La naturaleza de los conflictos y la violencia ha cambiado mucho en las últimas décadas y va en aumento. Las tensiones regionales sin resolver, los continuos test de estrés a los que están siendo sometidos el estado de derecho y las instituciones, los beneficios económicos ilícitos y la escasez de recursos se han convertido en un importante caldo de cultivo para el incremento de la inseguridad.
Por otra parte, asistimos a una nueva manera de ver y juzgar amenazas y salvaguardas. A título de ejemplo, baste señalar cómo la novedosa utilización de drones multiuso y las retransmisiones en directo de conflictos armados y vulnerabilidades de todo tipo provocan, en las organizaciones y en la sociedad en general, un permanente desasosiego y, en muchos casos, una valoración errónea del tratamiento del riesgo, fruto de interpretaciones dispares.
No obstante, ante los actuales escenarios emergentes relacionados con desabastecimientos e indisponibilidad de personal, nos centraremos en desafíos básicos de las infraestructuras críticas como son la seguridad de la cadena de suministro y el elemento humano.
Cadena de suministro en infraestructuras críticas
Una cadena de suministro comprende la gestión de hardware, software, productos y servicios de terceras partes que trabajan para cumplir un objetivo comercial de soporte a activos y procesos productivos. Al mismo tiempo, la necesidad de mayor resiliencia, transparencia y velocidad ha transformado las redes físicas y lógicas de la cadena de suministro de las infraestructuras críticas en partes más flexibles, digitales e interconectadas.
Las intrincadas redes de producción se diseñaron para la eficiencia, el costo y la proximidad a los mercados, pero no necesariamente para la transparencia o la resistencia. Está claro que ninguna cadena de suministro es inmune, y la necesidad de resiliencia y agilidad nunca ha sido mayor. A continuación, se citan algunos retos destacados a los que se enfrentan hoy las cadenas de suministro:
a) Falta de visibilidad:
- Una falta de confianza entre clientes y proveedores en la cadena de suministro, en lugar de una relación de colaboración basada en la seguridad y confiabilidad mutua, desemboca a menudo en una dinámica de «vigilancia operativa y control presupuestario».
- Cuando las partes contratantes no disponen de medios suficientes, son incapaces de realizar comprobaciones in situ y, por ende, verificar de manera fidedigna la información sobre la calidad, capacidad y sostenibilidad de los recursos y actividades de los proveedores. Como consecuencia de ello, cuando ocurre un imprevisto, los clientes quedan inmersos en un ciclo de apaga fuegos constante.
b) Falta de capacidad de planificación de la producción/servicio:
- A medida que los proveedores alcanzan un grado más alto de madurez en el cumplimento de los KPI/SLA con los clientes (es decir, sin fallos o interrupciones por roturas de stock/servicios, optimización de tiempos/actividades, etc.), la planificación por parte de estos últimos es más importante que nunca. Las unidades demandantes de las infraestructuras críticas y servicios esenciales deben conocer pormenorizadamente las capacidades técnicas, operativas y económicas de los proveedores involucrados en sus redes de suministro, mientras estas deben ser fehacientemente demostrables. Una prueba de dichas capacidades sería la existencia de planes de continuidad de negocio y continuidad tecnológica debidamente dotados y actualizados.
c) La necesidad de una colaboración completa en la cadena de suministro:
- La verdadera colaboración entre clientes y proveedores es una práctica de vanguardia que ha tenido y puede que, en algunos casos, aún siga teniendo una difícil implantación. Cuando la cadena de suministro está en silos organizacionales, los departamentos demandantes tienden a trabajar de forma desconectada, sin intercambiar información y compartir proyectos, ni averiguar sobre los problemas de los productos y servicios demandados.
- Cuando surgen problemas en algún eslabón de la cadena de suministro, lo más manido es recurrir a un mayor escrutinio de los proveedores como táctica de mitigación de fallos, lo cual suele fomentar una atmósfera de desconfianza, además de requerir una mayor asignación de recursos y una posible pérdida del apetito del riesgo por baja rentabilidad contractual.
Toda infraestructura crítica y servicio esencial necesita una cadena de suministro robusta, eficaz y fiable
El elemento humano
La rápida evolución de las tecnologías, los modelos de negocio y las formas de trabajar impactan dramáticamente en la piedra angular de cualquier empresa: “su gente”. Cuando las empresas pretenden un avance rápido en la transformación digital, las debilidades se vuelven muy claras. Una gran mayoría de organizaciones no tiene actualmente el talento que necesita para tener éxito con su transformación digital (“deuda técnica”).
En línea con lo anterior y en medio de una rápida transformación digital, introducción de las últimas tecnologías y requisitos legales o regulatorios al efecto, las organizaciones descuidan a menudo el elemento humano para lograr una seguridad completa. Como resultado, la protección de toda infraestructura es incompleta.
El riesgo de un error humano inesperado es un serio desafío de seguridad, particularmente en el campo de la ciberseguridad, donde los actores de las amenazas utilizan técnicas de ingeniería social para atraer a sus víctimas a enlaces maliciosos para acceder a la red. Primero, explotan vulnerabilidades relacionadas con el conocimiento y las habilidades de seguridad, luego manipulan a los trabajadores propios o subcontratados para que revelen inadvertidamente el acceso a procesos y/o activos industriales críticos.
La automatización de la seguridad y la capacitación en seguridad son las mejores formas de abordar este desafío. Reemplazar el trabajo manual con automatización y restringir el acceso humano solo a lugares con gran necesidad puede ayudar a reducir las brechas de seguridad.