Por un IIoT ciberseguro

Maquinaria conectada a internet, avanzadas plataformas de análisis que ofrecen información procesada de los datos obtenidos, diminutos sensores ambientales o complejos robots industriales. Todo ello conforma el Internet Industrial de las Cosas, más conocido como IIoT (por sus siglas en inglés: Industrial Internet of Things).

En sus comienzos, se hallaba prácticamente restringido a ciertas industrias como la de la automoción, las fábricas o los astilleros. Sin embargo, actualmente esta prometedora tecnología está extendiéndose en vertical y se podría afirmar que, en una década, no habrá sector que se resista al IIoT. El contrapunto es que, como expertos en ciberseguridad podemos afirmar que, cuanto más alto es el potencial, más alto es el riesgo.

Hablamos de máquinas que, gracias al IIoT, pueden autosupervisarse e, incluso, predecir problemas potenciales. También pueden controlar la climatización de un edificio o el control de accesos al mismo. En el ámbito sanitario, por ejemplo, equipos IIoT son capaces de vigilar de forma remota a cada paciente y mandar a los responsables de la atención médica una notificación automáticamente, en caso de registrar algún cambio en el estado de un paciente.

Dicho esto, muchos pueden ya proyectar cuál podría ser el escenario frente a un ataque cibernético con muy malas intenciones en alguno de estos sistemas conectados. Es decir, el poder para provocar daños a través de los sistemas interconectados mediante un acceso no controlado. Pongamos de ejemplo uno sencillo, aunque no por eso menos dramático, como la variación extrema de la temperatura en un edificio. El impacto que una circunstancia así podría tener, tanto en la industria como en la vida y seguridad de las personas, es muy elevado.

Por lo tanto, si tratamos el IIoT, tenemos que hablar indisolublemente de ciberseguridad. Más concretamente, de ciberseguridad al más alto nivel. Tomar medidas básicas de seguridad informática — ¡si es que se toman! — sin un riguroso estudio previo de los riesgos o amenazas potenciales o existentes, sin una valoración al detalle de las conexiones implicadas o los dispositivos conectados, con sus entradas y salidas, y brechas de seguridad, o sin un registro real de los empleados con acceso a los sistemas interconectados, sería una gran irresponsabilidad. Y lamentamos informar de que esta ausencia de medidas en torno a la ciberseguridad es más frecuente de lo que cualquier usuario o compañía podría esperar, o necesitar.

Ahora, nuestra misión no es ni amenazar ni denunciar las brechas de seguridad o la falta de buena praxis de las organizaciones, sino todo lo contrario: identificar, proteger, detectar, responder, recuperar y aprender (o concienciar). Nuestra experiencia nos demuestra que la falta de implicación en los temas de la ciberseguridad no viene tanto de la falta de responsabilidad sino del desconocimiento. Una falta de conocimiento que en ocasiones llega a niveles muy preocupantes, dado que, como adelantábamos, el riesgo inherente es muy alto.

Un riesgo que muchas empresas pueden determinar, bien por su tamaño o ámbito de actividad, —y añadimos, como origen de su desconocimiento— que no va con ellas.

Y es que se da la paradoja de que en nuestro mercado la implantación de sistemas interconectados, así como de software y hardware, no tiene por qué venir de la mano de expertos en ciberseguridad. Hay grandes firmas que trabajan independientemente de las medidas de seguridad en torno a sus productos o servicios. De ahí que desde OneseQ sugiramos recurrir siempre, sin apenas excepciones, a proveedores que garanticen no solo la calidad de sus productos o servicios, sino la ciberseguridad en torno a los mismos.

No obstante, no hay por qué alarmarse, si bien con el tiempo la ciberseguridad estará indisolublemente ligada a cualquier solución IIoT, a día de hoy, aunque no sea así, siempre podemos auditar a posteriori los sistemas implantados e integrados para localizar sus vulnerabilidades, riesgos y brechas de seguridad y tomar medidas rectificadoras, así como preventivas en relación a todo ello.

Contamos con que, en un futuro muy cercano, contar con un sello de ciberseguridad será algo obligatorio. Hasta entonces, animamos a las organizaciones a ir por delante. No tanto por delante de la normativa, que también, sino a ir por delante de los riesgos y de los ciberdelincuentes aludiendo al sabio refrán de “más vale prevenir, que curar” — “que lamentar”, dicen algunos.

En OneseQ, en cualquier caso, somos positivos. Observamos a groso modo cómo la conciencia, traducida en parte en inversión de personal y recursos, en torno a la necesidad de asumir su ciberseguridad está aumentando. De igual modo, vemos cómo numerosos sectores y compañías están elevando la cuestión al nivel de máxima prioridad, como se merece. De manera que se trata de una tendencia al alza que animará e impulsará inevitablemente al resto de actores a sumarse al carro y que permitirá que el rol del CISO (o responsable de seguridad) adquiera el protagonismo que se merece en la toma de las altas decisiones.

Nosotros estaremos siempre ahí, en la vanguardia: asesorando a los directivos, concienciando a los profesionales, informando a las organizaciones y, como no, innovando en soluciones y servicios de ciberseguridad.