La protección industrial (Industrial Security) como cuestión primordial: cómo lo gestionan las empresas

Simon Nutz, Consultant Industrial Security

"¿Protección? No nos afecta." – Esta sigue siendo la respuesta más habitual de fabricantes y usuarios de máquinas cuando se les pregunta sobre el tema de la protección industrial. "De la protección se encarga nuestro departamento informático", suelen añadir en tono de disculpa. En la práctica, sin embargo, los informáticos carecen de conocimientos específicos, sobre todo en lo que se refiere a redes de automatización. Los ingenieros de diseño y los responsables de salud y la seguridad (Health and Safety Manager, HSE) por otra parte, no saben muy bien cómo manejar la ciberseguridad. ¿Cómo hay que equiparse entonces para la protección industrial (Industrial Security)?

El Reglamento de Máquinas será de aplicación vinculante en la Unión Europea a partir de enero de 2027. Se aplica a todas las empresas que quieran importar máquinas en la UE y operarlas en este espacio. El Reglamento especifica una protección industrial (Industrial Security) en forma de medidas de protección contra corrupción. La protección industrial (Industrial Security) se convierte así en un factor crítico para la empresa y, por consiguiente, en tarea del ejecutivo. La dirección debe asegurarse de implantar la seguridad industrial (Industrial Security) en todos los niveles de la empresa.

Sentar a todos a la mesa
Para lograrlo, el primer paso es organizar una reunión con todos los implicados en el proceso. En el caso de las empresas de construcción de máquinas, son los departamentos IT y desarrollo/diseño y, si existen, los responsables de la protección (por ejemplo, CISO). Por parte de los usuarios son, además del departamento IT, la tecnología y la gestión de la producción, HSE y CISO.
En primer lugar se trata de adquirir conocimientos y desarrollar una comprensión común de la protección industrial (Industrial Security): ¿qué obligaciones legales tiene la industria de maquinaria e instalaciones? ¿Qué relación existe entre seguridad y protección? ¿En qué puntos se solapan TI y OT?

En el segundo paso, estos equipos interdisciplinares desarrollan una estrategia adecuada para la empresa que incluye un concepto de implementación. El objetivo es analizar las necesidades corporativas y estructurar la empresa: ¿quién asumirá las responsabilidades en el futuro? ¿Cómo es la topología de red de las máquinas propias? ¿Cómo encaja esto con los nuevos requisitos legales?

La implementación comienza por la estimación de riesgos
Entonces y no antes estará la empresa en condiciones de llevar a la práctica el tema de la protección industrial (Industrial Security). Esto comienza con la evaluación y cuantificación de los posibles daños y la creación de un análisis de requisitos de protección. Durante este proceso se identifican asimismo posibles vulnerabilidades y riesgos de ataque y manipulación que exploten la conexión en red, la digitalización y la IA. Importante: además de los objetivos clásicos de protección informática como confidencialidad, integridad y disponibilidad, los objetivos de la protección industrial (Industrial Security) incluyen también la seguridad entendida como seguridad funcional de la máquina.

Siempre con la estimación de riesgos de protección como punto de partida. El objetivo es analizar las amenazas y los riesgos ocasionados por brechas en la protección. Cosa que exige supervisar y adaptar continuamente las medidas de seguridad. A menudo se trata de infraestructuras y redes informáticas complejas que requieren conocimientos técnicos y recursos adicionales.

Se busca experto en protección y seguridad
Quien busque ayuda externa para empezar a familiarizarse con la protección industrial (Industrial Security) en la automatización debe ser consciente de que tener experiencia en protección informática tiene una utilidad limitada. Los procesos para minimizar el riesgo de ataques a las máquinas [protección industrial (Industrial Security)] son muy similares a los procesos para reducir los riesgos que pueden derivarse de las máquinas (seguridad). Para implementar la protección industrial (Industrial Security) hay que ser experto en seguridad de máquinas y conocer las especificaciones y normativas pertinentes, especialmente la Directiva de Máquinas.

Actualmente se está trabajando en la aplicación efectiva de la legislación. En algunos ámbitos, no obstante, las normas armonizadas están todavía en fase de elaboración. Como experto en seguridad de las máquinas, Pilz participa activamente en la elaboración de las normativas correspondientes. Pilz transmite estos conocimientos a sus clientes en forma de servicios y cursos de formación. El curso de formación "Fundamentos de la protección industrial (Industrial Security)" está dirigido a principiantes. Los participantes aprenden terminología y los requisitos y se familiarizan con la ciberseguridad en el contexto de la seguridad de máquinas y redes. Las buenas prácticas contribuyen a la comprensión de los riesgos de ciberseguridad en la propia producción.
El curso de formación "Certified Expert for Security in Automation (CESA)" proporciona las herramientas necesarias para adoptar medidas organizativas y técnicas eficaces en redes de automatización industrial.

Más allá de la oferta formativa, con la gama "Identification and Access Management" (I.A.M.) Pilz quiere ofrecer productos y soluciones personalizables para numerosas tareas relacionadas con la protección de trabajadores, responsabilidad civil, productividad máxima y protección de los datos. Entre las aplicaciones está la autenticación de usuarios, la selección de modos de operación seguros, la seguridad de datos y redes y la gestión de accesos. De esta forma, un solo sistema cubre la seguridad y la protección.

A fin de estar preparados con antelación para los retos que plantea la protección industrial (Industrial Security), los fabricantes y usuarios de máquinas de todo el mundo deberán ocuparse hoy de este tema. Es hora de adquirir una base de conocimientos, definir competencias e interfaces y elaborar una estrategia interna. Teóricamente es la dirección la que debe iniciar este proceso.