El humo negro de la próxima revolución industrial se llama riesgo cibernético

Resumen generado por IA

Cristina Dolan, experta en ciberseguridad, advierte que la cuarta revolución industrial o Industria 4.0, basada en tecnologías como IoT, inteligencia artificial y cloud manufacturing, trae consigo un riesgo cibernético mucho más inmediato y complejo que los problemas medioambientales de la revolución anterior. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) identifica en su estudio los principales desafíos en personas, procesos y tecnología, destacando la necesidad de mejorar la formación del personal y redefinir roles y responsabilidades para enfrentar amenazas específicas, en lugar de confiar solo en soluciones tecnológicas.

En cuanto a los procesos, la complejidad de las cadenas de producción, con múltiples fabricantes, dificulta asignar responsabilidades en caso de incidentes, por lo que se requieren contratos claros, armonización de estándares y estrategias nacionales para certificar la seguridad. Tecnológicamente, la actualización de sistemas industriales es lenta frente a amenazas que evolucionan rápidamente, y se deben diseñar dispositivos IoT con principios de seguridad y privacidad desde el inicio. ENISA recomienda adoptar estrategias integrales de ciberseguridad, certificaciones universales, colaboración público-privada e inversión en alfabetización digital desde la escuela.

En definitiva, la ciberseguridad debe dejar de verse como un gasto para ser considerada una ventaja competitiva esencial, integrándose como una característica natural en la nueva era tecnológica para proteger tanto a empresas como a la sociedad.

El aumento de la digitalización de la industria y la sociedad en su conjunto también provoca un crecimiento de las amenazas de ciberseguridad, un problema que debe resolverse.

Cristina Dolan, Global Head of AlliancesGlobal y experta en ciberseguridad, cree que “el subproducto negativo de la próxima revolución industrial es el riesgo cibernético, que es un riesgo más inmediato para las comunidades que los riesgos medioambientales que provocó la tercera revolución industrial”. Cuestiones como los requerimientos de seguridad de software que hoy conocemos pueden parecer un juego de niños al lado de lo que nos espera.

De hecho, la llamada cuarta revolución industrial, también conocida como Industria 4.0, se caracteriza por el uso de tecnologías habilitadoras como IoT, inteligencia artificial, Industrial Analytics o Cloud Manufacturing, cuya introducción en los entornos operativos tradicionales requiere una serie de reflexiones sobre seguridad.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA), en la publicación de su estudio ‘Industry 4.0 – Cybersecurity Challenges and Recommendations‘, ha intentado identificar los principales desafíos y posibles soluciones. El estudio se centra en tres áreas — personas, procesos y tecnología—, que deben tener en cuenta las estrategias y los requerimientos de seguridad de software, entre otras cuestiones.

Personas

La introducción de tecnologías innovadoras ha provocado un desajuste entre las nuevas skills requeridas, y las habilidades y experiencias reales disponibles. Las personas se han encontrado en una nueva realidad sin contar con la formación adecuada para garantizar aquellos requisitos de seguridad que son indispensables en un ecosistema cada vez más complejo.

Además, los operadores de la Industria 4.0 suelen tener estructuras de gobernanza que no son apropiadas para la implementación de nuevas tecnologías habilitadoras y para la gestión segura de las tecnologías ya existentes. Los roles y responsabilidades en tema de ciberseguridad no están bien definidos, lo que conduce a una mala coordinación frente a amenazas cada vez más específicas. Un fallo fundamental que puede afectar también al cumplimiento de los propios requerimientos de seguridad de software y aumentar su vulnerabilidad.

Esta condición se vuelve aún más grave por la actitud generalizada de las empresas de confiar únicamente en soluciones tecnológicas, en lugar de centrarse también —

y sobre todo— en la formación del personal. Es un cambio de mentalidad que no deben actuar solo las empresas, sino también los gobiernos al introducir una “gramática de la ciberseguridad” en las escuelas, así como sistemas de advertencia que ayuden a identificar inmediatamente el peligro, como los escudos.

Procesos

En la Industria 4.0, muchos productos se construyen a partir de componentes de distintos fabricantes y, por tanto, atribuir responsabilidades en caso de incidente se convierte en un auténtico reto. Está claro que un evento en cualquier punto de la cadena puede tener un impacto negativo en la seguridad del producto final. La complejidad de la cadena de producción y distribución exacerba este aspecto.

En este sentido hay que contar con:

  • Contratos en los que las responsabilidades y los niveles de servicio estén claramente delimitados.
  • Una definición clara de las obligaciones y responsabilidades legales de cada operador, de conformidad con la legislación pertinente.

Además, es necesario armonizar los estándares, también a nivel intergubernamental, compartiendo enfoques y soluciones en el campo de la ciberseguridad. En general, es necesario contar con una dirección y una estrategia que desarrollen un esquema de adhesión a los estándares globales de seguridad elegidos. Los Estados deben crear modelos y certificaciones de seguridad, lo más compartidos posible, que garanticen la confiabilidad de los procesos, productos y servicios.

Tecnología

Debido a la complejidad y la necesidad de escalabilidad del ecosistema de la Industria 4.0, la criticidad ligada a las limitaciones técnicas de los dispositivos y sistemas industriales se refleja en la dificultad en actualizar a tiempo los aspectos relacionados con la ciberseguridad, cuyas amenazas evolucionan a mayor velocidad. Además, las herramientas y soluciones eficaces son generalmente escasas y caras, entre otras cuestiones por los elevados requerimientos de seguridad de software que deben superar.

En este contexto, hay que definir una arquitectura de producción, especialmente en dispositivos IoT, tanto a nivel de softwarecomo de hardware, que aplique los principios de ciberseguridad y privacidad por diseño y por defecto. También debe intentar superar los límites tecnológicos de todos los componentes, dispositivos, servicios, protocolos y procesos involucrados.

Finalmente, según ENISA, la madurez y mentalidad de las organizaciones, tanto públicas como privadas, necesita crecer a través de acciones como:

  • Adopción de una estrategia integral de ciberseguridad, que haga uso de expertos del sector, apoyada en inversiones económicas adecuadas;
  • Adquisición de certificaciones universales de seguridad confiables y verificables;
  • Promoción de la colaboración público-privada para establecer un enfoque sinérgico orientado a la reducción de riesgos y el intercambio de experiencias y conocimientos.
  • Invertir en la alfabetización digital de la población desde los primeros años de escolaridad y proporcionársela también a las generaciones mayores.

La ciberseguridad no debe considerarse como un mero gasto, sino como una oportunidad de negocio, ya que introduce una importante ventaja competitiva. Al mismo tiempo, cuando se valoran los beneficios de las tecnologías, también se deben considerar sus riesgos. La seguridad informática debe convertirse en una característica natural que todos tendremos que cuidar en el nuevo mundo.

Cristina Dolan
Cristina Dolan

Fundadora de InsideChains

Como fundadora de InsideChains, Cristina trabaja con organizaciones para transformar digitalmente los modelos comerciales a través de ecosistemas de tecnología avanzada, datos y blockchain con capas económicas que ofrecen a los miembros una mayor visibilidad, datos más ricos, ciberseguridad, nuevos modelos comerciales y nuevos productos dinámicos.