CCI ha analizado la ciberseguridad industrial en Argentina, Chile, Perú y Francia
En los dos últimos meses, el Centro de Ciberseguridad Industrial (CCI) ha presentado 4 estudios sobre la situación de la ciberseguridad industrial en Argentina, Chile, Perú y Francia. Los países latinoamericanos muestran un contexto bastante parecido, donde destacan la falta de concienciación de las empresas, así como de un adecuado marco normativo que ayude a crearla. En Francia, en cambio, el esfuerzo normativo está ya maduro y se aborda el siguiente paso: la certificación de los servicios.
Los diferentes capítulos de ISACA en Buenos Aires, Santiago de Chile y Lima han participado con el CCI en la difusión de las encuestas para los estudios, que muestran un panorama bastante parecido en toda Latinoamérica, aunque con algunas diferencias. La poca concienciación de ciberseguridad industrial en las empresas, más allá de sus departamentos de Tecnologías de la Información (TI), así como la falta de un marco normativo o la necesidad de mejorar el existente, condicionan la realidad existente.
Las encuestas realizadas han detectado una falta de capacitación en ciberseguridad generalizada entre los empleados, a excepción de los departamentos de TI. También se adolece de la realización de pocas auditorías de evaluación de riesgos y se utilizan tecnologías de ciberseguridad no específicas para sistemas industriales, sino genéricas del entorno corporativo. Existe también una reticencia general a reconocer y modificar los impactos derivados de ciberincidentes ocurridos en las plantas industriales. En el lado positivo destaca que en todos los países hay un número importante de organizaciones que tienen previsto abordar el próximo año iniciativas de ciberseguridad industrial.
De forma más concreta, el ‘Estudio sobre el estado de la Ciberseguridad Industrial en Argentina’1 destaca el “poco interés de las organizaciones industriales al no existir regulación formal”, así como el “mayor nivel de sensibilización de las empresas de Tecnologías de la Información, lo cual contrasta con la falta de conciencia real sobre las amenazas del sector industrial en general”.
Es también destacable, según el estudio, que “los esfuerzos de capacitación en ciberseguridad, en el conjunto de las empresas argentinas estudiadas, siguen dedicándose principalmente a los departamentos de TI, en perjuicio del resto de áreas, especialmente el área de TO, al que no se logra involucrar”. El Gobierno Nacional está trabajando actualmente en el desarrollo de una Política de Ciberseguridad Nacional que “probablemente dentro de los próximos años supondrá la obligatoriedad de implementar un Plan Estratégico de Ciberseguridad, especialmente en aquellas empresas que gestionan servicios esenciales”.
El estado de la ciberseguridad industrial en Chile2 es parecido, aunque la mayor participación de empresas del sector financiero y bancario y de tecnologías de la información en el estudio “permite concluir su mayor nivel de sensibilización, pero el resto de sectores ha experimentado también un aumento de conciencia de ciberseguridad”. En algunas organizaciones chilenas existe incluso la figura del responsable de ciberseguridad industrial, lo que es un claro síntoma de madurez.
El estudio avisa que “el esfuerzo de concienciación a nivel directivo está avanzado en Chile en la dirección correcta" aunque "es preocupante que casi un cuarto de las industrias del estudio no haya realizado ningún tipo de evaluación de riesgos, sobre todo por el tamaño y nivel crítico de las empresas que han respondido a este estudio”.
En Perú3 la situación es también parecida. Allí “la lenta pero paulatina incorporación de la Ciberseguridad Industrial en las organizaciones peruanas se ve favorecida cuando existen requisitos normativos o de clientes definidos”. El estudio recomienda: “El Estado Peruano y el sector privado deben sumar esfuerzos para desarrollar el peCERT o implementar un CSIRT que incorpore a las empresas industriales que gestionan y operan las infraestructuras críticas del país”.
El ‘Estudio sobre el estado de la Ciberseguridad Industrial en Francia’4, realizado por el CCI junto con el grupo europeo SCASSI Ciberseguridad, denota un nivel claramente diferente. En Francia, “los sectores CI muestran más madurez y nivel de conocimiento respecto a la ciberseguridad, la razón es un contexto legislativo altamente regulado y controlado”. Esto provoca que no sólo las empresas que están obligadas adopten las medidas requeridas, también el resto de sectores lo hace, de forma voluntaria y en beneficio de la organización.
La industria y el gobierno franceses centran ahora su esfuerzo en el paso posterior a la estandarización normativa: la certificación, que permite que los usuarios adquieran servicios o productos que cumplen con los estándares mínimos reconocidos. En cuanto a la ciberseguridad industrial, Francia ha realizado grandes avances, trabajando para generar esquemas adecuados para la certificación de los componentes IACS, que CCI apoya.
