Con anterioridad ha laborado en sectores como el asegurador o el financiero. Ahora, ¿qué supone para usted trabajar en materia de ciberseguridad industrial en una empresa dedicada a la manufactura?
El core de la empresa determina los activos críticos que soportan su negocio y operación. Con base a ello se identifican los riesgos a estos activos críticos y definimos la estrategia de protección para los mismos. Esta estrategia es un traje a la medida de la organización. En esta estrategia se definen los mecanismos de control y revisión que mitiguen el riesgo o lo reduzcan a un nivel aceptable para la organización. La estrategia debe ser costo-beneficio viable. En mis actividades actuales, el core y los riesgos son distintos, y el traje a la medida es de acuerdo con ellos.
¿Qué importancia le concede a la ciberseguridad industrial de cara a evitar que un incidente cibernético pueda afectar al normal desarrollo de la actividad de la organización o poner en entredicho su reputación?
La ciberseguridad industrial, encargada de la seguridad de la tecnología operativa (OT, por sus siglas en inglés), requiere ser atendida con la misma prioridad que la ciberseguridad informática, encargada de la seguridad de la tecnología de la información (IT, por sus siglas en inglés). La interconectividad, el acceso a la información en tiempo real, Internet, etc., han traído nuevos riesgos que si no son identificados, controlados y monitoreados pueden tener serios impactos para las personas y la información de una organización.
Un enfoque es aprovechar, en la medida de lo posible, los esfuerzos existentes en ciberseguridad informática para facilitar la protección hacia los entornos OT, entendiendo que las prioridades son distintas. En un entorno OT se prioriza la disponibilidad para mantener la operación, mientras que en un entorno IT se da preferencia a la confidencialidad, integridad y disponibilidad, cada una en mayor o menor grado dependiendo la organización.
En el supuesto de materializarse un riesgo e impactar en una organización, en el caso de la tecnología operativa puede haber daños a las personas y al medio ambiente y, por ende, dañar la reputación de la organización. En el caso de la tecnología de la información puede haber daños financieros y reputacionales. En ambas situaciones debemos actuar preventivamente para reducir la superficie de riesgo y evitar impactos.
A su juicio, ¿cómo se debe estructurar un área dedicada a la seguridad cibernética? ¿Con qué recursos ha de contar?
El área de Seguridad de la Información, que puede aglutinar la ciberseguridad, el cumplimiento informático, la continuidad de negocio, la privacidad, las operaciones de seguridad, etc., debería ser un departamento independiente que reporte al comité directivo de la organización. Pero esto depende mucho de la empresa y su grado de madurez en seguridad de la información.
Es indudable que el área tiene que disponer de especialistas en seguridad de la información o ciberseguridad, puesto que conocen los riesgos informáticos y cómo mitigarlos. Y también ha de contar con herramientas especializadas que faciliten gestionar, controlar y actuar centralizadamente ante una amenaza.
“Un área de Seguridad de la Información debería ser un departamento independiente que reportase al comité directivo de la organización”
En los últimos años hemos visto cómo algunas empresas industriales han sido objeto de ataques de ransomware. Bajo su punto de vista, ¿cuáles son las principales amenazas a la ciberseguridad industrial? ¿El ransomware es la más importante o temida?
El ransomware es una amenaza que se encuentra entre los principales riesgos de la industria debido a la falta de inventarios, la obsolescencia tecnológica de la OT y la interconectividad con la IT. El daño puede ser catastrófico. Hemos visto casos de organizaciones impactadas que no se recuperaron y tuvieron que cerrar sus operaciones.
La fuga de información es otro de los riesgos y podría ser provocada por espionaje industrial y/o empleados descontentos, lo cual puede generar una desventaja competitiva de la organización en el mercado. Y el desconocimiento tecnológico de los usuarios también es origen, voluntaria o involuntariamente, de daños a los activos de OT e IT; por ejemplo, introducir malware al conectar un dispositivo USB con software malicioso en una IHM o estación de usuario.
A grandes rasgos, ¿cómo calificaría el nivel de ciberseguridad industrial en las organizaciones de América Latina?
El nivel de seguridad industrial en las organizaciones de América Latina es muy dispar debido al nivel de madurez y el apetito del riesgo de cada organización. En una escala del 1 al 10, considero que estamos en un 3. Se ha mejorado con los años, pero, aún así, nos enfrentamos a la falta de especialistas en seguridad de la información o ciberseguridad. Y en el caso de especialistas en ciberseguridad OT, el gap es mayor.
La ciberseguridad industrial continúa siendo una asignatura pendiente en muchas organizaciones. Ello es así porque el nivel de madurez y conciencia es muy bajo o nulo al tener un falso sentido de la seguridad y creer que nunca nos va a pasar nada o pensar que para atacar un sistema OT se requiere conocimiento muy especializado y no se considera todo el entorno tecnológico que se encuentra interconectado. Un ejemplo es una IHM con Windows 95 o Windows XP, que puede ser una puerta de entrada al tratarse de sistemas operativos obsoletos sin soporte del proveedor desde hace años.
Últimamente se habla mucho de inteligencia artificial (IA). En este sentido, ¿qué opinión le merecen las herramientas de IA aplicadas a la ciberseguridad industrial? ¿Qué ventajas e inconvenientes plantea su implementación en las organizaciones?
La IA nos facilitará la detección y respuesta ante incidentes de ciberseguridad. En contraparte, los atacantes también contarán o cuentan ya con herramientas que les facilitan ejecutar ataques sofisticados. Es una tecnología que debemos evaluar con ojo crítico, puesto que su implementación en un entorno industrial podría generar cortes o fallos en la operación, por lo que debemos evaluar los casos de uso, realizar un análisis costo-beneficio y afinar la configuración de la herramienta.