Las tecnologías utilizadas en el sector Manufacturing incluyen complejas redes globales, miles de aplicaciones de back office, diversos sistemas de control industrial (ICS, por sus siglas en inglés) que controlan los procesos manufactureros de alto riesgo, y una gran variedad de tecnologías embebidas directamente en los productos.
Dado el alto grado de conectividad del entorno en el que operan las empresas del sector de Manufacturing, y el rápido aumento de la tecnología utilizada en los procesos de producción, el ciber-riesgo debe ser una de las prioridades para la industria. Por este motivo, Deloitte junto a MAPI, ha desarrollado el informe Cyber risk in advanced manufacturing, que pretende guiar a los líderes del sector sobre de cómo proteger sus compañías de posibles ciber amenazas.
En contraste, solo en el 53% de las compañías, la protección de la Propiedad Intelectual está en manos de los CISOs (20%) o CIOs (33%) y no son pocas las compañías que no disponen de un plan de protección de datos o uno de prevención de pérdida implementado. Además, a la complejidad que la protección de este activo implica en determinados países (China, india, Rusia y México, por poner algunos ejemplos), se une la dificultad añadida de hacerlo en un entorno globalizado, en el que las compañías tienen sedes en diferentes territorios.
Otro de los riesgos característicos del sector del manufacturing es el ataque y exploit de las plantas de ensamblaje, así como de los controles industriales. Con el agravante de que estos riesgos pueden poner en peligro la seguridad de los trabajadores, o incluso de los clientes finales. La vulneración de la seguridad en alguna de las máquinas implicadas en la producción puede tener como resultado no sólo la paralización de las operaciones o el cambio en las condiciones de trabajo de los trabajadores (alteración de la temperatura ambiental o de las máquinas), sino también la alteración de las especificaciones técnicas o una rebaja en los estándares de las pruebas de calidad, de forma que los productos finales pueden suponer un peligro para los consumidores.
Según datos del informe, el 42% de los directivos dedicados al área de riesgos tecnológicos, afirman que obtener fondos para iniciativas relacionadas la ciberseguridad sigue siendo un reto. Debido a la creciente intensidad y sofisticación de los ciberataques, casi la mitad de los ejecutivos encuestados (48%) afirman tener falta de confianza en la protección de su información frente amenazas externas.
¿Qué deben hacer las empresas manufactureras al respecto?
Los fabricantes deben establecer un comité directivo, con representación de la Junta, dedicado a temas relacionados con ciber-riesgo y revisar el marco de gestión de incidentes cibernéticos.
La falta de conocimientos en materia de ciberseguridad representa un importante reto para las empresas manufactureras. Los ejecutivos de las empresas manufactureras encuestados, afirman que un 40% de las amenazas más relevantes para sus organizaciones son directamente atribuibles a la actividad de los empleados internos.
¿Qué deben hacer las empresas manufactureras al respecto?
- Establecer equipos multidisciplinares que incluya personal especializado de IT, finanzas, riesgos e investigación y desarrollo.
- Llevar a cabo pruebas de phishing internas como herramienta de evaluación y concienciación para ayudar a los empleados a identificar mejor este tipo de ataques.
- Implementar programas de aprendizaje de ciberataques.
El robo de la propiedad intelectual es considerado como el segundo riesgo más preocupante para la industria de Manufacturing. El 35% de los ejecutivos encuestados considera que los robos de este activo fueron el objetivo principal de los ciberataques en los últimos 12 meses, seguido de robos de información financiera.
¿Qué deben hacer las empresas manufactureras al respecto?
- Definir una estrategia bien definida para proteger la información confidencial de la organización, que cuente con el apoyo de la dirección, con la inversión de tiempo y recursos necesarias, y que genere conocimientos para tomar decisiones basadas en la tolerancia riesgo.
Casi un tercio de las empresas manufactureras no han llevado a cabo ninguna evaluación centrada en los sistemas de control industrial (ICS). Dos terceras partes de las empresas que han realizado una evaluación del riesgo cibernético de los ICS utilizaron recursos internos, lo que podría introducir un sesgo organizacional en el proceso de evaluación.
¿Qué deben hacer las empresas manufactureras al respecto?
- Crear un inventario con todos los dispositivos conectados a la red.
- Organizar un equipo de seguridad multifuncional que incluya representantes de la seguridad de la información global, ingeniería y operaciones.
Cerca del 50% de los fabricantes tienen aplicaciones móviles en su ecosistema de productos conectados, y el 76% de las empresas usa el WiFi para permitir el flujo de información entre los mencionados productos conectados. Más de la mitad de las empresas manufactureras afirman que sus productos conectados son capaces de almacenar, y/o trasmitir información confidencial.
¿Qué deben hacer las empresas manufactureras al respecto?
- Determinar si el monitoreo de amenazas cibernéticas y los simulacros de juego de guerra / ejercicios de resiliencia son lo suficientemente eficientes como para cubrir todos los posibles riesgos cibernéticos.
El entorno empresarial actual está sujeto a las crecientes expectativas digitales de clientes y consumidores, y a los nuevos requisitos de seguridad cibernética que son aplicado por los proveedores. Muchos fabricantes están empezando a evaluar los riesgos cibernéticos relacionados con terceros, tales como: subcontratistas, cadena de suministro y otros socios comerciales importantes.
¿Qué deben hacer las empresas manufactureras al respecto?
- Establecer los requisitos de ciberseguridad con los que deben contar las terceras partes que mantienen relaciones clave con la organización.
- Incrementar el monitoreo de las terceras partes puede reducir significativamente el riesgo global de la organización.