¿Quién es responsable por la seguridad después de un incidente? ¿Quién es responsable por la CiberSeguridad Industrial?
¿Qué tiene de particular la CiberSeguridad Industrial? Como primera medida la CiberSeguridad Industrial, a diferencia de la CiberSeguridad de la Información o IT, se desarrolla en el mundo físico. Las consecuencias por los incidentes cibernéticos industriales tienen impacto sobre la vida de las personas, el medio ambiente, la producción y la continuidad de servicios críticos o esenciales para la compañía o Nación.
En el ámbito industrial la palabra “seguridad” se presenta de muchas formas. Desde la seguridad perimetral o física, hasta la seguridad funcional o instrumentada sin dejar de mencionar la seguridad de las personas, seguridad del medio ambiente, la seguridad intrínseca, y por su puesto la seguridad cibernética industrial, por mencionar algunas de ellas.
Muchas veces las personas nos preguntamos ¿Quién es responsable por la seguridad? Sin embargo, para visualizar mejor el problema deberíamos buscar respuesta a las siguientes preguntas ¿Quién es responsable por la seguridad luego de un incidente? ¿Quién es responsable por pagar los costos asociados a la falta de seguridad luego del incidente? Para los proveedores o fabricantes una buena pregunta puede ser ¿La seguridad es un “costo” o una “inversión”? Usualmente los directivos en muchas compañías se encuentran frente a este dilema y no consiguen responder de forma correcta.
A la seguridad no se la puede tocar, oler, ni escuchar. Muchas veces es algo que se valora o aprecia cuando nos damos cuenta de que se carece de ella luego de que un accidente, incidente o una catástrofe ocurre, en la cual directa o indirectamente nos vemos afectados. ¿Cómo medimos el impacto o el daño como consecuencia de incidente? Por ejemplo: ¿Qué pasa con la reputación de la compañía?
¿Cómo se desarrollan las competencias necesarias en seguridad? Independiente de las cuestiones exclusivamente técnicas, las competencias y el dominio de la seguridad no se desarrollan a los golpes. No es como andar en bicicleta donde uno va aprendiendo con las caídas. El conocimiento sobre seguridad se incorpora por medio de la capacitación en programas bien desarrollados y concebidos para dicha finalidad y objetivo. La conciencia por la seguridad tampoco se desarrolla por medio de campañas de miedo ni atemorizando a las empresas o a las personas. Esto casi en la totalidad de los casos provoca la toma de decisiones erradas o equivocadas. Muchas empresas asumen que porque están gastando dinero están obteniendo resultados y esto generalmente no es cierto.
Cuando un incidente ocurre ya es demasiado tarde y el daño ya está hecho. Todos los estudios revelan que el 95% de los incidentes y catástrofes eran evitables, exceptuado aquellos de fuerza mayor o caso fortuito. En la industria para evitar este problema es que se han desarrollado estándares y normas bien concebidas. Entonces, ¿Si estas normas existen porqué siguen ocurriendo los incidentes? Básicamente por tres motivos: (1) Las normas son mal implementadas, (2) No se cumple con las normas, (3) No se las considera necesarias.
Diferentes personas tienen una percepción distinta de la seguridad. Esta percepción quedará determinada por la experiencia propia y/o por la formación, conocimiento técnico de la especialidad y educación con respecto al tema y la conciencia que se tenga. Existen personas que serán más arriesgadas y más tolerables a los riesgos y otras personas que serán menos tolerables. Muchas veces se dice que la seguridad es un tema de percepción. Esto es cierto desde un aspecto del usuario común. Sin embargo, es incorrecto desde el punto de vista del profesional dedicado a la seguridad.
¿Pero cómo resolvemos este tema de la seguridad? ¿Qué podemos hacer al respecto? Estándares y normas bien concebidas deben ser aplicadas. Lo primero que debemos hacer es definir y evaluar el riesgo para poder gestionarlo y tratarlo de forma adecuada. Son muchas las organizaciones que han desarrollado trabajos para la ciberseguridad industrial, entre los cuales podemos mencionar normas, guías, recomendaciones, mejores prácticas, controles de seguridad, frameworks, políticas y hasta leyes. ¿Cuál elegir? ¿Qué hacer?
Muchos altos directivos creen que la responsabilidad es trasladable a través del proceso de compras lo cual es errado. Quizás una pequeña parte pueda ser transferida o compartida pero la responsabilidad transferida no servirá para recuperar los costos provocados por sus consecuencias, especialmente en el ámbito industrial ni a la imagen de la compañía. La máxima responsabilidad siempre estará del lado del usuario final. A pesar de que los integrantes de la cadena de suministros todos pueden contribuir a la seguridad, es responsabilidad de la alta dirección fijar los requerimientos y establecer las políticas de la compañía y la forma en la cual esta será evaluada, implementada y verificada.
Preparado por: Maximillian G. Kon
Get Involved & Participate!
Comments