El cumplimiento de las normativas representa un desafío cada vez más difícil para los fabricantes, ya que los organismos gubernamentales y las organizaciones de estandarización incrementan los requisitos para la gestión y la seguridad de la tecnología operativa (OT).
Uno de los principales problemas es que los fabricantes rara vez actualizan sus sistemas de OT o de control industrial (ICS). Por ejemplo, los fabricantes no suelen actualizar casi nunca los ordenadores que operan en los niveles 2, 3 y 3.5 del Modelo Purdue. Estos dispositivos ejecutan software de supervisión y control específico del equipo en Windows o Linux, e interactúan con los objetos físicos o materiales en los niveles 0 y 1 de Purdue.
En entornos industriales, la estabilidad del entorno de fabricación es fundamental. La posibilidad de que una actualización interrumpa la interacción que los dispositivos de nivel 2 y 3 tienen con los dispositivos de nivel 0 y 1 representa un riesgo demasiado alto para la mayoría de los fabricantes. Una conexión interrumpida podría paralizar por completo un sistema de producción. También podría costarle al fabricante la certificación de cumplimiento normativo y acarrear multas y sanciones.
Incumplir las normativas puede tener graves consecuencias financieras, pero el cumplimiento normativo no se trata solo de satisfacer los requisitos gubernamentales. Ejecutar sistemas de OT que cumplan con las normativas también es una excelente forma de que los fabricantes garanticen que sus sistemas sean resilientes y puedan sobrevivir a las ciberamenazas que evolucionan y se multiplican constantemente.
Una visión general del panorama de cumplimiento normativo para los fabricantes
Entre las numerosas normativas de cumplimiento que abordan la ciberresiliencia en entornos de fabricación, estas son tres de las que más desafíos plantean a los fabricantes:
Directiva NIS 2
La Directiva NIS 2 (Network and Information Systems) es una normativa de la Unión Europea que tiene por objeto mejorar la seguridad de las redes y de los sistemas de información en toda la UE. Se basa en la Directiva NIS original e introduce requisitos más estrictos para un abanico más amplio de sectores, incluidos los de la energía, transporte, banca, infraestructuras de mercados financieros, sanidad, suministro de agua potable, infraestructura digital y administración pública.
En comparación con la primera versión de la Directiva NIS, la NIS 2 se aplica a un número mayor de entidades. La Directiva NIS original se centraba en sectores críticos, como los de la energía, transporte, recursos hídricos, banca, finanzas, sanidad e infraestructuras digitales. Por su parte, la NIS 2 se aplica a un abanico más amplio de organizaciones, incluidas las del sector del suministro de agua y alimentos, así como los servicios postales y de mensajería, y el sector de la infraestructura digital. La directiva exige llevar a cabo evaluaciones de riesgos, generación de informes sobre incidentes e implementación de medidas de seguridad y de protección de datos.
Esta normativa trae consigo consecuencias financieras para todas aquellas organizaciones que la incumplan, y establece graves sanciones para sus directivos. El incumplimiento de la NIS 2 puede acarrear sanciones importantes, que varían en función del Estado miembro, pero que pueden llegar a los 10 millones de euros o al 2 % de la facturación anual global, el importe que sea mayor. La NIS 2 también afecta a las personas físicas: los directivos pueden enfrentarse a responsabilidades financieras e incluso penales si no cumplen con la normativa.
ISA/IEC 62443
ISA/IEC 62443 es una serie de normas internacionales para la seguridad de los sistemas de automatización y control industrial (IACS). Ampliamente adoptado en el sector industrial, proporciona un marco para proteger dichos sistemas frente a posibles ciberamenazas.
Estas normas se centran en la seguridad de los sistemas de control industrial (ICS), incluidos los que se utilizan en sectores como el de la fabricación, la energía y las infraestructuras críticas, entre otros. ISA/IEC 62443 incluye además directrices para la evaluación de riesgos, directivas de seguridad y medidas técnicas para protegerse frente a las ciberamenazas.
Este conjunto de normativas, que es de carácter voluntario pero que casi la mayoría de organizaciones lo han adoptado, no establece sanciones económicas específicas en caso de incumplimiento. Sin embargo, no seguir la norma ISA/IEC 62443 puede tener consecuencias graves como las siguientes:
- Sanciones por incumplimiento de las normativas que hacen referencia a ISA/IEC 62443, incluida la Directiva NIS 2).
