Segurilatam 023

artículo técnico Ciberseguridad en infraestructuras críticas proveedores de servicios debido al alto grado de externalización que existe en el sector. A esta problemática se suma que no es habitual que las empresas contratis- tas incorporen la ciberseguridad en in- fraestructuras críticas e industria 4.0 en- tre sus servicios. Y son pocos los casos donde las responsabilidades de ciberse- guridad se encuentran correctamente definidas. Impacto en el TCO Incorporar la ciberseguridad en la pro- tección de un activo catalogado como infraestructura crítica debe ser una eta- pa excluyente en todo nuevo proyecto o instalación y una exigencia para toda infraestructura existente. Diversos estudios demuestran cómo impacta la adopción temprana de medi- das de protección cibernética en el TCO de activos industriales. Se ha comproba- do que, para una instalación existente, el costo de adecuación de la misma para operar dentro de niveles de ciberriesgos tolerables representa hasta un 25% del TCO del activo en cuestión, mientras que la incorporación de la ciberseguridad industrial en las etapas de ingeniería básica y detallada (concepto de Security by design establecido dentro del están- dar ISA99/IEC62443) reduce ese costo a un 5% del TCO –fuente: Madurez de la Ciberseguridad Industrial y su relación con el Costo Total de Propiedad (TCO) de los Sistemas de Control , publicado por la consultora WisePlant–. Esto se debe a que se alcanza un estado donde la mayor parte del esfuerzo por la ciberse- guridad es realizada por los fabricantes. La inversión en ciberseguridad es distribuida (prorrateada) entre todos los operadores/propietarios de infraes- tructuras críticas, evitando la mayor parte de este nuevo costo que el sector energético debe asumir. Los fabricantes incorporan los requerimientos de ciber- seguridad (niveles de seguridad según ISA99/IEC62443) de forma nativa en sus productos y sistemas y estos son certifi- cados a través de organismos especiali- zados como ISA Security. Compromiso ineludible Proteger las infraestructuras críticas del sector energético, desde el punto de vista de la ciberseguridad, implica un compromiso ineludible para las orga- nizaciones que operan dentro de dicho sector. Consiste en abordar la proble- mática más allá del mero esfuerzo por cumplimentar regulaciones, lo cual pue- de hacernos caer en un estadío de falsa sensación de seguridad. La decisión es atacar la disciplina desde la óptica de un nuevo elemento de riesgo que puede afectar o compro- meter los servicios esenciales que el sector provee o aquellos que dependen de él. Así como sucede desde hace ya varios años con la seguridad fun- cional en procesos industriales, hoy el ciberriesgo debe ocupar un lugar des- tacado dentro de la matriz de riesgos empresariales. Si bien las causas que se evalúan son distintas, la seguridad funcional y la ciberseguridad compar- ten las consecuencias. Estas consecuencias exceden el con- cepto de servicio esencial o de infraes- tructura crítica, afectando a los mismos receptores de riesgos: las personas, el medio ambiente, los costes y la ima- gen corporativa. En otras palabras, un ciberincidente puede no afectar el ser- vicio esencial que se está brindando ni a los que dependen de él; sin embargo, puede exceder su naturaleza virtual y/o tecnológica e impactar al mundo físico ocasionando muertes o daños al medio ambiente. Otra razón más que importan- te y esencial para su consideración. Tercer cuatrimestre 2022 / 53