3 formas en que la industria puede crear una cultura de ciberresiliencia

El sector manufacturero, elemento esencial de la economía mundial, engloba diversas industrias como bienes de consumo, electrónica, automoción, energía y salud. Debido a su alcance e impacto mundial, desempeña un papel significativo en las exportaciones, la innovación y el crecimiento de la productividad, impulsando el desarrollo económico en todo el mundo.

La extensión global de las instalaciones de producción manufacturera crea complejas cadenas de suministro en las que los productores son también consumidores. La industria manufacturera también está intrínsecamente entrelazada con otros sectores, como la logística, la energía y la tecnología de la información. Por tanto, cualquier disrupción en el proceso de manufactura puede afectar a muchos otros sectores en todo el mundo.

En la última década, el sector manufacturero ha experimentado una rápida transformación digital, adoptando innovaciones como los gemelos digitales, la robótica, la inteligencia artificial, la computación en nube y el internet industrial de las cosas (IIoT). Aunque estos avances impulsan el crecimiento y la eficiencia, también exponen al sector a las ciberamenazas.

La transición de sistemas aislados a sistemas interconectados, junto con el auge de Internet y, posteriormente, de la computación en nube, ha incrementado los retos de ciberseguridad para las organizaciones industriales, especialmente porque las distintas organizaciones no siempre ponen el mismo énfasis en invertir en ciberseguridad. El aumento del intercambio de datos a lo largo de toda la cadena de suministro no hace sino amplificar estos riesgos. El resultado es que el riesgo cibernético es sistémico, contagioso y muchas veces escapa a la comprensión o el control de una sola entidad.

De hecho, el aumento de la conectividad y la transparencia de los datos han convertido a la industria manufacturera en el sector más atacado por los ciberataques durante tres años consecutivos. Ahora representa el 25,7% de los ataques, y el ransomware está implicado en el 71% de estos incidentes. Las empresas manufactureras son un blanco especialmente lucrativo y accesible para el ransomware debido a su escasa tolerancia al tiempo de inactividad y a su relativamente bajo nivel de madurez cibernética en comparación con otros sectores.

Las empresas manufactureras también suelen quedarse rezagadas cuando se trata de invertir en ciberresiliencia debido a sus largos ciclos de producción y a las cuantiosas inversiones necesarias para rediseñar las líneas de fabricación. En febrero de 2024, por ejemplo, un fabricante alemán de baterías tuvo que detener la producción en cinco plantas durante más de dos semanas debido a un ciberataque contra su sistema informático.

Dado que los costes de los ataques a este sector aumentan un 125% cada año, el riesgo cibernético se considera ahora el tercer mayor riesgo externo para la manufactura.

El sector manufacturero se enfrenta a retos en la creación de ciberresiliencia en cinco dimensiones. La principal de ellas es la brecha cultural entre los entornos empresariales (la oficina) e industriales, ya que estos últimos suelen dar prioridad a la seguridad física sobre la ciberseguridad. Esta brecha representa un obstáculo importante para los esfuerzos de ciberresiliencia.

Los retos técnicos también son una barrera importante. Los sistemas heredados obsoletos, combinados con el número de activos conectados dentro de los sistemas de control industrial, han dejado a muchas organizaciones del sector sin preparación para defenderse de ciberamenazas sofisticadas.

El sector también suele ser reacio a desconectar las fábricas para realizar mejoras de seguridad o hacer frente a ciberataques. Junto con las extensas dependencias del ecosistema de la industria, esto también dificulta el mantenimiento de la ciberresiliencia. Además, surgen retos estratégicos a partir de las tensiones dinámicas entre factores económicos, fuerzas del mercado y cuestiones geopolíticas. Por ejemplo, la manufactura se ve afectada por fuerzas externas, como la inflación mundial y el aumento de los costes energéticos. En un informe reciente, Rockwell destacó los riesgos cibernéticos como el tercer mayor obstáculo para la industria manufacturera, por detrás de estos otros factores.

Otra complicación es que los fabricantes deben navegar por diversas normativas y estándares industriales relativos a la seguridad humana y de los productos, la protección de datos y la ciberseguridad. Esto se hace aún más difícil si las empresas tienen operaciones descentralizadas: la mayoría tiene fábricas en todo el mundo, además de trabajar con filiales que pueden tener sus propias prácticas de toma de decisiones y prioridades. Operar en distintos entornos normativos no hace sino añadir más complejidad.

Independientemente de estas complejidades, el sector manufacturero debe hacer frente a los retos cibernéticos para poder explorar nuevas tecnologías de forma segura. En este contexto, el Centro de Ciberseguridad y el Centro de Manufactura Avanzada y Cadenas de Suministro del Foro Económico Mundial convocaron recientemente a una comunidad de líderes cibernéticos del sector manufacturero para debatir los principales retos e identificar las mejores prácticas.

El documento resultante, Building a Culture of Cyber Resilience in Manufacturing (Construir una Cultura de Ciberresiliencia en la Manufactura), esboza tres principios de ciberresiliencia:

1. Hacer de la ciberresiliencia una prioridad empresarial. Este principio hace hincapié en la necesidad de un cambio cultural y de una gobernanza global de la ciberseguridad. También abarca la importancia de asegurar el presupuesto y los recursos, al tiempo que se crean incentivos para garantizar que la ciberseguridad sea un objetivo asumido por todas las partes interesadas.

2. Impulsar la ciberresiliencia en el diseño. Esto significa integrar la ciberresiliencia en todos los aspectos de los procesos y sistemas. Debe utilizarse un enfoque basado en el riesgo para incorporar la ciberresiliencia al desarrollo de nuevos productos, procesos, sistemas y tecnologías.

3. Involucrar y gestionar el ecosistema. Este principio subraya la importancia de fomentar alianzas de confianza y sensibilizar a las partes interesadas en materia de seguridad. En lugar de que una organización ejerza el control sobre una cadena de suministro de otros actores, un enfoque ecosistémico implica animar a todas las entidades de una red empresarial a colaborar para abordar problemas como la ciberdelincuencia.

Este tipo de mayor conectividad no debería significar más riesgo, de hecho puede ayudar a cambiar o incluso mejorar gradualmente la exposición al riesgo de una organización. Como tal, la conectividad puede aportar enormes beneficios al programa de ciberseguridad de una organización. Significa que los sistemas que antes estaban aislados, proporcionando poca visibilidad a las empresas, pueden gestionarse más eficazmente a mayor escala.

Estos tres principios están interrelacionados y se apoyan mutuamente. Están respaldados por 17 casos de uso de la manufactura en el mundo real y, por lo tanto, son aplicables en cualquier industria manufacturera y lugar de fabricación. A medida que avanza la digitalización, las organizaciones del sector manufacturero deben utilizar estos principios para dar prioridad a la creación de una cultura sólida de ciberresiliencia. Esto ayudará a la industria a navegar por el creciente panorama de las amenazas cibernéticas con mayor eficacia.

Akshay Joshi, Jefe de Industria y Alianzas, Filipe Beato, Director, y Giulia Moschetta, Especialista en Investigación y Análisis, todos ellos del Centro de Ciberseguridad, también han contribuido a este artículo.