Todavía en algunas organizaciones industriales la ciberseguridad es vista como un problema exclusivamente técnico, delegado al departamento de IT u otros departamentos técnicos. Su relevancia estratégica es muy limitada, y todavía las organizaciones lo consideran un gasto más que una inversión.
Con los crecientes costes asociados a los ciberataques (ransomware, robos de datos, interrupción de servicios), y las normas regulatorias existentes, la ciberseguridad ha dejado de ser un asunto técnico y se ha convertido en una cuestión de supervivencia empresarial, por lo tanto, requiere de una gestión corporativa estratégica, porque está directamente vinculada con la resiliencia empresarial, la confianza de los clientes y el cumplimiento normativo. La dirección ejecutiva y los consejos de administración tienen la responsabilidad de supervisar y priorizar la ciberseguridad.
La ciberseguridad ahora requiere auditorías regulares, certificaciones y métricas claras. Herramientas como un modelo de madurez en ciberseguridad o las auditorías de terceros son imprescindibles para demostrar el cumplimiento y la madurez en la gestión de ciberseguridad.
El enfoque técnico: protección y gestión de incidentes
La gestión técnica de ciberseguridad es esencial para gestionar incidentes, implementar soluciones específicas y garantizar el funcionamiento seguro de los sistemas. Este enfoque se centra en las herramientas y tecnologías que protegen los sistemas industriales y en la operación diaria de la ciberseguridad.
Por ejemplo, imaginemos una planta industrial que sufre un ataque de ransomware en su entorno OT. Con este enfoque técnico se dispondrá de herramientas de monitorización que permitirán identificar el punto de entrada del malware, aislar los sistemas comprometidos y restaurar las operaciones lo más rápido posible. Podremos resolver la emergencia, pero tendremos limitaciones cuando se trata de adaptarse a un entorno en constante cambio o prevenir sofisticados ciberataques futuros.
La prioridad estratégica: liderar
Por otro lado, la visión estratégica adopta una perspectiva de resiliencia empresarial. Este enfoque implica construir la ciberseguridad en base a los objetivos de negocio de la empresa. Recientemente escuche al CISO global de una organización del sector de alimentación la frase “Vendo sopa”, es la forma más directa de mostrar que está alineado con el negocio de su empresa. También es fundamental la colaboración con otras áreas clave, como sostenibilidad, seguridad física, seguridad operacional o calidad y buscar oportunidades para innovar.
Un ejemplo de este enfoque estratégico lo observo con frecuencia en las organizaciones que forman parte de nuestro ecosistema global de CCI. Los profesionales de estas empresas no solo gestionan riesgos, sino que también se han posicionado como líderes en su sector, participan en redes de conocimiento, colaboran en iniciativas de valor compartiendo su conocimiento. Gracias a esta visión, tienen acceso a tendencias emergentes, nuevas metodologías y un entorno para compartir experiencias que los prepara mejor para desafíos futuros.
Al adoptar un enfoque estratégico, las organizaciones pueden transformar la ciberseguridad en una ventaja competitiva.
¿Cómo lograr un equilibrio?
Aunque lo estratégico debe guiar la ciberseguridad industrial, esto no significa que lo técnico sea menos importante. De hecho, la clave está en equilibrar ambos enfoques. Para lograrlo, las organizaciones pueden:
- Asegurar una formación continua para sus responsables en ciberseguridad industrial, combinando habilidades técnicas y estratégicas.
- Participar en ecosistemas globales, como el CCI, que ofrecen acceso a las mejores prácticas, recursos exclusivos y una red de profesionales comprometidos.
- Desarrollar una estrategia de ciberseguridad alineada con los objetivos de negocio, que incluya no solo la mitigación de riesgos, sino también la identificación de oportunidades.
- Evaluar regularmente la madurez en ciberseguridad de la organización, asegurándose de que la visión estratégica esté siempre respaldada por capacidades técnicas sólidas.
En última instancia, la ciberseguridad industrial no es solo una cuestión de herramientas o tecnologías; es una cuestión de liderazgo, visión y preparación.
Mientras que el enfoque técnico resuelve los problemas actuales, el enfoque estratégico permite a las organizaciones prosperar en un entorno cada vez más complejo y en constante cambio. Por ello deberá designarse a una persona (con su correspondiente equipo, en función de los recursos de cada compañía), para impulsar y coordinar las actuaciones necesarias para desarrollar la política de ciberseguridad de la compañía.
Esta función podrá consistir en una dirección independiente en la compañía (en las compañías con más recursos) o integrarse en otro departamento. Pero, en cualquier caso, debería tener una capacidad de actuación e interlocución transversal, pues los aspectos de ciberseguridad afectan a prácticamente todas las áreas en una organización industrial.
Para que una organización sea resiliente, innovadora y competitiva, una visión estratégica debe estar en el centro de la ciberseguridad industrial.
