Considerando que ya tenemos una idea general de los problemas que estresan la perpetuidad tecnológica de nuestras operaciones, veamos cómo podríamos prepararnos para que estos eventos no sean una sorpresa, sino que nos encuentre razonablemente preparados para seguir siendo resilientes:

• Primero, no botar lo avanzado, sino que garantizar y mejorar los servicios de seguridad TI básicos existentes. Todo lo que se realice como controles de seguridad en el ámbito tecnológico, es parte de esta mirada de resiliencia, la que no viene a reemplazar paradigmas, sino que a ampliar la visión hacia la perpetuidad de la producción y la continuidad operacional.

Un ejemplo de control como servicio de seguridad TI básico, son los respaldos de retención y pruebas de recuperación que se efectúen en las plataformas tecnológicas del mundo industrial. Mantener este control y que se actualice de acuerdo a los cambios de las plataformas que respalda, es ciber-resiliencia.

• Los expertos coinciden en la necesidad de formalizar la diagramación de las redes industriales y el cómo se conectan estas con la red corporativa e incluso con Internet. Solo conociendo la arquitectura de red e integrando todos los aspectos de la red industrial, se puede garantizar su protección.

• Se deben definir e integrar indicadores (KPIs o KRIs) que permitan no solo monitorear la normalidad, sino también aprender, dado que entregan información vital acerca del estado y condiciones de riesgo de los sistemas tecnológicos, garantizando que se mantienen a niveles operacionales aceptables. Si no se es capaz de detectar desviaciones, difícilmente se podrá conservar niveles aceptables de resiliencia.

• Las revisiones de vulnerabilidades en los ámbitos industriales, incluyendo servidores, perímetros en cada una de sus zonas, estaciones con HMI, entre otros, son todos elementos en que se requiere chequear tempranamente la aparición o existencia de vulnerabilidades que permitan asociar riesgos a la continuidad operacional de las plataformas industriales o SCADA que estos equipos controlan.

Si se busca ciber-resiliencia se debe tener cuidado de no caer en el autoengaño de solamente identificar y reportar las vulnerabilidades; al contrario, se deben gestionar estableciendo y dando seguimiento a las mitigaciones según los riesgos que estas representan.

• Un complemento a la gestión de vulnerabilidades es la gestión de riesgos (que es su capa superior) y aquí nos encontramos nuevamente con el dilema de qué metodología utilizar. Existe la tentación de establecer la simple fórmula de Probabilidad por Impacto (p x I), la que creo que dificulta la real asociación de controles de ciberseguridad, dado que carece de los factores Amenaza, Vulnerabilidad e Impacto.

Estos, de estar considerados, incluso se podrían abastecer en forma automática o semiautomática, ya que serían fácilmente integrables en una fórmula poblada desde la identificación de amenazas, vulnerabilidades e impactos tecnológicos de una herramienta de revisión de vulnerabilidades y en donde el valor de los activos se podría extraer de una plataforma CMDB o de gestión de inventarios tecnológicos. Esto demostraría que las capacidades de resiliencia pueden evidenciarse, integrándose con herramientas tecnológicas de apoyo.

• Establecer un marco regulatorio propio para la ciberseguridad industrial y la continuidad operacional en la institución, adherido a estándares internacionales y otorgando cumplimiento normativo a los lineamientos de ciber-resiliencia. Conformar un marco normativo de trabajo desde el ámbito estratégico hasta en los ámbitos más operacionales: en lo estratégico, una política global de ciberseguridad; mientras que en lo táctico, normas que definan el quehacer en los diferentes ámbitos de ciberseguridad, y en lo operacional, procedimientos, instructivos y otros documentos que establezcan las tareas en cada uno de los temas operativos que implementan la ciber-resiliencia industrial.

• Conformar una estructura de gobierno que permita gestionar a nivel estratégico, táctico y operacional, el día a día y la proyección del ciber-riesgo, la ciberseguridad y la continuidad operacional industrial.

• Contrastar la situación actual contra el marco de referencia planteado y una línea base esperable, a modo de detectar la brecha (o gap) que se deberá cubrir o mitigar.

• De entre las diferencias detectadas, priorizar las necesidades de mitigación según los riesgos que podría conllevar el no cubrir dichos aspectos. Las mitigaciones ya priorizadas deben ser programadas según un plan de acción que defina el roadmap de trabajo para el corto, mediano y largo plazo, en el cumplimiento de la ciber-resiliencia.

• Por último, adoptar y establecer un mecanismo de gestión de mejora continua que permita desarrollar las etapas de planificación, implementación, monitoreo y mejora en las acciones de ciberseguridad industrial que se hayan definido como esenciales para la institución.

Roger Lozano, Director del Comité de Ciberseguridad de ISA México, me comentó lo intrigante que le parecía cierta noticia desde Chile donde se analizaba la resiliencia en operaciones industriales, comerciales y de servicios de comunicaciones. En dicho artículo, el entrevistado hablaba de los controladores aéreos de nuestro país, destacando los riesgos de obsolescencia en los equipos y sistemas de la tecnología utilizada en locaciones de los controladores de tráfico aéreo en regiones, careciendo de redundancias en las plataformas de red y comunicaciones; más aún, comentaba acerca de las prioridades en caso de falla en la alimentación eléctrica, levantando primero los servicios de grandes clientes bancarios, de telefonía y dejando muy atrás las operaciones de tráfico aéreo, con el grave riesgo que esto conlleva.

En el particular análisis de Roger para este caso, la lección aprendida como mexicano es que los planes y programas de inversión en infraestructura crítica (como lo son, en este ejemplo, las operaciones áreas de aeropuertos internacionales), deben considerar al personal que operará esos sistemas, su debida capacitación, el aná- lisis de procedimientos de continuidad de las operaciones, la gestión de control de parches de los equipos de cómputo utilizados, la implementación de ciberseguridad, la búsqueda de redundancias en comunicaciones y hardware, todo orientado a proteger y mejorar la ciberresiliencia industrial.

Otro botón de muestra de la importancia de considerar estos aspectos: durante la creación de este artículo, la internacional DRII acababa de lanzar su primer curso oficial, así como una nueva certificación internacional en Ciber Resiliencia (Certified Cyber Resilience Professional, CCRP), abordando temas como la necesidad de desarrollar un marco y una guía para implementar los conceptos esenciales que permitan combinar la seguridad ciberné- tica y la continuidad empresarial en un “programa efectivo de ciber resiliencia”, además de entregar una “propuesta de valor” a la administración ejecutiva para avanzar hacia un programa sólido de resistencia cibernética.

La Transformación Digital, que le está pegando fuerte a la industria, sumada a conceptos y cambios de paradigmas, como Industria 4.0, IIoT (Internet de las Cosas Industriales) con cada vez más componentes interconectados entre sí y con Internet, y el impacto en las aplicaciones, herramientas y procesos productivos, son factores esenciales para fortalecer la necesidad de una Ciber-Resiliencia Industrial. Esta transformación digital debe ser también profunda en la ciberseguridad, continuidad operacional y en la gestión de la nueva gama de riesgos que la transformación trae consigo.

El sobrevivir a todos estos cambios es parte de la mirada de ciber-resiliencia. Como siempre, el llamado es a opinar, a proponer formas de enfrentar los nuevos requerimientos, a ser parte de la comunidad. A todo lo ya emprendido, hay que sumarle integración y resiliencia; esa es la misión y nuestra tarea pendiente: hacer que las nuevas Tecnologías de la Información y Operacionales, su gestión de Riesgos, la Ciberseguridad y la Continuidad Operacional, trabajen unidas en el logro de los objetivos institucionales.