¿Cómo navegar por los crecientes riesgos cibernéticos en el transporte y la logística? Por Marcial González, Managing Director & Partner de BCG. La adopción de procesos de digitalización en las empresas de T&L ha tenido inconvenientes ya que se han expuesto una serie de deficiencias que las han hecho extremadamente vulnerables a los ciberataques. Todos los sectores de la industria -incluyendo el marítimo, el ferroviario, el camionero, los proveedores de logística y los repartidores de paquetes- se han visto afectados. El impacto es costoso, ya que interrumpe las operaciones y tiene el potencial de empeorar, particularmente cuando se violan los datos sensibles de los clientes.
En Chile, el gasto en ciberseguridad estimado en 2020 fue de 269 millones de dólares, según datos de Gartner. “Esta cifra representa el 0,11% del PIB del país en el mismo año”, explica Marcial González, Managing Director & Partner de BCG. “En el caso del sector de T&L, la digitalización de muchos procesos ha impactado positivamente en su eficiencia. Pero también hoy en día está más expuesto a los riesgos de un ciberataque. Las razones del aumento de esta amenaza son múltiples. Por ejemplo, el mayor uso de la tecnología operativa (OT) abre nuevos canales inalámbricos de comunicación que están conectados directamente a los ecosistemas digitales de las empresas de T&L, siendo muchas veces un objetivo fácil para los hackers.”
Los ciberataques en el sector de T&L aumentaron visiblemente pues pasaron de producirse anualmente a uno o dos cada mes. Algunos son graves y causan daños reales en las personas. Por ejemplo, un ciberataque en mayo de 2021 desencadenó en el cierre durante una semana del oleoducto que suministra gasolina a casi la mitad de la costa este de los Estados Unidos. Según la compañía, el rescate y la interrupción del negocio costaron más de 50 millones de dólares.
De acuerdo con un estudio de la OEA y el BID estos crímenes alcanzan a ser la mitad de todos los delitos contra la propiedad que tienen lugar en el mundo. Este informe asegura que solo el 33% de las organizaciones de América Latina cuenta con un plan para la continuidad del negocio. Alrededor de 86 millones de dólares es el costo promedio a nivel global de una brecha de datos para una organización y 280 días es el tiempo promedio que tarda una organización a nivel global para identificar y contener una brecha de datos.
Por su parte, en América Latina, el tiempo promedio es de 328 días y según el BID y la OEA, es una región en riesgo. Particularmente Brasil, México, Argentina, Colombia, Perú y Chile concentran la mayoría de los ciberataques. Teniendo en cuenta la creciente urgencia, BCG ha examinado por qué la industria es hoy tan vulnerable a los ciberataques y frente a esta necesidad, se han publicado un conjunto de soluciones integradas que las empresas pueden desplegar para mitigar estos riesgos y crear salvaguardias realistas y fiables contra ellos. Mitigando riesgos Puntos débiles. El dilema al que se enfrentan las empresas de T&L se puede explicar al evaluar sus vulnerabilidades cibernéticas en tres categorías: tecnología, normativa y personas y procesos. Cada una de estas debe ser considerada cuidadosamente para hacer frente a las nuevas amenazas que afectan a la industria en general.
Tecnología. La industria de T&L ha tenido una gran ampliación digital en los últimos años. Por ejemplo, entre las empresas marítimas, los sistemas de socorro y seguridad fueron reemplazados por redes de área local completas, basadas en la nube, como el programa de navegación electrónica de la Organización Marítima Internacional (OMI). Estas redes son un objetivo tentador para los hackers pues recogen, integran y analizan continuamente la información para rastrear la ubicación de los buques, los detalles de la carga y los problemas de mantenimiento.
Mientras que estas redes en expansión -que esencialmente conectan los sistemas OT con los equipos internos de TI, como los servidores, los computadores y los dispositivos móviles- son, por defecto, nuevas vías para los hackers y, a veces, se vuelven aún más vulnerables por la falta de previsión de los ciberataques. Además, los entornos informáticos de las empresas de T&L rara vez se modernizan para que sean compatibles con los estrictos protocolos de seguridad.
Regulación. Aunque los aspectos comerciales y operativos de la industria del transporte y la logística están regulados en muchas regiones, hay un número relativamente pequeño de normas que cubren la ciberseguridad. A pesar de las operaciones globales del sector, a los reguladores les ha costado ponerse de acuerdo o centrarse en un conjunto de normas de ciberseguridad que las empresas de T&L deban seguir sin importar dónde operen. Ante este vacío, las inversiones en ciberseguridad no están optimizadas para reducir la exposición global al riesgo de las organizaciones.
Sin embargo, conscientes del posible impacto peligroso sobre el comercio mundial y la estabilidad económica de un ciberataque generalizado en el sector de T&L, los reguladores están empezando a adoptar una postura más proactiva a la hora de exigir mejores protecciones de seguridad para las redes de las empresas. En distintos grados, estas normativas intentan imponer unos estándares mínimos para proteger los datos y las operaciones más sensibles de las empresas, en particular los registros de clientes y la información de envío.
Personas y procesos. Las ciberamenazas evolucionan continuamente y en muchas ocasiones, el hilo conductor de las áreas más vulnerables pueden ser las personas. Por ejemplo, los empleados pueden no identificar un correo electrónico de phishing, permitiendo así una fácil explotación inicial para los hackers. De hecho, las aperturas autoinfligidas suelen ser el primer paso de una cadena de ataque, dado que bastante más de la mitad de las violaciones cibernéticas pueden rastrearse directamente a fallos en los procesos organizativos y en las capacidades de los empleados o a su falta de conocimiento sobre los ciberataques.
Asimismo, existe un gran y creciente déficit de especialistas en ciberprotección a nivel mundial pues, de acuerdo con el más reciente estudio de ciberseguridad del BID y la OEA, para el 2024 harán falta más de 10 millones de profesionales de ciberseguridad. Hoy en día, se estima que el 71% de las empresas en América Latina no encuentran perfiles expertos en ciberseguridad. La escasez de personal cibernético se debe, en parte, a que estas titulaciones académicas surgieron hace unos diez años. |