Por Claudio Martinelli, director general de Américas en Kasperky.
En un equipo deportivo de alto rendimiento, la defensa conoce su posición, domina sus herramientas de juego y sigue una estrategia previamente planeada y estudiada. Algo similar ocurre con la ciberseguridad industrial: cuando aparece una amenaza, la capacidad de respuesta depende de la preparación de toda una organización, pero sobre todo del área que la defiende de los ataques. Para lograrlo, las empresas necesitan de Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés), donde tecnología, procesos y talento bien entrenado jueguen como un equipo capaz de enfrentar un panorama de amenazas en constante evolución.
Cuando hablamos de un SOC, solemos pensar en un cuarto lleno de especialistas frente a sus computadoras, resolviendo problemas informáticos, aunque en realidad es mucho más que eso. Su misión es prever, detectar, analizar y reaccionar en tiempo real ante cualquier amenaza digital. Y en los entornos industriales, donde un ciberataque puede provocar consecuencias catastróficas, desde daños a equipos e interrupciones operativas hasta riesgos para la seguridad de los empleados y accidentes ambientales, el SOC se convierte en la línea defensiva que anticipa los ataques de sus rivales: los cibercriminales.
Sin embargo, a pesar de su importancia, en muchas empresas del sector este equipo de defensa aún no se consolida en su campo de juego. Un estudio de Kaspersky reveló que, en América Latina, más de la mitad de las empresas industriales, incluyendo manufactura, infraestructura crítica, energía, petróleo, gas, transporte y logística, han enfrentado incidentes de ciberseguridad en los últimos dos años por medidas de protección insuficientes. Además, un 43% de los incidentes se debió a la falta de herramientas adecuadas para detectar amenazas, y un 26% a errores humanos del personal de TI.
Estas cifras son una alerta para las empresas industriales, pues muestran que aún tienen dificultades para integrar los tres elementos básicos que permiten que un centro de operaciones de seguridad funcione como un equipo de élite: tecnología, procesos y personas. Construirlo puede parecer un reto enorme, pero no es imposible. La clave está en desarrollar cada pilar y hacerlos trabajar en conjunto.
¿Cómo formar un Centro de Operaciones de Seguridad de alto rendimiento?
Empecemos con la tecnología. Un SOC competitivo necesita herramientas para detectar y responder ante amenazas. Estas deben ser capaces de recopilar y analizar datos de todos los dispositivos y redes conectados, desde oficinas hasta plantas de producción, para descubrir ataques que, de otra forma, pasarían desapercibidos. También debe apoyarse en Inteligencia de Amenazas, es decir, en información actualizada minuto a minuto sobre nuevas vulnerabilidades, riesgos emergentes y tendencias de ataque, especialmente las que se dirigen al sector industrial. Ese conocimiento permite tomar decisiones informadas y ganar tiempo frente a los atacantes.
El segundo pilar son los procesos. Aquí entran en juego las políticas y medidas, cuyo diseño y cumplimiento deben ser supervisados por el SOC, con las que una empresa puede prevenir riesgos, además de asegurar la protección de su infraestructura, información sensible y la continuidad de sus operaciones, aun cuando esté frente a un ataque. Entre estas políticas se encuentra la realización de auditorías de seguridad periódicas y simulaciones de ataques en condiciones reales, para identificar vulnerabilidades antes de que lo hagan los criminales.
Otra medida clave es la segmentación de redes, que consiste en separar las conexiones entre distintas áreas. De esta manera, si un atacante logra entrar a un punto, no podrá desplazarse libremente por toda la infraestructura. Igualmente, es esencial la tolerancia a fallos, es decir, tener alternativas listas para cuando algo no resulte como lo planeamos. Esto incluye contar con copias de seguridad de datos críticos actualizadas que puedan restaurarse de inmediato, o habilitar equipos y servidores de respaldo que mantengan la operación en marcha aunque alguno falle.
A esto se suma una política de capacitación. Todos los empleados, no solo los equipos de ciberseguridad o TI, deben recibir formación constante para reconocer amenazas básicas como el phishing o la ingeniería social. Al final, las personas son la primera línea de defensa de la ciberseguridad industrial.
Por eso, el tercer pilar, y quizá el más importante, son precisamente las personas. Un SOC puede tener la tecnología más avanzada y procesos bien diseñados, pero sin profesionales preparados para tomar decisiones rápidas y acertadas, se vuelve ineficaz. Es fundamental contar con analistas especializados en ciberseguridad industrial, que comprendan los entornos de tecnología operativa, así como los protocolos de control propios de plantas de producción y la infraestructura crítica, y sepan cómo protegerlos.
Un elemento decisivo es formar un equipo de respuesta a incidentes que reúna a especialistas de TI, ciberseguridad y tecnología operativa, con roles claramente definidos para detectar, analizar, contener y recuperar sistemas tras una brecha. También deben participar responsables de áreas legales, financieras y de comunicación, porque un ciberataque no solo impacta en términos tecnológicos u operacionales, sino que también genera consecuencias regulatorias, económicas e incluso reputacionales.
Finalmente, además de estos pilares, prácticas como colaborar con expertos externos pueden fortalecer aún más las capacidades del SOC mediante asesoría especializada, investigación, tecnología y apoyo en la respuesta a incidentes.
Con toda esta preparación, un centro de operaciones de seguridad puede responder con agilidad, reduciendo al mínimo el impacto en el negocio y protegiendo la privacidad, así como la confianza de clientes y socios. Hoy los ciberataques industriales no sólo están aumentando en número, sino también en sofisticación y, así como un equipo deportivo de alto rendimiento no puede salir a la cancha sin su defensa, la industria no puede operar sin un SOC bien consolidado. Esto puede marcar la diferencia entre resistir un ataque o sufrir pérdidas significativas en cuestión de minutos.
