El último año ha sido bastante alarmante para la ciberseguridad de los entornos industriales, con grandes ataques que han dominado los titulares internacionales, incluidos los de ransomware a Colonial Pipeline, Oldsmar Water Facility o JBS Foods, por nombrar solo algunos.
En este marco KPMG ha llevado a cabo un estudio para comprobar cómo está cambiando y adaptándose el sector en cuanto a la ciberseguridad de cara a este nuevo marco de amenazas.
La encuesta tuvo en cuenta las declaraciones de casi 600 profesionales del ámbito industrial, a los que se preguntó sobre la seguridad de los sistemas de control industrial de sus empresas, las tendencias en ataques de ciberseguridad y tecnologías de protección, y cómo las organizaciones están priorizando sus esfuerzos para hacer frente a dichos desafíos.
La mayor preocupación para los participantes son los "empleados negligentes", que suelen ser la puerta de entrada para grandes ataques. No obstante, aseguran que los ataques de estado nación también se han convertido en una inquietud importante.
La mayoría de los encuestados habló de un aumento del presupuesto en ciberseguridad de un 10%, mucho más bajo que el 30% de la encuesta anterior. Además, otro 10% lo habría reducido, mientras el año pasado solo un 1% indicó dicha bajada.
Para la mitad de los encuestados (49,1%) la "experiencia insuficiente en ciberseguridad del sistema de control" fue el mayor obstáculo para reducir la superficie del ataque". No obstante, un tercio también se lo achacó al "personal insuficiente".
Otro aspecto preocupante es que faltaría una inversión adecuada en capacitación. Mientras, se van poniendo parches al subcontratar a terceros. El problema es que hay pocas ofertas de servicios SOC diseñadas adecuadamente para las complejidades de las necesidades críticas de ciberseguridad de OT de hoy.
Desde KPMG insisten en la importancia de la formación interna y alaban a aquellas organizaciones que no dependen de programas tradicionales, sino que están aventurándose a probar ejercicios de simulación en vivo para comprender cuál es su nivel de preparación ante las amenazas.
Buscando la capacitación
Se habla de 'capacitación en concienciación sobre la seguridad' como algo que ayuda a mejorar la cultura de la seguridad en toda la organización, permitiendo que todos los empleados reconozcan su papel en la reducción de la exposición al riesgo.
No obstante, este aspecto está poco presente en las organizaciones. Solo un 18% lo habrían incorporado ya.
En relación al estado actual de la planificación organizacional, sí que resulta esperanzador que más del 85% de las organizaciones hayan comentado que tienen planes de gestión/respuesta en alguna etapa de desarrollo. Y aunque los porcentajes de implementación y prueba siguen siendo bajos, esto una mejora significativa con respecto a 2020, cuando el 18-27% no lo hizo.
"Aún queda mucho por recorrer en el peligroso entorno actual a medida que crece el panorama de amenazas y el ritmo del cambio. Un mayor sentido de urgencia se ha vuelto crítico y la necesidad de profesionales de seguridad OT altamente calificados no puede exagerarse. El verdadero progreso requerirá un acto de equilibrio estratégico que gestione los costos, la disponibilidad del sistema y medidas modernas para luchar contra las amenazas crecientes de hoy, concluye KPMG.