Producto de los requerimientos del CEN, se desarrollaron normativas de ciberseguridad TI/TO, y hemos abordado dichas medidas y los desafíos para su implementación tanto en ediciones previas como en webinars.

En el foro de discusión del último de ellos, participaron representantes de empresas eléctricas coordinadas y una de las conclusiones en consenso, apuntó al necesario “cambio cultural” requerido para integrar la ciberseguridad en el ámbito industrial eléctrico e introducir estos principios, conceptos, controles y procesos asociados, en sus actividades diarias.

Las dificultades encontradas en el proceso de implementación de estas medidas de ciberseguridad exigidas por el CEN, apuntan no solo al ámbito tecnológico y su obsolescencia de equipamiento, sino principalmente al factor humano asociado a sus competencias blandas y duras necesarias en los diferentes actores involucrados en dichos procesos, como lo son directivos, ejecutivos, soporte y principalmente quienes están en la primera línea, como lo es el personal de operaciones y mantenimiento.

Estos últimos son quienes necesitan integrar la ciberseguridad en la normalidad de su día a día, pero por sobre todo para reaccionar de manera efectiva como equipo de respuesta ante incidentes, por falla, error o hacking a sus instalaciones.

El cambio cultural requiere de tres componentes complementarias: Difusión, Capacitación y Sensibilización.

Se entiende por “Difusión”, las acciones que permiten hacer llegar a la audiencia objetivo los diferentes contenidos a distribuir, usando múltiples medios o canales. En el caso de las medidas CEN, usando diversos canales para difundir los elementos del marco normativo desarrollado.

La segunda componente es la “Capacitación”, que corresponde al conjunto de actividades orientadas a inculcar los conocimientos necesarios para que la audiencia pueda comprender sus contenidos. Su aplicación la encontramos en la medida 12 de “Educación y Concientización”, orientada al contenido del nuevo marco regulatorio.

La tercera componente (y la más importante) corresponde a la “Sensibilización”, llamada también concientización o evangelización, que va más allá del mero conocimiento de los temas, requiriendo que los involucrados reaccionen respecto a los contenidos, involucrándose, participando e idealmente siendo promotores de estos nuevos conceptos, haciendo vivo el cambio cultural esperado.

Como señala el Senador Kenneth Pugh, activo promotor de iniciativas legislativas en Ciberseguridad: “El verdadero cambio tiene que venir de las personas. No puedo temer algo que no conozco, por eso es tan importante capacitarse en ciberseguridad en todos los niveles, para entender la verdadera amenaza y ponderar ese riesgo de mejor forma. La cultura se cambia, porque se cultivan nuevos conocimientos”.

El paradigma de una red industrial aislada ya no es válido y se requiere conceptualizar dicha red TO como parte de un ecosistema global interconectado con los ámbitos TI, e incluso con la nube, y por allí va precisamente el cambio cultural requerido. ¡Seamos parte de ello!