Ante la gran concurrencia de amenazas a las que están expuestas las organizaciones hoy en día, resulta primordial contar con un servicio integral de seguridad que incluya los elementos necesarios para cubrir todos los riesgos en todas sus formas y contenidos. Las empresas y las administraciones públicas deben decidir cuáles son las medidas de seguridad a implementar, y actualmente la ciberseguridad ha pasado a ser la principal solución a la hora de invertir. Con una evolución continua de las diferentes tecnologías de seguridad, la ciberseguridad es un concepto que nace de la seguridad informática tradicional con el objetivo de acometer la defensa del negocio conectado y garantizar la continuidad empresarial.
Si nos centramos en la seguridad aplicada a la industria, es importante tener en cuenta que los modelos tradicionales eran geográficamente locales y con unos enfoques muy definidos a los negocios, máquinas y personas. Hoy en día, debido a la evolución de la sociedad y los cambios tecnológicos realizados en las últimas décadas, nos encontramos con modelos de negocios en los que la tecnología industrial (Operations Technology, OT) y la tecnología de la información (Information Technology, IT) son el eje central del cual dependen, en una etapa y en otra, todos los procesos productivos, además de ser palanca de cambio en la mejora de los servicios y los productos.
Tanto las instalaciones como las personas y los datos empresariales, o cualquier activo de la organización, deben ser securizados de manera acorde a su naturaleza. Los bienes y las personas necesitarán estar protegidas con servicios de personal de seguridad, los procesos industriales y logísticos con tecnología de seguridad y los activos informáticos a través de la ciberseguridad. Sin embargo, actualmente ya no resulta efectivo buscar soluciones por separado para cada uno de los riesgos de la actividad empresarial, sino que es necesario apostar por soluciones que converjan, lo que da lugar a la denominada “seguridad integral”.
Ya no resulta efectivo buscar soluciones por separado para cada uno de los riesgos, sino que es necesario apostar por herramientas que converjan
La seguridad integral está compuesta por la seguridad pasiva, física, tecnológica y la ciberseguridad. Con la seguridad pasiva, retrasaríamos el intento de intrusión o mitigaríamos la propagación de un incendio mediante elementos constructivos. Con la seguridad física, aseguraríamos los perímetros y el interior de las instalaciones, aplicando procedimientos a partir de los cuales los vigilantes actúan inmediatamente ante amenazas a bienes y personas. A partir de la seguridad tecnológica, detectaríamos indicios de materialización de riesgos como el robo, el incendio o el fallo de una instalación crítica. Con la ciberseguridad, protegemos los programas informáticos, los sistemas, los procesos y los datos, además de defendernos de los ataques producidos por el malware, la ingeniería social y las acciones dirigidas a nuestra organización.
Este escenario de amenazas, cada vez más complejo, demanda la convergencia de estas soluciones de seguridad para mitigar los diferentes riesgos en cada situación que puede encontrarse una empresa. Esta convergencia debe concretarse en un sistema de seguridad integral con visión 360 grados, que dé soluciones a las necesidades de seguridad tanto de las instalaciones locales y remotas, de las tecnologías y los puestos de trabajo, así como de los entornos virtuales y cloud.
La industria
Volviendo al caso del sector industrial, cabe destacar que la fabricación tiene diferentes procesos de producción controlados por PLC y sistemas SCADA, que normalmente no están diseñados desde el punto de vista de la seguridad. Ni siquiera los procesos productivos están pensados para ejecutarse de manera segura.
Damos por sentado que en el acceso a las instalaciones debe existir una seguridad física, combinada con seguridad tecnológica, y todo ello con la escolta de la ciberseguridad. Pero no nos preocupamos si las máquinas que participan en el proceso industrial se utilizan indebidamente, se han cambiado sus parámetros accidentalmente o han sido saboteadas o cambiadas al uso.
¿Se imagina una característica clave de un producto de fabricación cambiada durante ocho horas en una cadena de producción realizada a 20.000 kilómetros de distancia? ¿Y realizada a un metro de distancia? ¿Podría verificar en cinco minutos qué es lo que está pasando? Podemos pensar que sí. Con un sistema de procesos seguro, complementado con analítica de vídeo y una política adecuada de ciberseguridad se solucionaría el problema de raíz, asegurando productos de mayor calidad, entregándolos en perfecto estado y a su debido tiempo. En este escenario, también deberíamos contar con otra variable, que son los sabotajes intencionados realizados por personal propio o visitante desde dentro de la empresa. La monitorización de la infraestructura OT desde un SOC (centro de operaciones de seguridad) se hace necesaria para minimizar los riesgos de cualquier malware, sabotaje, configuración errónea o mal funcionamiento.
La ciberseguridad
En ciberseguridad hablamos siempre de riesgos, tanto tangibles como intangibles. Los riesgos van desde un escape de agua que puede inundar nuestro CPD, hasta el acceso a nuestras instalaciones por parte de personas no autorizadas. No solo se trata de instalar dispositivos de seguridad para que nos defiendan ante una intrusión, pues esta necesidad está presente en todos los procesos de una organización. Para asegurar nuestro parque informático, debemos aplicar una política de seguridad para que el usuario no tenga permisos de administración y no pueda instalar ningún programa informático ni cambiar ninguna característica física después de que el departamento de informática le entregue un dispositivo. Los elementos de seguridad como antivirus, firewall y tecnología UTM se hallan entre las primeras medidas de mitigación de riesgos. En cuanto a los servidores, debe existir una política de acceso restringido.
Para asegurar nuestro parque informático, debemos aplicar una política de seguridad para que el usuario no tenga permisos de administración
Si bien, no solo con políticas de seguridad informática se puede garantizar la seguridad. Hay que complementarlas con medidas de seguridad física y electrónicas con el objetivo de controlar el acceso a la organización, para que ordenadores y servidores no puedan ser sustraídos.
En cuanto a la formación de los trabajadores, hay que considerar todas las casuísticas, tanto la del personal que está en una oficina como la del que está en la cadena de producción con el ordenador cambiando parámetros. Todos deberían tener formación en ciberseguridad que les aporte conocimiento y, sobre todo, concienciación.
Implementar medidas
¿Cómo implementamos todas estas medidas? Lo recomendable es establecer un plan estratégico. En lugar de tomar medidas cortoplacistas, hace falta seguir una estrategia de seguridad global para la empresa. En ella deben incluirse diferentes procedimientos operativos y técnicos, como un plan director de seguridad, control del flujo de la información, aplicación de normativa como el Reglamento General de Protección de Datos, cifrado de las conexiones o eliminar el uso del papel para cumplir el criterio de confidencialidad. Además, esta estrategia estará asentada en principios y buenas prácticas de normas y metodologías de seguridad informática que garanticen que la actividad empresarial no se vea afectada por un riesgo que no haya sido previamente analizado.
Con esto, queremos transmitir que la seguridad de las empresas ya no puede ser manejada desde una sola perspectiva. Es la “seguridad integral”, la combinación de todas ellas inteligentemente, la que realizarán un trabajo excepcional. ¿Y qué nos depara el futuro? Por suerte, ya está trabajando para nosotros la inteligencia artificial, que forma parte de las soluciones de ciberseguridad. Esta tecnología permite nuevas prestaciones para protegernos, por lo que enriquecerá aún más si cabe el modelo a seguir de la seguridad integral. No en vano, será clave para el día a día de aquellas empresas que opten por implementar una seguridad convergente en la que la ciberseguridad sea el eje principal.