Blog

Gestión de riesgos en una Empresa Conectada

La Empresa Conectada (Connected Enterprise) aporta un gran valor a la industria. La fabricación inteligente ofrece a la industria la información y el conocimiento contextualizados necesarios para aumentar el rendimiento y la eficiencia, reducir los costes, tomar decisiones inteligentes cuando hay que tomarlas, mejorar la seguridad y satisfacer las expectativas de los clientes.

Las mejores empresas de todos los sectores —debido a la necesidad de contar con la información necesaria para crear valor y de hacerlo sin demoras— se están viendo impulsadas a invertir en dispositivos más inteligentes, que detectan su propia necesidad de mantenimiento antes de fallar, y en sistemas de control integrado, que analizan el estado actual de las operaciones y optimizan la productividad, la seguridad y la conectividad en toda la cadena de suministro para coordinar las actividades.

No obstante, la transformación digital no es una dicotomía. Más que un destino, es un viaje. Más que una revolución, una evolución. Algunas empresas –más o menos el 20 %– buscan de forma consciente su transformación digital, mientras que el resto evoluciona de forma menos deliberada, con menos planificación, ya sea esta una decisión consciente o no.

Sin embargo, la inevitable modernización del equipamiento incorpora a las empresas nuevos dispositivos y nueva conectividad, con nuevos riesgos asociados. A medida que las máquinas se modernizan, los dispositivos antiguos se ven sustituidos por dispositivos con conectividad. Y a medida que lo hace la maquinaria, es posible que los fabricantes de la misma incluyan conectividad a las máquinas de su planta para analizar su rendimiento de forma remota y para hacer ajustes y reparaciones de forma más barata.

En ambos casos, las empresas deben gestionar los riesgos de seguridad y protección de sus nuevos equipos. En el caso concreto de que la empresa esté embarcada en una transformación digital, debe considerar parte integral del proceso la gestión de los riesgos inherentes a este nuevo paradigma.

Y en esta nueva era la protección física está indisolublemente unida a los riesgos de seguridad. Los sistemas de control industrial (ICS, por sus siglas en inglés) se están convirtiendo en objetivo de los hackers, quienes buscan provocar interrupciones o dañar productos, activos físicos o robar propiedad intelectual. En los últimos años, los ataques a los ICS han aumentado de forma drástica.

Y, como reconocimiento a esa nueva dinámica, los estándares de seguridad y los de protección física están comenzando a utilizar lenguajes similares y a hacer referencia a los riesgos que cada una de estas tecnologías plantea a la otra. Una brecha de seguridad que afecte a activos físicos puede, fácilmente, provocar daños en equipos, en el personal y/o en el medioambiente.

Una buena planificación de seguridad debe comenzar con la implementación de la denominada higiene de ciberseguridad, la política de seguridad básica. Esta política incluye cuestiones que no son fáciles de gestionar, pero que son igualmente importantes. Por ejemplo, es necesario realizar el inventario de los activos de la empresa, tanto de hardware como de software, controlar las actualizaciones e instalaciones de software, gestionar las contraseñas y limitar los privilegios y formar al personal para que identifiquen los intentos de phishing.

Debe incluir también el uso de equipos diseñados con la seguridad en mente, la identificación de vulnerabilidades, la gestión de parches y el mantenimiento de copias de seguridad. Asimismo, también debe tener en cuenta el diseño y la segmentación de la red y la actualización de las infraestructuras antiguas.

Se trata de tareas que llevan realizándose mucho tiempo en el ámbito de la IT, pero que apenas se han incorporado al mundo de la OT. Y, aunque la mayoría de las empresas cuentan con una lista de sus activos de IT, pocas disponen de una lista completa de controladores y de sus versiones de software o cuentan con un programa que actualice esas versiones en los mantenimientos planificados. Normalmente, los equipos de ingeniería necesitan colaborar con los de IT para que las buenas prácticas en higiene de ciberseguridad se apliquen en toda la empresa. También en los ICS.

Siempre que se modernice o se adquiera equipo nuevo, deben evaluarse sus riesgos de seguridad y de protección y deben mitigarse de forma apropiada. Si el fabricante de maquinaria necesita acceder a la máquina, ¿cómo podemos limitar ese acceso? ¿Cómo podemos asegurar que las máquinas no se manipulan y que el personal no se verá expuesto a situaciones peligrosas? ¿Cómo podemos proteger nuestra propiedad intelectual?

Una buena higiene de ciberseguridad, con las evaluaciones, el diseño y la implementación adecuados le ayudarán a sacar partido a una Empresa Conectada sin poner en peligro la productividad, la rentabilidad o la reputación de su empresa.

Póngase en contacto con los expertos en seguridad y ciberseguridad de Rockwell Automation para el desarrollo de sus planes y estrategias de gestión de riesgos empresariales.

Publicado 6 de mayo de 2019

Megan Samford

Director, Product Security, Rockwell Automation

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Suscríbase

Recomendado para usted