

La Ciberseguridad industrial en la base del desarrollo INDUSTRIA 4.0
Todo es digital. Queremos datos. Pero no todos los datos son interesantes y necesarios. Necesitamos métodos para clasificar, priorizar y refinar los datos, conectar bits para que se conviertan en información significativa y luego compartir esa información con operadores y otros activos, asegurando que se tomen las decisiones y acciones comerciales, financieras y operativas más valiosas y eficientes.
Si bien toda la industria está apretando el paso para subirse al carro de la digitalización, toda esa conectividad, productividad y eficiencia no será efectiva si la cultura, los sistemas o las plantas no son intrínsecamente seguros. Antes de implementar una estrategia digital es importante comprender no sólo las implicaciones de esta estrategia para el negocio, sino también las implicaciones para la seguridad y la protección de las personas y los activos. En resumen, la integración de la ciberseguridad es la piedra angular de esta nueva era digital.
La perspectiva de conectar miles de millones de dispositivos a los sistemas de automatización industrial plantea dos preguntas realmente importantes.
En primer lugar ¿cómo mantenemos seguros los sistemas y la información? Agregar dispositivos significa aumentar la superficie de ataque, lo que aumenta a su vez los riesgos de ciberseguridad. En este asunto debe existir un equilibrio entre agregar inteligencia, proteger los dispositivos y proteger los datos. Recopilar datos sólo por el hecho de tenerlos puede resultar en la no creación de valor adicional. Más datos a su vez son causa potencial de confusión y aumento del riesgo del ciberataque.
En segundo lugar, ¿qué hacemos con los datos y la información? Necesitamos procesos para descubrir que significa el dato y que nos está diciendo. Hay muchas opciones para analizar los datos, incluyendo tendencias, informes, alarmas y otras funciones. Pero debe haber una razón para recopilar toda esta información. Es lo que se conoce como un enfoque de inteligencia operativa, que se basa en optimizar la automatización y el control, la administración remota y el mantenimiento predictivo para habilitar servicios, análisis avanzados y la generación de información procesable que impulse una toma de decisiones mejor y más eficiente.
La mejora operativa se logra proporcionando a los operadores datos inteligentes para que en base a estos datos puedan tomar mejores decisiones que optimicen la producción. Como analogía pensemos en que nos interesaría saber si conectáramos nuestra lavadora a Internet ¿querríamos saber cuándo el agua comienza a entrar, ¿cómo se dispensa el jabón, el tiempo del ciclo de secado, el tiempo del ciclo de enjuague, la duración del ciclo de centrifugado y los RPM? Probablemente no necesitemos esa información. Pero, ¿vale la pena ampliar el riesgo de un ciberataque? ¿y qué hacemos con los datos? En la práctica, todo lo que probablemente nos gustaría saber es cuándo se encendió la lavadora, cuándo está completa y si hay algún problema potencial. El hecho de que pueda conectar mi lavadora a Internet no significa que deba hacerlo, a menos que tenga sentido y a menos que pueda hacer algo valioso con la información.
La digitalización en general es un avance enorme y una oportunidad real para aumentar el ROI [retorno de la inversión] y el valor de los activos. Pero en lo que respecta a la automatización de los procesos, deberíamos utilizar las capacidades de la digitalización para llevar la inteligencia hasta la capa del dispositivo, lo que significa una sensórica e instrumentación mucho más inteligente que permita simplificar las arquitecturas de control reduciendo los tiempos, el coste y el esfuerzo para configurar los sistemas.
Distinguir los datos que realmente se necesitan de los datos disponibles es importante en el diseño del sistema. Se trata de aplicar conceptos de diseño tipo “lean” para la mejora de las operaciones, la eficiencia y la productividad. La digitalización fortalece nuestras capacidades para que podamos ayudar a los usuarios a extender la vida de sus activos, mejorando la toma de decisiones y creando sistemas de control de la empresa inteligente que impulsen un mejor control financiero para el negocio y un acercamiento más flexible al cliente. En todo caso y, antes que nada, el sistema debe ser intrínsecamente ciberseguro.
ISA desarrolló en el año 2007 el estándar ANSI/ISA-99 titulado “Security for Industrial Automation and Control Systems: Concepts, Terminology and Models”. Este documento ampliado y actualizado pasa a convertirse en el año 2010 y hasta la actualidad en el estándar internacional IEC-62443, el más reconocido y utilizado estándar para el aseguramiento de la ciberseguridad industrial en el mundo.
Desde principios del 2017 ISA imparte en España varios cursos con certificación oficial sobre la ciberseguridad industrial que proporcionan una visión detallada de cómo se pueden usar los estándares ISA/IEC-62443 para proteger los sistemas de control críticos.
Sobre ISA en España
ISA (International Society of Automation) es una asociación profesional sin ánimo de lucro que tiene como misión la difusión del conocimiento en el área de la instrumentación y el control de procesos industriales para la mejora de la gestión, la seguridad y la ciberseguridad de los mismos. Fundada en 1945, ISA desarrolla estándares, certifica y forma a los profesionales de la industria, publica libros y artículos técnicos, organiza conferencias y ofrece programas de desarrollo para sus 40.000 miembros en todo el mundo.
En España ISA cuenta con más de 350 socios y 55 empresas patrocinadoras del sector industrial que apoyan las más de 50 actividades que la asociación desarrolla a lo largo del año. Entre otras, reuniones técnicas, cursos de formación, libros, conferencias, grupos universitarios y grupos de trabajo.