Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

El 85% de las empresas industriales vascas aumentarán los recursos económicos y humanos destinados a Ciberseguridad, según el Estudio elaborado por BCSC y CCI

estudio, cci, industria
09/10/2018

El Centro Vasco de Ciberseguridad (BCSC) y el Centro de Ciberseguridad Industrial (CCI) han elaborado un estudio en el que han participado 90 empresas industriales vascas pertenecientes a sectores y subsectores con un importante auge en Euskadi y un gran peso en la economía vasca, como por ejemplo fabricación, ingeniería y sector eléctrico.

Para su realización se ha contado con el apoyo y colaboración de la Asociación Vasca de Profesionales de Seguridad - Segurtasun Euskal Elkartea (SAE) y 11 clústeres de los cuales 9 son industriales.

Sus respuestas a 20 preguntas correspondientes a 4 dominios en el ámbito de la ciberseguridad (Organización, Gestión, Aspectos técnicos y Mercado) revelan que el 80% de los responsables de negocio están sensibilizados sobre la Ciberseguridad y que el 85% de las empresas tienen previsto incrementar los recursos humanos y presupuesto dedicado a protegerse de ciberamenazas.

Los más de 9.000 ciberdelitos que en 2017 sufrieron las empresas vascas provocaron un perjuicio económico estimado en 840 millones de euros. Tanto las empresas que han sufrido directamente esos incidentes como las que no son conscientes de la necesidad de invertir en medidas de ciberseguridad y de las oportunidades derivadas de aplicar este tipo de medidas, como revela el estudio llevado a cabo entre febrero y junio de 2018.

La ciberseguridad, en manos de los departamentos de TI

El estudio muestra cómo la unidad organizativa de TI Corporativa es la encargada de velar por la Ciberseguridad de las empresas industriales en un 70% de los casos, seguida de lejos (entre un 10% y 20%) por las unidades de Seguridad Física, Operaciones, HSE (Riesgo Laboral y Medioambiental) y Automatización de procesos industriales. A pesar de ello, la responsabilidad sobre la Ciberseguridad no recae sobre un único departamento en la mayoría de los casos.

Los responsables de la Ciberseguridad en empresas industriales vascas cuentan en su gran mayoría con el apoyo del Responsable de Negocio. Un 80% de los encuestados se consideran normal o bastante sensibilizados sobre las regulaciones a las que están sujetas sus empresas y los riesgos de la ciberseguridad. Aun así, un 18% declaran estar muy poco preocupados. A ellos, y también para elevar el nivel sensibilización general, están dirigidas las jornadas de concienciación que desde BCSC se llevan a cabo en empresas de entornos industriales, con la colaboración de distintos clústeres de empresas del sector.

Evaluaciones de riesgo y definir el plan de gestión de incidentes: las asignaturas pendientes

Más allá de la sensibilización, es necesario refrendar esta buena predisposición, a través de una apuesta decidida por la ciberseguridad. Uno de los puntos de partida para definir la estrategia en torno a la Ciberseguridad industrial es la realización de una evaluación de riesgo, algo que el 42% de los encuestados confesaron que no se ha llevado a cabo en sus empresas.

Cerca de un 40% de las empresas han declarado haber realizado evaluaciones organizativas y un 30% evaluaciones técnicas, mientras que un 18% han llevado a cabo evaluaciones en base a normativas, como IEC62443-ISA99 o NERC-CIP.

Las evaluaciones de riesgo ayudan a identificar los activos más importantes y a desarrollar estrategias de cara a mitigar la exposición de los mismos, pero es importante tener presente que los sistemas no son 100% seguros, por lo que también es necesario contar con un plan para la gestión de incidencias de Seguridad. Es aquí donde la industria vasca tiene más trabajo por delante: solo el 12% aseguraron contar con un plan definido, desarrollado y probado.

