Son muchos los avances que hemos observado desde el Centro de Ciberseguridad Industrial (CCI) en estos últimos 10 años, dos de ellos de suma importancia: por un lado, cada vez más organizaciones industriales tienen un responsable de seguridad OT, que es el paso más importante para empezar; y por otro, a esto hay que añadir el creciente ecosistema de proveedores que ofrecen servicios y soluciones de alto valor para gestionar los riesgos en la automatización y digitalización industrial.
Pero también hay grandes dificultades en el camino. En este sentido, son cuatro las preocupaciones principales que nos trasladan los miembros de CCI:
- La escasez de roles y profesionales con conocimiento adecuado en seguridad en entornos OT. De hecho, la media para conseguir un profesional con el perfil necesario es superior a seis meses.
- La heterogeneidad de tecnologías en las distintas instalaciones industriales de la propia compañía dificulta mucho la aplicación de estándares. A esto se suma la digitalización industrial, que requiere nuevos proveedores y más comunicaciones y que, por lo tanto, aumenta los canales de exposición.
- La cadena de suministro, con proveedores de materia primas que tienen un nivel de madurez bajo en ciberseguridad y proveedores de servicios alrededor de las tecnologías industriales, como integradores, ingenierías y empresas de mantenimiento, que también carecen de un nivel de madurez en ciberseguridad adecuado.
- La fuerte normativa y regulación que está en camino será un gran reto para los proveedores de tecnología, ingenierías, integradores y las propias organizaciones industriales, empezando por aumentar los costes de los productos de tecnología industrial. Con la normativa, la ciberseguridad cobra tanta trascendencia que se debe implantar, de forma obligatoria, por diseño.
Prioridades en la ciberseguridad industrial
El año pasado lanzamos en el CCI una encuesta a gran parte de nuestro ecosistema que muestra claramente cuáles son las prioridades de nuestros miembros. Y los resultados han sido los siguientes: en cuanto a madurez, el 34 por ciento no tiene un responsable de seguridad OT definido y está interesado en evaluar los riesgos y en aplicar medidas básicas; mientras que el 46 sí cuenta con esta figura y ya ha realizado un diagnóstico, siendo su prioridad implementar un sistema de gestión o ampliar el alcance del existente. Tan solo el 20 por ciento tiene un sistema de gestión y está avanzando en un SOC industrial.
En relación con el conocimiento y la capacitación, las necesidades están principalmente en la seguridad de redes y sistemas (24 por ciento), diseño seguro (20 por ciento) y gestión (16 por ciento).
Y en cuanto a los sectores con mayor preocupación, estarían los operadores de infraestructuras críticas, destacando el sector eléctrico, químico, agua y transporte. Aunque a ellos también les podemos sumar el de alimentación, pharma e ingeniería hospitalaria.
En conclusión, el análisis realizado revela una realidad compleja y en constante evolución en el ámbito de la ciberseguridad industrial. No solo se evidencian las prioridades actuales en esta materia, sino que también marcan la ruta hacia dónde deben dirigirse los esfuerzos futuros.
La colaboración, la formación continua y la adaptación a las nuevas regulaciones y tecnologías son claves para fortalecer la resiliencia en este campo vital. Y el CCI, como eje central en este esfuerzo, tiene el desafío de guiar y apoyar a sus miembros en este camino.