Sea sincero: ¿Es realmente segura su empresa?

La seguridad es la preocupación número uno de los fabricantes que tratan de dar vida a la Industria 4.0. Las estadísticas demuestran que tienen razones para preocuparse.

Forbes calcula que el coste anual de la ciberdelincuencia en la economía global ascenderá a la sorprendente cifra de 2 billones de dólares al año en 2019, y que hasta una de cada cinco empresas ha sufrido alguna infracción de seguridad con el resultado de pérdida de propiedad intelectual en 2014 según Kaspersky.

Con frecuencia, a la comunidad de fabricantes le resulta difícil comentar sus experiencias, ya que las empresas tienen multitud de razones para no admitir las vulnerabilidades de seguridad.

Hablando con ejecutivos de fábricas en toda la zona de EMEA, a veces me sorprenden para bien y otras veces me preocupan ligeramente los niveles de conocimiento de seguridad que encuentro.

Algunas empresas han establecido una estrategia de seguridad y han incorporado una cultura de seguridad, y sus líderes están deseosos de comentarme que nuestra alianza con Cisco y el concepto de Empresa Conectada (The Connected Enterprise®) pueden contribuir a ofrecer algunos de los protocolos de red segura comercialmente disponibles en el ámbito industrial.

Otras empresas han avanzado menos y saben que la seguridad es un problema, pero su conocimiento y comprensión son superficiales, por ejemplo, pueden limitarse a decir que "no hay que usar tarjetas de memoria".

Es un buen consejo, por supuesto (todos recordamos el virus Stuxnet que llenó titulares hace seis años por atacar unos PLC específicos y que, según se cree, se propagó a través de lápices de memoria USB), pero es una gota en el océano del enfoque adecuado de la seguridad industrial de defensa en profundidad para contrarrestar los métodos muy evolucionados que los ciberdelincuentes utilizan hoy en día.

Se puede descartar sin más la idea de que cualquier fabricante puede evitar el riesgo de seguridad de forma realista si mantiene su empresa “fuera de línea”. La evolución hacia una fabricación más integrada y conectada es inevitable.

Los impulsores de esta tendencia son numerosos: los beneficios de productividad, eficiencia, mantenimiento, tiempo productivo y cadena de suministro no solo la hacen atractiva, sino que además hacen insostenible el enfoque de no adoptar los cambios de la nueva era. Algunas industrias, como la farmacéutica, están adoptando requisitos legales de visibilidad de los datos para proporcionar la información de serialización y localización necesaria sobre sus productos en el punto de venta.

Es difícil pensar en una buena analogía, pero tal vez se podría decir que tratar de mantener la producción “fuera de línea” sería parecido a intentar que una empresa funcione sin correo electrónico.

Aunque haya sido posible alguna vez, no lo es ahora. Además, la mayoría de los fabricantes ya han dado un paso adelante con los sistemas de IT y ERP en línea. Resulta vital que estas empresas tengan una estrategia activa para la seguridad industrial.

Para las empresas que adoptan los principios de la Industria 4.0, cualquier punto débil en IT o en OT expone potencialmente a toda la empresa, por lo que, incluso si se dispone de las últimas revisiones y de un firewall avanzado, si la última ampliación a la línea de producción se instaló con switches de red no gestionados (más baratos), por ejemplo, cualquier persona podría conectarse directamente y obtener acceso a toda la empresa.

Entonces, ¿qué le digo a la gente que haga? Bueno, independientemente de lo bien desarrollado que esté su enfoque de la seguridad industrial, es un recorrido, no un destino. Requiere vigilancia constante y una cultura de seguridad dentro de la empresa.

Y lo que es más importante, el punto de partida es evaluar el estado de la seguridad y adoptar ese enfoque de defensa en profundidad por capas que mencioné.

Cuanta más tecnología de operación (OT) esté conectada a tecnología de la información (IT), tantos más puntos potenciales de entrada en la información esencial de la empresa existirán.

El control de los niveles de acceso de empleados y trabajadores subcontratados, la gestión activa de las actualizaciones de las revisiones de seguridad y la utilización a pleno rendimiento de los mecanismos físicos y electrónicos deberían incorporarse a las políticas, procedimientos y pautas de la empresa. 

¿Es realmente segura su empresa? Si no está seguro, definitivamente es el momento de evaluar su enfoque y buscar los aliados tecnológicos adecuados.