¿Recuerdas las frases: “Adaptarse o morir” y “la única constante es el cambio”? Un claro representante de estos dichos es la industria automotriz, la cual actualmente tiene estrecha relación con la ciberseguridad, herramienta que persigue la confidencialidad, integridad y disponibilidad de los activos de información.
Ciberseguridad, computadoras con ruedas
Si consideramos que una computadora es un activo de información, y que dentro de los automóviles tenemos varios dispositivos, surge la pregunta: ¿Cómo la ciberseguridad se involucra en la protección de estos activos?
Desde la perspectiva de la seguridad de la información, la industria realiza las siguientes acciones:
1) Aplicación de buenas prácticas para el intercambio de información confidencial en la cadena de valor en la industria.
2) La implementación de prácticas, como la ISA62443, en las armadoras para la protección de los sistemas de control industrial encargados de automatizar los procesos.
3) La aplicación de la norma ISO 21434, que incluye los requerimientos para contar con un programa de gestión de riesgos sobre equipos eléctricos e interfaces dentro de los vehículos.
Existen varios requerimientos específicos para la protección de los activos en ambientes tradicionales y en planta, pasando por la protección de los sistemas internos de los automóviles. Un reto constante entre los encargados de ciberseguridad es llevar a cabo la correcta adopción de las prácticas para el cumplimiento de las normativas en la industria automotriz.
El tema de la ciberseguridad se asemeja a cuando queremos aprender a jugar ajedrez. Para empezar debemos plantear la pregunta: ¿Cuáles son las piezas faltantes en el rompecabezas para abatir las amenazas cibernéticas?
Autoevaluación: desde el punto de vista de un director ejecutivo, una de las primeras preguntas en la agenda son: ¿cuáles son los ciber riesgos más importantes identificados en nuestros sistemas, en nuestra estrategia de movernos a la nube o en nuestros sistemas de control industrial? ¿Cuál será la inversión requerida para mitigarlos adecuadamente? ¿Cuántas amenazas cibernéticas hemos detenido? ¿Ya sabemos quiénes conformará el comité de crisis cibernético? Si se logra responder estas preguntas el tema ya se tiene en la bolsa.
El reto: la ciberseguridad ha dejado de ser un tema de tecnología de la información y ahora está en la mesa de la dirección general y del consejo de administración. El reto que falta por sortear es que solo se vea como una función de unas cuantas personas, ya que es un tema de toda la organización.
La pieza que falta: ¿qué rol nos falta? Se trata del orquestador, cuya función es la de revisar cómo todas las capacidades creadas para la ciberseguridad conectan entre sí y la de buscar constantemente dónde está el eslabón que romperá la cadena.
El orquestador es quien dice qué ámbito del proceso de ciberseguridad falta robustecer, además tiene la capacidad de lograr los acuerdos con la primera línea de defensa para contar con información vital que permita la correcta orquestación de servicios y/o prácticas.
El cibercrimen está bien organizado y puede monetizar el secuestro de la información que detenga la operación y otros temas de alto impacto para una organización. La recomendación es tomar acción y tratar de tener respuesta a las preguntas planteadas.