Gran parte de la industria chilena ve a esta problemática como un tema alejado. Lo cierto es que falta madurez desde la más alta dirección, en especial si se analizan algunos antecedentes de casos de ciberataques que han detenido procesos productivos, atacando a computadores de control, los que han provocado la pérdida de miles de millones de dólares.

Uno de los casos más emblemáticos a nivel internacional es el famoso Stuxnet que atacó al proceso de procesamiento de uranio en una planta en Irán en 2013. Este acontecimiento resulta particularmente grave, porque se sostiene que es un ciberataque preparado por un país para atacar a otro. En otras palabras, una ciberguerra.

Mediante la acción de gusanos, este ataque consistió en alterar el funcionamiento de los computadores asignados al manejo y control del proceso de centrifugado del uranio. En el detalle, el malware tapó las válvulas de escape de presión e hizo girar el rotor a su máxima velocidad, para luego detenerlo de una vez, provocando la rotura de la centrífuga.

Otro hecho muy similar sucedió en una planta de electricidad en Ucrania el 23 de diciembre de 2015, donde más de un cuarto de la población estuvo sin servicio eléctrico por varias horas.

Ataques a distancia

En ambos casos se comprueba que no son únicamente factores físicos los que pueden afectar gravemente los procesos productivos. Hoy, mediante el uso de las redes, si no existen los controles necesarios, cualquiera podría entrar a una organización. Ya no se trata solamente de afectar el proceso de negocio, sino que los impactos son financieros, reputacionales, contractuales, legales y regulatorios. El objetivo de negocio también se daña. La clave, entonces, es aplicar metodologías y marcos de trabajo que permiten implementar controles, no solo de hardware, sino también lógicos y de personas, siendo estas la mayor vulnerabilidad que hoy deben abordar las empresas.

Entre los marcos de trabajo conocidos, se ubican las normas ISO 27.001, que abordan la Seguridad de la Información; las ISO 27.032 y NIST referentes a la ciberseguridad; y las ISO 22.301, que resguardan la continuidad del negocio. No obstante, en ningún caso se puede olvidar la educación constante de todos los colaboradores de la organización, porque todos deben entender y asumir que los procesos productivos pueden ser detenidos hoy a kilómetros de distancia si no existen controles adecuados. Hay que conocer los procesos críticos y tomar conciencia de que los ciberataques sí existen.