José Valiente, director del Centro de Ciberseguridad Industrial.
José Valiente Director Centro de Ciberseguridad Industrial
Maite Cali, responsable de Comunicación del CCI
Maite Carli Responsable de Comunicación Centro de Ciberseguridad Industrial

Digitalización industrial: seguridad en la cadena de valor

Industria 4.0

La digitalización de la cadena de valor es clave para la digitalización industrial, lo cual requiere la interconexión de los procesos de todos y cada uno de los actores que participan en el suministro.

Digitalizacion de la cadena de suministro

En este entorno son fundamentales la incorporación de la digitalización en los procesos físicos de la industria, el análisis de los datos para mejorar la productividad, la inteligencia artificial y la realidad aumentada para automatizar y mejorar la eficiencia.

Los procesos administrativos deben digitalizarse para lograr automatizar todas aquellas tareas manuales que absorben tiempo y recursos, de manera que la organización pueda focalizarse en otras actividades que aporten más valor al cliente y/o a la cadena con sistemas. Un ejemplo de dichas actividades sería TMS (Transport Management System) para la gestión del transporte, que permite a la logística evolucionar para alcanzar la categoría de resiliencia, proporcionando la continuidad de los procesos logísticos, la flexibilización y adaptación de los flujos del transporte o permitiendo la planificación a largo plazo.

Los procesos de seguimiento en tiempo real permiten al cliente saber la localización exacta de su pedido y el tiempo de espera hasta la entrega, pero también proporcionan a los proveedores la trazabilidad necesaria para conocer con exactitud los tiempos restantes para cada uno de los procesos siguientes, y así logar la satisfacción del cliente. Planificar las rutas de reparto conociendo todas las entregas a realizar y su localización genera eficiencia, mejora los envíos y reduce los gastos. Algunas de las tecnologías que se están incorporando en este tipo de procesos son la RFID, la E2E (tracking y trazabilidad a través de las plataformas online de las compañías de transporte) o blockchain (tecnologías que gestionan información de forma rápida y segura).

Los procesos de planificación digital permiten modificar y transformar dinámicamente las cadenas de suministros, adaptándolas a los mercados y su cambiante demanda. Los procesos de planificación de ventas y operaciones usan software con algoritmos avanzados para la predicción inteligente de las ventas, contrastando la información con todos los departamentos de la organización. Esto ayuda a planificar la producción, el transporte y el almacenamiento (a corto y medio plazo), y a diseñar la transformación de la cadena de suministro de la empresa a largo plazo.

Los cuatro procesos identificados requieren el tratamiento de los datos industriales conectando e integrando múltiples tecnologías de operación (instrumentación inteligente, controladores, gateways…) para digitalizar los procesos físicos de la industria con diversas tecnologías de información para las  aplicaciones en la nube o en centros de datos que soporten los procesos digitales administrativos, de seguimiento y de planificación, tanto propios como de los diferentes proveedores que forman la cadena de suministro. Estamos ante la mayor integración de tecnología industrial y corporativa.

 

Plataforma RECIN

La nueva configuración de las cadenas de suministro es susceptible de riesgos tecnológicos, como fugas de información debido a la inseguridad de las redes por las cuales ‘transitan’ los datos, perdida de disponibilidad en el servicio o la manipulación de estos provocando problemas en la planificación de rutas o en los envíos. Por ello, los proyectos de digitalización industrial de la cadena de valor y la integración de sus aplicaciones deberían incorporar la ciberseguridad en el diseño. El Centro de Ciberseguridad Industrial (CCI) está construyendo RECIN, plataforma de Requisitos de Ciberseguridad para Proyectos Industriales, que permitirá modelar proyectos de automatización en la cadena de suministro y recomendar patrones de ciberseguridad de un catálogo asequible de requisitos que contemple regulaciones y normativas como IEC-62443, basada en una aproximación de zonas y conductos para agrupar los componentes tecnológicos.

