La transformación digital favorece la apertura de los entornos OT conectando sus activos al mundo IT, internet o la nube, para, sobre todo, mejorar su productividad y eficiencia. Esta combinación trae consigo numerosos beneficios, pero también deja visibles vulnerabilidades y dispara los niveles de riesgo de ciberseguridad. Para hacerles frente y garantizar la continuidad de la actividad, proteger la información crítica de negocio y reforzar la seguridad en todos los elementos y etapas de su cadena de valor, es necesario aplicar medidas específicas adecuadas a estos entornos. Y más aún en sectores críticos para la sociedad, en donde es esencial que la producción no se detenga en ningún momento por el impacto que supondría a todos los niveles: económico, de reputación, cese de la actividad o, incluso, pérdida de vidas humanas.
SIA, mediante su barómetro, ha evaluado el nivel de madurez de ciberseguridad OT con el que cuenta un conjunto de empresas representativas de Energía, e Industria y Consumo de España y Portugal. El informe, que se ha realizado a través de entrevistas personales a perfiles directivos y expertos de las mismas, el análisis de especialistas de SIA y la colaboración de Minsait (Indra), revela el estado actual de la ciberseguridad y los planes a dos años vista en este ámbito y sectores.
Con esta radiografía, SIA afirma que la ciberseguridad “sigue siendo un ámbito estratégico que debe adquirir mayor fuerza en estas empresas para alcanzar un nivel de protección óptimo”, como apunta Roberto Espina, CEO de SIA, que también añade que “el reto es evolucionar hacia el paradigma de Organización Protegida en el ámbito operacional; algo que requiere un enfoque especializado e integral para dar cobertura a las exigencias de un entorno de producción ciberresiliente: entender y aplicar la ciberseguridad en el diseño, despliegue y operación de cualquier proyecto”.
Ciberseguridad OT: la ambición de la Industria 4.0
Aunque la ciberseguridad OT es un ámbito que aún tiene margen de mejora en las empresas que han participado en el estudio, Industria y Consumo presenta un margen superior en relación a Energía. No obstante, la apuesta a futuro de las industriales en ciberseguridad OT es más firme, ya que, aunque la mayoría no la tiene como prioridad hoy en su estrategia, casi la mitad (46%) de las entrevistadas prevé su impulso y desarrollo entre 2023 y 2025.
En otro orden, solo un cuarto de las compañías aplica las buenas prácticas de ciberseguridad definidas por una normativa reconocida internacionalmente y específica del sector, y la mayoría no cumple con el análisis de riesgos específicos del ecosistema OT (93%). Además, únicamente el 24% cuenta con programas específicos de concienciación sobre ciberseguridad en el entorno operacional. En cuanto a protección de activos digitales, solo el 23% dispone de herramientas avanzadas para realizarla en el ámbito OT, aunque, en la gestión de identidad, los resultados son algo más favorables, con la gestión de cuentas privilegiadas como asignatura pendiente. Además, el control del acceso digital con MFA (Multi Factor Authentication) está presente en el 61% de las organizaciones.
En general, el mayor reto del sector es definir una hoja de ruta que le permita avanzar a grandes pasos para aumentar su competencia en ciberseguridad OT. Un salto necesario también es la introducción de técnicas y tecnologías avanzadas en la detección de amenazas, como la IA, UEBA, Red Team o Blue Team. Del mismo modo, incrementar la frecuencia con la que se realizan tests de intrusión para asegurar una respuesta más eficaz y eficiente.
Un sector energético más ciberresiliente
La ciberseguridad OT es relevante en la estrategia del 84% de las energéticas, cuya alta dirección está comprometida con este aspecto. Además, el 68% de las compañías asegura contar con el talento especializado necesario para implementarla y ejecutarla, pero poco menos de la mitad ha incorporado un CISO dedicado en exclusiva para OT.
El Barómetro destaca que la totalidad de las energéticas sigue las buenas prácticas definidas por una normativa de seguridad internacional y específica del sector, y buena parte de ellas (76%) ha definido, además, una estrategia propia de ciberseguridad OT con respecto al cumplimiento del marco de control de referencia y análisis de los riesgos específicos. Por otro lado, el 53% usa soluciones avanzadas de protección de activos digitales y el 69% cuenta con herramientas automáticas para realizar el inventario. E, igual que sucede con Industria y Consumo, la mayoría de las energéticas (84%) apuestan por controlar sus accesos digitales en el entorno operacional con MFA.
Por otro lado, uno de los retos en Energía es poner mayor foco en el control del acceso a plantas o instalaciones (el 85% no aplica medidas avanzadas para ello) que, igual que los digitales, también impactan en la protección de la compañía. También, como en el sector industrial, es necesaria mayor frecuencia en los tests de intrusión en los sistemas OT y redes industriales, y la integración de mecanismos y tecnologías avanzadas en la detección de amenazas.
SIA, y tras la presentación de los resultados de su Barómetro 2023 de Ciberseguridad OT, tiene un único propósito: acompañar a las organizaciones a identificar esos riesgos y proteger su información y activos críticos, y guiarlas, desde su expertise, hacia el crecimiento sostenible y seguro.