Ciberseguridad en el ambiente minero: Enfrentando un nuevo y mayor riesgo

El artículo ahonda en los desafíos que genera un entorno cada vez más interconectado, donde aumenta la exposición a brechas de seguridad.

*Artículo elaborado por Marcelo Zanotti, socio líder de Consultoría en Riesgo de EY.

La minería es una industria que mantiene en su agenda un constante factor de transformación digital, obligándose a adoptar tecnologías emergentes y nuevos modelos de negocio que permitan maximizar el retorno de inversión en el corto plazo fomentando, asimismo, la seguridad de sus trabajadores mediante la operación remota, lo que obliga a los ejecutivos a tomar decisiones importantes hoy para ver sus efectos en un futuro relativamente cercano.

Por otro lado, la efectividad digital es clave, considerando que el foco debe estar en la productividad. Sin embargo, estos factores no representan una ventaja competitiva, ya que sigue siendo necesario dar una mirada holística permanente. En este sentido, la ciberseguridad se ha transformado en una disciplina que cada vez obtiene mayor presencia debido a su importancia y complejidad, principalmente debido al entorno altamente interconectado, considerando que los riesgos digitales afectan directamente a la operación de las diferentes faenas.

Sabemos que la mayoría de las mineras se han volcado hacia la transformación digital en un mundo cada vez más conectado. Por lo mismo, el panorama tecnológico que se abre es muy amplio, porque todos los activos utilizados en una organización cuentan con una presencia o se integran en la red de datos y comunicaciones; un beneficio enorme, pero que levanta un nuevo foco de riesgo. Lo anterior genera un sinfín de oportunidades y también riesgos, como los incidentes de ciberseguridad.

De acuerdo con Cybersecurity Ventures, se espera que el costo de los incidentes en seguridad de la información totalice seis trillones (millón de millones) de dólares para el 2021 frente los tres trillones que se estimó para 2015. Asimismo, el Foro Económico Mundial calificó las “brechas de ciberseguridad a gran escala” como uno de los cinco riesgos más graves que enfrenta el mundo.

Relevancia de Ciberseguridad sobre la industria

Las organizaciones, en particular la industria de la minería, dependen cada vez más de la tecnología, la automatización y los datos para lograr el aumento de la productividad, mejorar los márgenes y reducir sus costos. Por lo tanto, a los riesgos ya existentes se agregan nuevos, según el tipo de tecnología, sea ésta relacionada a entornos de TI tradicionales o bien a tecnologías operacionales o industriales (OT).

Históricamente, los ambientes OT se encontraban segregados de las redes de TI, confiando en el concepto de “Seguridad por Oscuridad”. Lo anterior, considerando que existían pocos profesionales con el conocimiento suficiente para la operación de este tipo de maquinaria; se suma que este tipo de tecnologías son propietarias y con una complejidad importante, donde agregar medidas de seguridad es un asunto olvidado, no evaluado o simplemente carece de importancia frente a la operación. De esta manera, el dar confianza a la complejidad y al secreto del diseño se convierte en una medida obsoleta y no se constituye como una alternativa viable en los entornos OT modernos, donde un incidente en la red de TI podría significar una grave exposición al mundo OT y viceversa.

De esta manera, tenemos en la industria minera una alta dependencia sobre los sistemas de automatización, el monitoreo remoto de infraestructura y los dispositivos OT conectados desde diferentes entornos geográficos. Adicionalmente, hay casos como el equipamiento e infraestructura, que antes funcionaban desconectados (excavadoras, camiones y otros sistemas de traslado), que hoy están integrados para proporcionar un mayor control de las operaciones.

En este sentido, aunque ya se utilizan en nuestro país tecnologías de automatización y robótica, vemos con mayor frecuencia el uso del Internet de las Cosas (IoT) que permite conectar equipos de distinta naturaleza, así como sensores a las redes industriales y TI, permitiendo el monitoreo y captura de distintas fuentes de información, potenciando el Big Data y análisis de datos por Inteligencia Artificial, para tomar mejores decisiones sobre la operación.

Adicionalmente, con el desarrollo de las redes de comunicaciones más rápidas se tendrá mayor confiabilidad en el envío y recepción de los datos, junto con una menor latencia y mayor alcance. Por lo tanto, podríamos concluir que una brecha en los sistemas tecnológicos permitiría la entrada de un posible atacante a toda la información de la organización, exponiendo los recursos e información que estos puedan contener.

Riesgos involucrados

Aunque siempre se ha reconocido que en todo tipo de industrias el mayor peligro son los usuarios internos, si consideramos sólo lo expuesto anteriormente, claramente un factor de riesgo en la industria minera es la exposición desde Internet a la red corporativa, donde podrían tener sistemas con brechas de acceso, vulnerabilidades sin atender que podrían ser explotadas por atacantes y una débil segregación de redes corporativas.

Otro factor de riesgo son los servicios tercerizados, donde pueden existir brechas importantes ya sea en términos contractuales o tecnológicos, un nivel de madurez inferior en seguridad de la información o bien, usuarios con un nivel de concientización diferente. En consecuencia, un servicio tercerizado sin un control permanente puede llegar a convertirse en una puerta de entrada a la organización para los atacantes.

A medida que las compañías continúan avanzando hacia la transformación digital, muchas organizaciones siguen tomando un enfoque reactivo para gestionar sus riesgos y vulnerabilidades cuando en realidad debieran anticiparse con un enfoque mucho más proactivo. Además, se necesita un cambio en la cultura sobre el conocimiento del riesgo de ciberseguridad considerando que la urgencia se vuelve más crítica cuando se acepta la ideología de que ya no es “sí es que ocurre un ataque”, sino “¿cuándo ocurrirá?”.

Cómo preparar a la organización

Es muy importante que esta mirada a los riesgos de siempre y a los nuevos sea nuevamente planteada y se tomen acciones proactivas para no sólo anticiparse, sino saber qué hacer en caso de que ocurran y posteriormente, tener las lecciones aprendidas necesarias y registrar los casos.

Teniendo esto en mente, podemos pensar en sugerir la aplicación de principios de gestión de riesgos, comenzando con la comprensión de las ciberamenazas para mejorar la madurez de la organización. Para esto, las compañías deben alinear su estrategia a largo plazo con un plan de gestión de riesgo, y establecer una línea de base de controles respaldados por un enfoque basado en ciberseguridad, que permita además la identificación consistente de las brechas críticas, las amenazas y las acciones necesarias para alcanzar el perfil de riesgo objetivo. Independientemente del marco adoptado, se debe tener un enfoque adecuado para su propósito con una correcta aplicación y gestión, que cumpla con los requisitos operacionales de una organización: identificar los riesgos reales, que dé prioridad a lo que más importa, que permita controlar y monitorear los procesos operacionales, pero al mismo tiempo esté en línea con la estrategia y permita el correcto desarrollo de la optimización de las inversiones, sin obstáculos innecesarios.

Otro aspecto es permitir una toma de decisiones efectiva, ya que la alta administración necesita tener visibilidad sobre lo que está ocurriendo. Para ello se necesitan buenos informes de seguridad de la información, que proporcionen una visión clara y continua de la exposición actual al riesgo de la organización, con métricas tangibles y cuantificables que demuestren los resultados obtenidos de las decisiones clave recientes y el desempeño del entorno de control actual de la función de ciberseguridad, que ayude a aplicar una mentalidad centrada en el riesgo para resolver las preguntas necesarias que se plantean a la gerencia.

Comentarios

Conectate con