Ejemplo de riesgos en la digitalización de la cadena de suministro industrial
Ejemplo de riesgos en la digitalización de la cadena de suministro industrial.

Además de implementar requisitos de ciberseguridad en el diseño de la tecnología y su integración, será necesario un coordinador de ciberseguridad en cada uno de los actores de la cadena de suministro que se encargue de gestionar:

  • La relación con el negocio para comprender los riesgos que afronta la organización y su tratamiento.
  • Evaluación periódica de vulnerabilidades y las medidas de seguridad implementadas en los sistemas y aplicaciones de la cadena de suministro.
  • Actualización constante con medidas de protección y detección de amenazas, incidentes y vulnerabilidades reportadas a partir de fuentes de información fiables y contrastadas.
  • Comprender las necesidades normativas actuales, nacionales como internacionales y estar al tanto de cambios y definición de los procesos necesarios para su cumplimiento y evaluación de las consecuencias que puedan surgir debido a dichos cambios normativos.
  • Establecer reuniones periódicas con representantes de áreas de IT y OT con el fin de trasladar necesidades que puedan estar sujetas a las políticas de seguridad.
  • Definición de requisitos a cumplir por empresas proveedoras en el ejercicio de sus funciones o servicios contratados. Estos proveedores deberían establecer un interlocutor de ciberseguridad válido que les represente.
  • Fomentar la formación y concienciación en ciberseguridad dentro de la organización a todos los niveles y por extensión a los proveedores esenciales.
  • Informar a la dirección o comité ejecutivo acerca del riesgo tecnológico y su impacto potencial sobre la actividad de negocio, para la asignación de nuevos recursos u optimización de los existentes.
  • Recibir información relativa sobre cambios e intervenciones programadas, así como personal involucrado en las mismas (tanto interno como externo).
  • Participar en los nuevos proyectos de automatización y digitalización industrial para incorporar requisitos de ciberseguridad.
  • Análisis de incidentes potenciales y su impacto sobre personas, actividad y efecto sobre la organización.
  • A partir del punto anterior, colaborar en el establecimiento de un plan de escalado que permita responder de manera efectiva ante tales incidentes.
  • Establecer planes de continuidad de negocio y recuperación ante desastres que comprometan las diferentes tecnologías que componen la organización.
  • Documentar lecciones aprendidas y mejoras introducidas.
  • Establecer mecanismos de respuesta ante incidentes de ciberseguridad en la organización.
  • Poner en conocimiento a sectores afectados de nuevos riesgos, según escenarios y actividades.

 

Rápida respuesta

Todas estas tareas permitirán reducir, mitigar, transferir o aceptar los riesgos a los que la organización está expuesta, persiguiendo una efectiva gestión de amenazas y vulnerabilidades que permitan/faciliten una respuesta rápida ante posibles incidentes. Algunos informes vaticinan que los ataques que pretendan comprometer la cadena de suministro serán tendencia a lo largo de los próximos años. Por tanto, no solo han de establecerse políticas preventivas, sino además incorporar la ciberseguridad en el diseño de cualquier elemento que intervenga en dicho proceso. Hemos de ser proactivos en la protección de la cadena de valor y no reaccionar cuando sea demasiado tarde.

Desde el CCI llevamos a cabo múltiples actividades para ayudar al encargado de la ciberseguridad industrial en su tarea. Un ecosistema internacional que le permitirá el networking profesional y empresarial, continuas jornadas de concienciación, formación, noticias, contenido específico y guías, hacen del CCI un aliado clave para abordar la ciberseguridad en la cadena de valor de la digitalización industrial.

Aunque existe cada vez más sensibilización, aún falta mucho para avanzar y mejorar. Especialmente, es necesario alcanzar un mayor compromiso por parte de la alta dirección, la cual tiene la capacidad de asignar los recursos necesarios para acometer las tareas identificadas; pero también fomentar la capacitación de nuevos perfiles y profesionales en materia de ciberseguridad industrial, de manera que permita hacer frente a los nuevos desafíos y riesgos tecnológicos.