Al analizar las tendencias y las “modas” industriales como convergencia TI/TO (Tecnologías de la Información y Tecnologías de la Operación), o IIoT (Internet de las Cosas en el ámbito Industrial), acostumbramos a focalizarnos en la tecnología, sin considerar el factor de las relaciones humanas que se requiere para que madure la relación entre las instancias de gestión de las redes corporativa e industrial. Por su parte, la Gestión de la Ciberseguridad para estos dos mundos, adolece usualmente de las mismas debilidades antes señaladas, por lo que consideramos necesario abordar el factor de las relaciones humanas que la sustentan y soportan.

El ámbito de relaciones de pareja no es tan distinto a la relación entre las gestiones de la Ciberseguridad Corporativa y la Industrial, y es más, algo se puede aprender de ellas.

Por ejemplo, en las relaciones maduras de pareja, se logra una mayor satisfacción de necesidades y objetivos comunes, sin perder individualidad, facilitando el desarrollo mutuo y permitiendo enfrentar las dificultades con una mirada colaborativa o de comunión, alcanzando, en general, una buena comunicación y mejorando las confianzas. ¿No les parece que esto serviría en la relación TI/TO?

En la práctica ha sido más común encontrar frías relaciones entre los responsables de la Gestión de Seguridad TI de la red corporativa y los de la Gestión de Seguridad TO o Ciberseguridad Industrial. La siguiente es una primera propuesta de un enfoque de Niveles de Madurez para dicha relación, desde un nivel de relación de Intolerancia hasta la Cooperación, pasando por la Convergencia y la Integración.

Para tratar de asimilar cada nivel, veamos la tipificación propuesta de cada nivel de madurez:

• Nivel 0: Intolerancia. Tipificado como el más débil nivel de relacionamiento, asociado a intransigencia, en que cada “bando” se defiende del otro. No existe coordinación y todos los esfuerzos son independientes. Es común oír por el lado industrial quejas como “vino alguien de Informática, actualizó el antivirus y ¡el server de gestión SCADA nunca más partió!”. La contraparte dice: “¡En la red Industrial, no están gestionando la seguridad!”.

• Nivel 1: Coordinación. En este nivel, se toma conciencia de la necesidad de establecer vínculos más estrechos, se formalizan entonces canales de coordinación y se establecen las primeras estructuras orgánicas de gobernabilidad, considerando instancias tácticas (homologadas) y operativas (diferenciadas). Se asocia con el objetivo de concertar medios y esfuerzos para concurrir en conjunto al logro de un fin común.

• Nivel 2: Convergencia. Para alcanzar la publicitada convergencia TI/TO, se requiere que se establezca previamente la Coordinación (Nivel 1) de gestión, que alcance la conexión corporativa entre las áreas administrativa e industrial. En este nivel, se inicia la activación de los mecanismos de interacción y/o acoplamiento, también a nivel de gestión de la seguridad hacia objetivos comunes.

• Nivel 3: Integración. La evolución de la Convergencia alcanza la Integración, que se podría identificar con una gestión combinada y regulada de la seguridad desde ambos espectros. Se considera e invita a la otra parte en las decisiones que podrían afectarle.

• Nivel 4: Colaboración. Este nivel de relación en la gestión busca identificar lo mejor de ambos mundos en busca de objetivos compartidos. El aporte de la experiencia de gestión de la seguridad de la información por el ámbito corporativo trabajando en proyectos e iniciativas comunes, con el aporte de las particularidades de la gestión de seguridad informática industrial. Se efectúa gestión táctica independiente, pero con planes estratégicos en común.

• Nivel 5: Cooperación. Alcanzar este nivel significa tener una gestión colaborativa de trabajo, sumada a la sinergia de una frecuente retroalimentación, lo que satisface la necesidad de interactuar permanentemente con su contraparte en base al compromiso de alcanzar los objetivos estratégicos institucionales.

Dicho lo anterior, es fundamental que a medida que una relación se desarrolle, no perdamos el objetivo de mantener una relación mutuamente beneficiosa. Al contrario, tendríamos que considerar como analogía la redefinición de la relación entre el Reino Unido y la Unión Europea.

Al respecto, Edward Cook, británico radicado en Chile y socio de Business Continuity, afirma que “la reciente dedecisión del Reino Unido de terminar su relación de 43 años como miembro de la Unión Europea, nos hace reflexionar sobre las ventajas y desventajas de la integración. Muchas veces la unificación e integración asusta a las personas y genera una actitud de aislamiento. Predomina la intolerancia y el foco en intereses propios por sobre el bien común de una comunidad más grande”.

Para Cook, el mismo escenario aplica a una empresa. Esta necesita que todas sus áreas trabajen de forma eficiente e integrada para lograr el éxito de la corporación. Cuando no existe la comunicación, la tolerancia y el trabajo en equipo, se perjudica directamente sus resultados. “En las empresas del ámbito industrial, existen los dos mundos señalados para la informática, las redes corporativas y las redes industriales. Ambos mundos tienen diferentes culturas, necesidades y prioridades, pero en el ámbito de la Ciberseguridad es necesario desarrollar una relación estrecha y madura entre ellos”, señala.

Por todo lo señalado, la aplicación de esta propuesta permitiría establecer puntos de comparación y análisis de brecha en el relacionamiento de la seguridad TI/ TO y proponer medidas concretas de mitigación y/o desarrollo hacia el nivel siguiente, de manera de alcanzar una madura y plena cooperación.

Ahora, la pregunta sería: “¿En qué nivel de madurez autoevaluarías tu propia relación, independientemente que estés del lado TI o TO?”. Dicha respuesta ayudaría a avanzar al siguiente nivel de la relación y lograr que la Ciberseguridad se posicione intrínsecamente dentro del ADN corporativo de la empresa.