Building a Culture of Cyber Resilience in Manufacturing

Building a Culture of Cyber Resilience in Manufacturing

El sector manufacturero opera dentro de un ecosistema complejo, caracterizado por una variedad de emplazamientos, extensas cadenas de suministro y redes interconectadas. Este ecosistema depende de una multitud de proveedores, vendedores y socios. En la última década, la industria manufacturera ha experimentado una rápida transformación digital, que está impulsando el crecimiento, la eficiencia y la rentabilidad. Esta tendencia también ha expuesto al sector a una amplia gama de ciberamenazas, convirtiéndolo en el más atacado: en los últimos tres años, el sector manufacturero ha sido responsable de uno de cada cuatro incidentes cibernéticos. En la Reunión Anual 2023 del Foro Económico Mundial en Davos, los líderes empresariales destacaron la necesidad de abordar los riesgos de ciberseguridad para la fabricación a nivel de ecosistema, poniendo así en marcha la iniciativa Ciberresiliencia en la Fabricación. Dirigida por el Centro de Ciberseguridad y el Centro de Fabricación Avanzada y Cadenas de Suministro del Foro, esta iniciativa ha reunido a más de 30 representantes de todo el ecosistema de la fabricación. El objetivo es elaborar orientaciones prácticas sobre cómo desarrollar una cultura de ciberresiliencia. A través de una amplia investigación y consultas con líderes de la industria, así como con organismos normativos y reguladores, la iniciativa Ciberresiliencia en la Fabricación ha subrayado previamente los cinco retos principales para desarrollar una cultura de ciberresiliencia en el ecosistema de la fabricación. Estos tres principios están interrelacionados y se apoyan mutuamente, y son aplicables a cualquier industria y lugar de fabricación. Cada principio se define con orientaciones adicionales, se contextualiza con consideraciones clave y se complementa con casos de uso en el mundo real de la fabricación para facilitar su adopción y aplicación efectiva. El manual sugerido en este documento sirve como marco pragmático para permitir a las empresas superar los retos estratégicos, organizativos, operativos, técnicos y normativos, y fomentará una sólida cultura de ciberresiliencia que pueda contrarrestar eficazmente las amenazas actuales y futuras. La industria manufacturera es un sector global y diverso, esencial para la sociedad y la economía mundial. Abarca varias industrias, como las de bienes de consumo, electrónica, automoción, energía, sanidad, alimentación y bebidas, industria pesada y petróleo y gas. En la última década, la transformación digital se ha acelerado dentro del sector, con continuas inversiones en innovación y tecnologías emergentes como los gemelos digitales, la robótica, la inteligencia artificial generativa (GenAI), la computación en la nube y el internet industrial de las cosas (IIoT). Si bien esta digitalización progresiva fomenta el crecimiento, la eficiencia y la rentabilidad, también conecta las tecnologías industriales y operativas (OT) al mundo digital, exponiendo al sector a las ciberamenazas. El aumento de la conectividad del ecosistema digital de fabricación con diversos sistemas empresariales, Internet, proveedores de la nube y proveedores de servicios presenta desafíos significativos en los entornos OT industriales. Esta transición de los sistemas tradicionales aislados a entornos hiperconectados aumenta los riesgos de ciberseguridad. Además, las discrepancias en las inversiones entre las organizaciones de bajos y altos ingresos agravan estos retos. El auge del intercambio de datos con toda la cadena de suministro, incluidas las pequeñas y medianas empresas (PYME) que suelen tener un bajo nivel tecnológico, ha incrementado este riesgo. 

El aumento de la conectividad y la transparencia de los datos en el ecosistema de la fabricación ha ampliado la exposición del sector, convirtiéndolo, durante tres años consecutivos, en el sector más atacado por los ciberataques, con un 25,7%, de los cuales el ransomware representa el 71%. Dada la complejidad de las cadenas de suministro modernas, las interrupciones a lo largo del proceso de fabricación pueden tener efectos en cascada en todo el sistema, más allá del control de cualquier entidad individual. Las complejidades inherentes a la fabricación y las cadenas de suministro exigen un enfoque holístico para mitigar los riesgos cibernéticos. Es esencial implantar una cultura de ciberresiliencia en el ADN de la organización. Los ciberataques no solo pueden perturbar las empresas y las cadenas de suministro, contrarrestando los beneficios de la digitalización, sino también provocar daños financieros, de productividad, de reputación e incluso físicos. De hecho, casi el 57% de los ciberataques a OT en 2022 tuvieron consecuencias físicas en el mundo real, incluidas interrupciones de producción y carga, incendios que dañaron equipos y accidentes que pusieron en riesgo a los trabajadores del taller. El número de ciberataques sigue aumentando año tras año, y los ataques basados en la extorsión siguen siendo un tipo destacado. En 2023, los pagos por ransomware alcanzaron la cifra sin precedentes de 1.100 millones de dólares.  Solo en el transcurso de 2023, el número de ataques de ransomware a la infraestructura industrial se duplicó, lo que representa una amenaza significativa para la cadena de suministro y las operaciones de fabricación. El ransomware sigue siendo la principal preocupación de los fabricantes, dado que el 40 % de los encuestados en la encuesta Cyber Resilience in Manufacturing lo sitúan en primer lugar. Según una investigación reciente, los ataques de ransomware a organizaciones industriales aumentaron casi un 50 % en 2023, con un 71 % de los ataques dirigidos a fabricantes. Las organizaciones de fabricación presentan un objetivo atractivo para los ataques de ransomware, dada su baja tolerancia al tiempo de inactividad y su nivel relativamente bajo de madurez cibernética en comparación con otros sectores. Además, estas industrias a menudo no invierten lo suficiente en ciberresiliencia, principalmente debido a los costos sustanciales asociados con el rediseño de las líneas de fabricación y la actualización de los equipos. Entre los principales riesgos a los que se enfrentan las empresas manufactureras, el 34% de los encuestados identificaron la ingeniería social y el phishing como las segundas ciberamenazas más importantes. Le siguen de cerca los ataques a la cadena de suministro, que ocupan la tercera posición. Las amenazas internas y los ataques de denegación de servicio ocuparon los puestos más bajos en la jerarquía general de ciberamenazas para el conjunto de los encuestados. Sin embargo, los encuestados del sector de la salud y la sanidad clasificaron las amenazas internas como su segunda ciberamenaza más preocupante, junto con el ransomware, mientras que los ataques a la cadena de suministro ocuparon el primer puesto. Del mismo modo, los participantes del sector de alimentación y bebidas también destacaron las amenazas internas como una de las principales preocupaciones, seguidas de la ingeniería social y el ransomware. 

