambio competitivo en su haber.
En lo que se refiere a eficiencia, resiliencia y aseguramiento del servicio, será sin duda una mejora que deberá explotar de cara a posicionar sus ventas. Sin embargo, en el lado opuesto de la balanza, su producto, aunque en términos marginales ínfimos, se verá encarecido.
Es por ello que muchas voces en representación de las pymes responsables que ya están cumpliendo sus obligaciones respecto a la ciberseguridad reclaman establecer una regulación de mínimos que afecte a todas las pequeñas y medianas empresas industriales (independientemente de su obligatoriedad respecto a otras normativas autonómicas, nacionales o comunitarias). De esta manera, todas ellas tendrían que contar con procedimientos básicos de ciberseguridad en sus entornos de operación, de la misma forma que está establecido para la seguridad física, calidad, etc. No en vano, cualquiera que sea el origen del riesgo, un incidente que pueda provocar un daño a personas, instalaciones o medio ambiente debería ser motivo de preocupación para los Estados.
Como conclusión, podemos afirmar que, pese a la gran barrera que supone la falta de recursos materiales y humanos, las pymes se están encontrando con otras problemáticas en el mercado, de las cuales el resto de los actores involucrados debemos buscar soluciones y arrojar luz en la medida de nuestras posibilidades.
Con el ánimo de abrir una ventana a este dialogo, el CCI ha publicado recientemente el documento Ciberseguridad Industrial: La pyme como eslabón débil de la cadena de suministro, que puede descargar en nuestra web.