El actual escenario económico denominado VUCA –un acrónimo inglés que hace referencia a Volatility (volatilidad), Uncertainly (incertidumbre), Complexity (complejidad) y Ambiguity (ambigüedad)– lo está cambiando todo. Está forzando a las organizaciones industriales a ser «ágiles», es decir, disponer de una capacidad de respuesta rápida, flexible y adaptada a los nuevos canales comerciales, a las demandas a corto plazo, y a producir servicios o productos cada vez más personalizados.
En este nuevo escenario las organizaciones industriales requieren que IT (Information Technology) y OT (Operation Technology) adopten un modelo más acorde con las necesidades actuales del mercado, con clientes más exigentes, con una demanda oscilante y un mayor número de competidores. Un modelo de trabajo ágil, incrementando el conocimiento, la comunicación, la colaboración y la coordinación entre IT y OT, equivalente al modelo DevOps, entre áreas de desarrollo y operación tecnológica, permitirá que la organización sea suficientemente flexible y ágil para amoldarse a las necesidades del negocio, según se indica en el documento Desarrollo y despliegue seguro de software industrial [4.0] del Centro de Ciberseguridad Industrial.
Durante décadas, los profesionales de las áreas de tecnologías IT y OT han vivido aislados dentro de las organizaciones con diferentes procesos y con tecnologías funcionando en diferentes infraestructuras, como se indica en el documento IT/OT Convergence, Bridging the divide de Nexdefense. Unas tecnologías se encargan de gestionar la información de negocio y otras de gestionar la operación de procesos físicos, principalmente de fabricación.
Un área está compuesta por profesionales con formación en ingeniería industrial y otra por ingenieros informáticos. Dichas áreas trabajan con tecnologías de proveedores diferentes, pero los fabricantes OT están incorporando cada vez más tecnología IT, y los fabricantes IT están incorporando tecnología IoT (Internet de las Cosas). El grado de interdependencia y solapamiento está aumentando y las barreras se están reduciendo, como se muestra en la figura que aparece en este artículo. Cada vez es más necesario trabajar de forma conjunta, no necesariamente integrando o haciendo converger las dos áreas.
IT y OT coordinadas
Dentro de algunos años no podremos distinguir entre fabricantes de tecnologías IT y fabricantes de tecnologías OT. Éste es un aspecto muy significativo y demuestra que en el escenario económico actual es necesario un modelo donde los equipos IT y OT funcionen coordinados, mediante una cultura de comunicación y colaboración eficaz, como proporciona el modelo DevOps a las áreas de desarrollo y operaciones.
Si analizamos el sector de la distribución eléctrica, de gas o agua, donde se ha incorporado Smart Grid, el 78 por ciento de las organizaciones considera que la convergencia IT/OT es fundamental para el futuro del negocio, según el reciente estudio Accenture’s Digitally Enabled Grid program, 2016 IT/OT survey. En este mismo estudio, solo el 5 por ciento de los encuestados tiene una integración completa de IT y OT, y el 38 por ciento esta en proceso de integración, lo cual indica que en unos años esta convergencia será una realidad para gran parte de la industria, como está ocurriendo en sectores donde se ha incorporado IoT, como es el caso de la Energía con la implantación de Smart Grid.
Son múltiples los beneficios de la coordinación, colaboración y comunicación entre IT y OT, desde el incremento de la automatización y la visibilidad, pasando por un mayor rendimiento y una fuerza de trabajo más efectiva, hasta la mejora de la toma de decisiones estratégicas basadas en información más precisa y actual.
Barreras
Las áreas IT/OT deben romper todavía algunas barreras para dotar de mayor agilidad y resiliencia a sus organizaciones.
La barrera del aislamiento debe ser sustituida por entender el sistema como un todo. Es, desde este incremento del conocimiento propio, desde el que la organización, con el soporte de IT/OT, puede construir su estrategia de mejora e innovación, ya que sin un conocimiento profundo, la única forma de mejorar algo es mediante un proceso de prueba y error.
La barrera de comunicación debe superarse incrementando los canales de comunicación con el sistema para obtener información sobre cómo está funcionando. Tener canales de comunicación que nos den información sobre los distintos elementos de un subsistema OT/IT, los elementos de niveles inferiores, sensores e instrumentos que interactúan con el proceso físico, los controladores lógicos que determinan el comportamiento y la adquisición de datos, las pasarelas que establecen la comunicación con las aplicaciones de monitorización en tiempo real en la nube, los usuarios, los clientes, los procesos, el software industrial y corporativo, el hardware, etc. Toda la información recogida por los distintos canales de feedback, debe ser tratada para que tenga una utilidad real.
La barrera de «si funciona no lo toques», principio que ha servido para evitar muchos problemas y asegurar la estabilidad y disponibilidad de las infraestructuras tecnológicas, debe cambiarse por un nuevo axioma: «si funciona, mejóralo». No importa lo bien que funcione un sistema, siempre existe algo que se puede mejorar, y en entornos complejos como son los sistemas de operación y de Información, donde existen una cantidad enorme de elementos, siempre podemos aplicar una mejora. Este principio debe estar acompañado de una nueva capacidad de resiliencia de las áreas IT y OT para rectificar y adaptarse de forma ágil.
La barrera del riesgo tecnológico, es quizás la más importante que IT y OT deben superar, aunque también es la que tiene una mayor dificultad debido a la incorporación de nuevas aplicaciones en la nube basadas en IoT, susceptibles de un elevado grado de vulnerabilidad, pasarelas de comunicación con escasas funcionalidades de seguridad, pero sobre todo la falta de estándares que abre un enorme abanico de plataformas propietarias.
A esto debemos sumarle que el cibercrimen es un negocio muy rentable, que se estima superará el billón de euros en el año 2019, según un estudio de Juniper Research. Por todo ello el área de seguridad deberá aprovechar el nuevo modelo DevOps para obtener un mayor conocimiento, una mejor comunicación y una total participación e involucración en todas las fases del desarrollo y despliegue tecnológico. No solo deberá proporcionar capacidades de prevención y protección, sino también deberá ser capaz de predecir y dar mejor respuesta frente a los incidentes que puedan producirse mediante un modelo de seguridad adaptativa.
