Seguritecnia 498

/ Noviembre-Diciembre 2022 44 Servicios esenciales c) La necesidad de una colaboración completa en la cadena de sumi- nistro: La verdadera colaboración entre clientes y proveedores es una prác- tica de vanguardia que ha tenido y puede que, en algunos casos, aún siga teniendo una difícil implanta- ción. Cuando la cadena de suminis- tro está en silos organizacionales, los departamentos demandantes tienden a trabajar de forma desconectada, sin intercambiar información y compartir proyectos, ni averiguar sobre los pro- blemas de los productos y servicios demandados. Cuando surgen problemas en algún eslabón de la cadena de suministro, lo más manido es recurrir a un mayor escrutinio de los proveedores como táctica de mitigación de fallos, lo cual suele fomentar una atmósfera de des- confianza, además de requerir una mayor asignación de recursos y una posible pérdida del apetito del riesgo por baja rentabilidad contractual. El elemento humano La rápida evolución de las tecnologías, los modelos de negocio y las formas de trabajar impactan dramáticamente en la piedra angular de cualquier empre- sa: “su gente”. Cuando las empresas pretenden un avance rápido en la trans- formación digital, las debilidades se vuelven muy claras. Una gran mayoría de organizaciones no tiene actualmente el talento que necesita para tener éxito con su transformación digital (“deuda técnica”). En línea con lo anterior y en medio de una rápida transformación digital, intro- ducción de las últimas tecnologías y re- quisitos legales o regulatorios al efecto, las organizaciones descuidan a menudo el elemento humano para lograr una seguridad completa. Como resultado, la protección de toda infraestructura es incompleta. El riesgo de un error humano inespe- rado es un serio desafío de seguridad, particularmente en el campo de la ci- berseguridad, donde los actores de las amenazas utilizan técnicas de ingenie- ría social para atraer a sus víctimas a enlaces maliciosos para acceder a la red. Primero, explotan vulnerabilida- des relacionadas con el conocimiento y las habilidades de seguridad, luego manipulan a los trabajadores propios o subcontratados para que revelen inad- vertidamente el acceso a procesos y/o activos industriales críticos. La automatización de la seguridad y la capacitación en seguridad son las mejores formas de abordar este desa- fío. Reemplazar el trabajo manual con automatización y restringir el acceso humano solo a lugares con gran nece- sidad puede ayudar a reducir las bre- chas de seguridad. Diversidad de criterios En un escenario ideal, la interpretación para la identificación y el cálculo del riesgo y el impacto en la seguridad física y lógica de todo activo o proceso pro- ductivo (especialmente en las infraes- tructuras críticas y servicios esenciales) sería homogénea y aplicable a todos los ámbitos por igual. Pero, como ya sabe- mos, la realidad dista mucho de este escenario utópico. A modo ilustrativo, se extractan menciones al “riesgo e impac- to” en las principales normas relaciona- das con la protección de infraestructuras críticas y servicios esenciales: LPIC (Ley de Protección de Infraes- tructuras Críticas). La criticidad Toda infraestructura crítica y servicio esencial necesita una cadena de suministro robusta, eficaz y fiable