Para cosechar los beneficios de la digitalización, es crucial que el sector manufacturero esté preparado contra el creciente panorama de amenazas y se convierta en ciberresistente. Con instalaciones de producción repartidas por todo el mundo, cada entidad interconectada actúa como productor y consumidor, creando una red compleja vulnerable a las ciberamenazas. En consecuencia, un ciberataque contra una empresa puede desencadenar un efecto dominó en todo el ecosistema, con costosas consecuencias, y los riesgos resultantes son sistémicos, contagiosos y a menudo escapan a la comprensión o el control de una sola entidad. Según el Global Cybersecurity Outlook 2024, el 54% de las organizaciones carecen de visibilidad adecuada sobre las vulnerabilidades de su cadena de suministro. Además, el 41% de las organizaciones que sufrieron un impacto material de un ciberataque informaron que la brecha se originó a partir de un tercero. Los recientes incidentes cibernéticos ponen aún más de relieve el inmenso costo financiero y operativo de estos ataques. Por ejemplo, en febrero de 2024, un fabricante alemán de baterías sufrió un importante ciberataque que provocó la interrupción de la producción en cinco plantas durante más de dos semanas.  En 2023, un ataque de ransomware a un gran proveedor de la industria de semiconductores provocó un costo estimado de 250 millones de dólares en el siguiente trimestre.16 De forma similar, en 2022, un importante fabricante de automóviles se vio obligado a suspender la producción en 14 plantas durante un día, lo que provocó una pérdida de producción estimada de 13.000 coches, debido a un ciberataque contra un proveedor de componentes.La encuesta sobre Ciberresiliencia en la industria manufacturera (véase la Metodología) identifica la interrupción de la actividad empresarial como el principal impacto de los incidentes cibernéticos, con un 60% de los encuestados destacando su importancia. Estos resultados coinciden con los del Global Cybersecurity Outlook 2024, donde el 45% de los líderes expresaron que la interrupción operativa era su mayor preocupación en caso de un incidente cibernético. La preocupación por la seguridad ocupa el segundo lugar, con un 35% de los encuestados, seguida de los posibles daños a los activos de los clientes. Estos datos ponen de relieve el impacto profundo y de largo alcance de los ciberataques en el sector manufacturero y la necesidad urgente de medidas de ciberseguridad sólidas para salvaguardar su integridad.

 

El informe destaca la importancia crítica de la ciberseguridad en la industria manufacturera y propone estrategias clave para construir una cultura de ciberresiliencia en este sector. La fabricación es un objetivo atractivo para los ciberataques debido a su infraestructura crítica y la creciente interconexión de sistemas. La interrupción de la producción, el robo de propiedad intelectual y la manipulación de procesos son algunas de las amenazas que enfrentan las empresas manufactureras en la era digital. El informe identifica varios desafíos que obstaculizan la adopción de prácticas de ciberseguridad efectivas en la industria manufacturera, como la falta de conciencia sobre la ciberseguridad a nivel ejecutivo y la fragmentación de los estándares y regulaciones. Para abordar estos desafíos, se propone una serie de recomendaciones. En primer lugar, se destaca la importancia de la colaboración entre los sectores público y privado para compartir información sobre amenazas y mejores prácticas. También se enfatiza la necesidad de integrar la ciberseguridad en todas las etapas del ciclo de vida de los productos y procesos de fabricación, desde el diseño hasta la disposición final. Además, el informe aboga por la creación de una cultura organizacional que valore la ciberseguridad y fomente la colaboración entre equipos multidisciplinarios. Esto incluye la capacitación regular de empleados en prácticas de ciberseguridad y la asignación de responsabilidades claras para la gestión de riesgos cibernéticos. También se sugiere la implementación de tecnologías emergentes, como el análisis de datos y la inteligencia artificial, para fortalecer las defensas cibernéticas de las empresas manufactureras. En resumen, el informe destaca la importancia de adoptar un enfoque holístico hacia la ciberseguridad en la fabricación, que abarque tanto la tecnología como la cultura organizacional, para proteger eficazmente los activos críticos y garantizar la resiliencia ante las amenazas cibernéticas en evolución.

Para leer más ingrese a:

 
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Compartir artículo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Busca los documentos, noticias y tendencias más relevantes del sector eléctrico

Buscador de documentos
Buscador de noticias y tendencias

Banco de Información

Descripción del semáforo tecnológico

Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país

Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.

La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.

La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.

La tecnología se aplica a través de servicios  y se encuentran políticas y regulaciones transversales establecidas.

La tecnología se aplica de manera generalizada  y se tiene un despliegue masivo de esta.

Para acceder a todos los documentos publicados y descargarlos ingresa aquí