Un 23% más están definiendo el proceso de gestión de incidencias, aunque en contra se encuentran el 27% que no tiene un plan diseñado y otro 27% que actúa de forma reactiva. Definir dicho proceso es crítico para reaccionar de manera eficiente ante un incidente y reducir lo máximo posible sus consecuencias asegurando así la continuidad del negocio, sobre todo ante los crecientes ataques diseñados específicamente para afectar a entornos industriales, como es el caso del malware conocido como Tritón/Trisis/Hatman o la utilización de de dispositivos IoT para llevar a cabo ataques DDoS.

Las evaluaciones de riesgo cobran especial significancia si la red industrial, algún dispositivo o sistema cuenta con conexión a internet, como tiene la mayoría de las empresas encuestadas: un 45% tienen algún elemento conectado permanentemente a internet, mientras que un 30% usan conexiones temporales por petición. Más habitual es incluso la posibilidad de acceder remotamente a la red industrial, dándose en un 80% de los casos, en su mayoría para llevar a cabo tareas de soporte y mantenimiento por terceras partes o para gestiones remotas.

Más allá de la existencia de evaluaciones de riesgo o los planes de acción frente a ciberamenazas, casi todas las empresas encuestadas cuentan con algún tipo de medida de Ciberseguridad Industrial. Las más habituales son el uso de soluciones automatizadas de copias de respaldo, antivirus o firewall convencionales. Igualmente, no siempre las medidas implementadas son las apropiadas, ya que los entornos OT necesitan dispositivos específicamente diseñados para su protección, no siendo siempre válidos aquellos diseñados para entornos IT.

Apuesta decidida por la Ciberseguridad como parte de la mejora continua

El último bloque de preguntas contestadas por los encuestados trata sobre sus previsiones y planes más inmediatos respecto a la Ciberseguridad industrial. La apuesta por ella como valor añadido es decidida entre las empresas industriales vascas, como revela el dato de que el 80% tienen previsto iniciar actividades en el ámbito de la Ciberseguridad Industrial, la mayoría de ellas en un plazo de entre seis meses y un año.

Las motivaciones que las empresas aducen para apostar por la Ciberseguridad son diversas, aunque el 65% lo enmarcan dentro de un proceso de mejora continua, para mantener la competitividad en un mercado cada día más globalizado. Son un 30% de las empresas encuestadas las que han asegurado que su apuesta viene dada como respuesta a incidentes ya sufridos.

Tal es la apuesta de las empresas industriales vascas por la Ciberseguridad que un 85% aumentarán el presupuesto y los recursos humanos destinados a la Ciberseguridad. Dicha afirmación abre la puerta a nuevos empleos directos e indirectos (en proveedores), valorándose positivamente las certificaciones profesionales en un 68% de los casos, mientras que un 27% consideran fundamental que sus proveedores cuenten con estas.

Conclusiones

Algunas de las conclusiones que se pueden extraer del informe son las siguientes:

  • La gestión del riesgo en los sistemas de automatización y control está siendo asumida por el área de tecnologías de la información lo que implica que se aborda con una visión parcial.
  • Es preciso elevar el nivel de concienciación frente a la necesidad y las implicaciones de la Ciberseguridad Industrial a todos los niveles de la organización.
  • Del estudio se identifican dos factores principales que están acelerando la digitalización de la industria en Euskadi y como consecuencia de ello la necesidad de gestionar el riesgo tecnológico especialmente asociado con la ciberseguridad: la regulación y la globalización.
  • El mercado, las empresas y los proveedores de servicios en el ámbito industrial precisan de profesionales especializados en la protección de los entornos de producción industrial.
  • La mayoría de las organizaciones vascas encuestadas (de todos los sectores de la industria) tienen previsto abordar a lo largo de 2018 iniciativas de Ciberseguridad Industrial, lo que casi con toda seguridad implicará un aumento de los presupuestos destinados a esta materia y es esperable, aunque no es fácil de cuantificar, que se produzca una elevación del grado de madurez general. Algo muy necesario dada la situación actual de los sistemas de control industrial, entornos que presentan niveles bajos de protección frente a ciberamenazas.

El informe completo se puede descargar aquí.