Segurilatam 010

58 Primer cuatrimestre 2019 artículo técnico Ciberseguridad M éxico es uno de los paí- ses con mayor uso de Inter- net en Latinoamérica, con más del 80% de la población con ac- ceso a la Red y 37 millones de consumi- dores de comercio electrónico en 2018. Este crecimiento de la conexión a Inter- net se traslada también a la industria mexicana. Así, según el estudio Global State of Information Security Survey 2018 , de PwC, en el 78% de las empresas en- cuestadas se detectó, al menos, un inci- dente de ciberseguridad. Las organizaciones en México son cada vez más digitales y las aplicaciones de software en el ámbito industrial se están convirtiendo en la columna verte- bral de las operaciones de producción. Los decisores en estas compañías em- piezan a ser conscientes del gran riesgo que están asumiendo frente a los ata- ques de ciberseguridad, cada vez más frecuentes y sofisticados. México cuenta con diversos organis- mos públicos nacionales, como la Co- misión Nacional de Seguridad (CNS) o la Policía Federal –a través de su CERT- MX–, que velan por generar un marco legal adecuado que garantice la progre- siva incorporación de la ciberseguridad industrial en las estructuras de las em- presas con presencia nacional, de forma especial en aquellas que operan infraes- tructuras críticas del país. Inmadurez La responsabilidad en materia de ciber- seguridad está muy repartida en las or- ganizaciones industriales, según el es- tudio que el Centro de Ciberseguridad Industrial (CCI) está elaborando y en el que ya han participado más de 40 orga- nizaciones. Y la falta de claridad en la respon- sabilidad en materia de ciberseguri- dad es debido a la inmadurez actual en las organizaciones industriales de Mé- xico. Pero también a la falta de conoci- miento y experiencia en la gestión de los riesgos en las tecnologías que ope- ran los procesos industriales (OT), nece- saria para poder coordinar la cibersegu- ridad IT y OT. Esta inmadurez en la responsabilidad y capacitación eleva el riesgo de las or- ganizaciones mexicanas, que actual- mente no está preparadas para gestio- nar los incidentes de ciberseguridad que están sufriendo. Riesgo estratégico Al respecto, el 50% de las empresas analizadas afirma no tener un proceso desarrollado y en aplicación de gestión de incidencias de ciberseguridad indus- trial. En el 20% se actúa de forma reac- tiva y otro porcentaje similar de las or- ganizaciones afirma estar definiendo este proceso, el cual es necesario como se evidenció en los eventos con im- pacto global ocurridos en 2017. Nos re- ferimos, indudablemente, a muestras de malware como WannaCry, Petya o CrashOverride que afectaron a sectores como el automovilístico, el marítimo, el de la distribución energética o el petro- químico. Pero no solo hemos de fijarnos en el hecho en sí, sino en la evolución que están experimentando. Tal es el caso de los sistemas de seguridad funcio- nal safety de plantas industriales que han comenzado a verse afectados a través del malware Triton/Trisis/Hat- man o del uso de los dispositivos IoT para ataques de denegación de servi- cio masivo. Por ello, es preciso elevar el nivel de concienciación frente a la necesidad y las implicaciones de la ciberseguri- dad industrial a todos los niveles de las organizaciones. De los datos reca- bados se puede concluir que hay mu- chas reticencias a la hora de reconocer y notificar los impactos derivados de ci- berincidentes ocurridos en las plantas industriales. Pero esto último es impres- cindible para que el directorio de la em- presa y las áreas de negocio sean cons- cientes de la magnitud del problema e incorporen, lo antes posible, el riesgo tecnológico como un riesgo estratégico de su organización. José Valiente Director del Centro de Ciberseguridad Industrial (CCI) La industria mexicana, cada vez más digital, está en riesgo Reconocer y comunicar los impactos cibernéticos es imprescindible para que el tecnológico sea considerado un riesgo estratégico