El 2022 ha sido un año alarmante para la ciberseguridad de Tecnología Operativa (OT) debido a los ataques de público conocimiento, incluidos los casos de ransomware en Colonial Pipeline, Oldsmar Water Facility y JBS Foods, por nombrar solo algunos ejemplos.
Aún queda mucho camino por recorrer en el peligroso entorno actual, ya que el espectro de amenazas es cada vez mayor y los cambios se aceleran. Contar con un fuerte sentido de la urgencia se ha vuelto esencial, y la necesidad de profesionales de seguridad de OT no puede soslayarse”, comenta Walter Risi, líder global de Ciberseguridad en IIoT de KPMG.
Su opinión se dio a conocer en ocasión de la reciente presentación del informe “Ciberseguridad en los sistemas de control 2022”, realizado por Control System Cyber Security Association International (CS)2AI y KPMG.
El objetivo del proyecto fue recopilar, analizar y presentar datos proporcionados por profesionales que trabajaron en la ciberseguridad de los sistemas de control durante el primer trimestre de 2021. El equipo de (CS)2AI invitó a participar a nuestros más de 24.000 miembros globales con el fin de producir un nuevo informe como parte de la serie anual de KPMG de producción de contenidos para la toma de decisiones de quienes se encuentren involucrados en esta tarea: usuarios finales o proveedores, líderes y personal operativo.
Más de 580 personas respondieron la encuesta principal y otros participaron mediante numerosas herramientas secundarias de recolección de datos. A los participantes se les planteó preguntas sobre sus experiencias en la primera línea de operación, protección y defensa de los sistemas y activos de Tecnología Operativa (OT), que requieren grandes desembolsos de capital, con un impacto igual o mayor en los ingresos actuales, y que afectan la vida y las operaciones diarias de empresas de todo el mundo.
Los datos obtenidos, presentados de forma anónima, brindan una perspectiva sobre las realidades a las que se enfrentan las personas y organizaciones a cargo de las operaciones y activos de CS/OT.
Un progreso real exigirá un equilibrio estratégico entre la gestión de costos, la disponibilidad de sistemas y las medidas innovadoras para responder a las crecientes amenazas. Creemos que no hay tiempo que perder», asegura Risi.
Principales conclusiones
La mayoría de los encuestados informó un aumento del presupuesto de un 10%, un monto menor respecto del 30% aproximadamente informado en la encuesta anterior. Por su parte, 10% de las empresas respondieron que existe una disminución del presupuesto, frente al 1% aproximadamente del año pasado.
Por otro lado, el estudio identifica una ausencia de inversión en capacitación con una tendencia a tercerizar las tareas, lo que ofrece una solución limitada ya que las empresas de servicios también enfrentan dificultades debido a la escasez de personal y de habilidades, en el contexto de una pandemia mundial que interrumpió la oferta de mano de obra.
A su vez, siguen existiendo algunos obstáculos para lograr verdaderos avances en el área de conocimientos y experiencia. Alrededor de la mitad de los encuestados (49,1 %) se refirió a la «falta de experiencia en materia de ciberseguridad en los sistemas de control» como la mayor dificultado para reducir la superficie de ciberataques a sus sistemas de control, mientras que más de un tercio también hizo referencia a la «falta de personal».
En cuanto al estado actual de la planificación, es alentador observar que más del 85% de las organizaciones indicó que desarrollaron planes de administración/respuesta. Y aunque los porcentajes de implementación y prueba siguen siendo bajos, de igual modo, implica una mejora significativa respecto del año 2020, donde 18-27% no contaba siquiera con dicha planificación.
Finalmente, y no por ello menos relevante, se consultó a los encuestados sobre sus principales prioridades de las prácticas de ciberseguridad. Las tres más citadas fueron:
- Protección de la seguridad pública;
- Cuidado de la seguridad de los trabajadores; y
- Mantenimiento de operaciones continuas, es decir, libres de incidentes o amenazas.