Blog

La ciberseguridad aún no está madura en la industria

En el último estudio anual publicado por Accenture sobre el coste del cibercrimen hay un apartado en el que éste se desglosa por sectores. Prestando atención a las cifras que ofrece, encontramos que la suma del coste medio registrado en los más industriales (automoción, producción de energía, de bienes de consumo y de alta tecnología) asciende a 55,98 millones de dólares, frente a los 48,71 millones de dólares que costaron los ciberataques, como media, a las empresas de banca, software y seguros, a priori más susceptibles de recibirlos.

Los resultados referidos se podrían interpretar como una señal de poca madurez en la industria, en lo que se refiere a la implantación de estrategias de ciberseguridad, una etapa que las compañías deberán superar para enfrentar los dos tipos de ataques que sufrirán a medida que avance la transformación digital: aquellos destinados a destruir y/o robar información vital para el negocio y los dirigidos directamente a sabotear los procesos productivos automatizados.

Según estos datos de referencia en España, el coste medio del cibercrimen ascendió a los 8,16 millones de dólares en 2018. En lo que se refiere a la situación de la ciberseguridad industrial en nuestro país, los datos del servicio de alerta temprana del Incibe (Instituto Nacional de Ciberseguridad) recibidos mediante avisos de Sistemas de Control Industrial (SCI), señalan que a lo largo de 2018 se publicaron 227 avisos de vulnerabilidades, 28 más que en 2017.

Las tres vulnerabilidades más frecuentes se corresponden con categorías descritas en un nuevo tipo de catalogación aprobado este año, y se refieren a información sensible no eliminada antes de su liberación; uso de hash de contraseñas generados con esfuerzo computacional insuficiente y petición directa de recursos web. Todas esas vulnerabilidades amenazan a las tecnologías de la información y la comunicación (TIC), sin haberse registrado ninguna referida a la tecnología operativa (Operational Technology, OT), aplicada a los sistemas de producción y control.

Ayudas para desperezar al sector

Sea como fuere, según señala el Centro de Ciberseguridad Industrial (CCI) en su informe titulado “Ciberseguridad en Infraestructuras Críticas e Industria 4.0”, la implantación de estrategias integrales capaces de neutralizar los riesgos de ciberseguridad aún no se contempla como una prioridad por la industria en nuestro país. Para cambiar esta tendencia y desperezar al sector, ya hay entidades públicas que han dedicado esfuerzos a poner en sus manos algunos documentos-guía.

El primero a tener en cuenta sería el que informa sobre los “Requisitos del. Sistema de Gestión de la Ciberseguridad Industrial”, publicada por el CCI. Como su propio nombre indica, en él se incluyen el conjunto de requisitos a cumplir por el SGCI (Sistema de Gestión de la Ciberseguridad Industrial) junto con los requisitos de los estándares ISO 27001 (controles ISO 27002) e IEC 62443. Así como el modelo de madurez del CCI.

El documento se divide en seis partes, que deberían tenerse muy en cuenta: definición de una estrategia de ciberseguridad industrial; gestión de los riesgos para la ciberseguridad industrial; promoción de una cultura de la ciberseguridad industrial; establecimiento de medidas de protección en instalaciones industriales; garantía de resiliencia y continuidad de los sistemas de operación; gestión, revisión, mejora y sostenibilidad del SCGI.