- Pérdida de acuerdos en los que las propuestas se descalifican si los fabricantes no pueden certificar que cumplen con las normativas.
- Incumplimiento de los contratos cuando el cumplimiento normativo sea una cláusula de los mismos.
- Mayor riesgo de demandas judiciales.
- Dificultad para cumplir los requisitos para poder contratar un ciberseguro.
Certificación del modelo de madurez de ciberseguridad
El programa Certificación del modelo de madurez de ciberseguridad (CMMC, por sus siglas en inglés) es un marco establecido por el Departamento de Defensa de Estados Unidos (DoD) para garantizar que los contratistas y subcontratistas de defensa adopten un nivel satisfactorio de ciberseguridad. El programa tiene como objetivo reforzar la ciberseguridad de la base industrial de defensa (DIB) y proteger la información confidencial no clasificada.
La CMMC garantiza que los contratistas y subcontratistas cumplan con normas de ciberseguridad específicas, que pueden resultar extremadamente complejas en función del tipo y el grado de confidencialidad de la información que gestionen. El marco está diseñado para mejorar progresivamente las medidas de ciberseguridad y reducir el riesgo de sufrir fugas de datos y accesos no autorizados.
El incumplimiento de los requisitos de la CMMC puede tener consecuencias muy negativas, como la pérdida de contratos o licitaciones gubernamentales y el daño a la reputación de un fabricante en un mercado en el que la seguridad y la fiabilidad son fundamentales.
El Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (RGPD) es una normativa exhaustiva en materia de privacidad y seguridad de los datos que la Unión Europea implementó en mayo de 2018. Se aplica a cualquier organización, independientemente de su ubicación, que trate datos personales de residentes en la UE. El RGPD establece requisitos estrictos para la recopilación, el tratamiento, el almacenamiento y la supresión de datos personales. Las organizaciones deben obtener un consentimiento claro para el tratamiento de datos personales, proporcionar información transparente sobre el uso de dichos datos y garantizar que se hayan implementado medidas de seguridad eficaces.
El incumplimiento del RGPD puede acarrear importantes sanciones económicas. Para las infracciones más graves, el reglamento establece multas de hasta 20 millones de euros o el 4 % de la facturación anual global de una empresa, el importe que sea mayor. Las infracciones menos graves pueden conllevar multas de hasta 10 millones de euros o el 2 % de los ingresos globales anuales.
Por qué los fabricantes tienen dificultades para cumplir con las normativas en materia de OT
Los sistemas de OT se utilizan para gestionar la producción de la forma más eficiente y con el menor tiempo de inactividad posible. A diferencia de los sistemas de TI, los sistemas de OT no necesitan actualizaciones constantes para seguir funcionando correctamente.
Muchos fabricantes utilizan sistemas de OT con Windows XP, un sistema operativo que tiene casi 25 años y cuyo soporte por parte de Microsoft finalizó en 2009. Microsoft no ha publicado parches de seguridad ni correcciones de errores para Windows XP desde hace más de una década y media.
En cuanto al cumplimiento, muchas normativas exigen funciones de protección de datos que los sistemas de OT antiguos no tienen, y la actualización de dichos sistemas implicaría una interrupción tan significativa que los fabricantes suelen descartarla por completo. La recuperación de datos y sistemas es un punto especialmente delicado. Muchas normativas estipulan que los entornos de OT dispongan de planes que permitan llevar a cabo una recuperación rápida, pero muchos sistemas industriales carecen de soluciones de copia de seguridad automatizadas.
Los fabricantes necesitan una mayor resiliencia operativa
La falta de funciones de copias de seguridad en los sistemas de OT puede acarrear sanciones económicas muy elevadas por incumplimiento, así como otras consecuencias, como la cancelación de contratos. También puede dar lugar a otros resultados negativos, como la pérdida de reputación y la falta de confianza entre los clientes y los partners de la cadena de suministro.
Un ciberataque que deje los sistemas inutilizados durante días o semanas podría arruinar financieramente a un fabricante o incluso llevarlo a la quiebra. Los fabricantes deben poder recuperar sus sistemas de forma inmediata tras sufrir un incidente con datos fiables y sistemas de producción operativos. Por lo tanto, el cumplimiento normativo no es solo una forma de evitar multas o sanciones. Se trata de un criterio de referencia que los fabricantes pueden utilizar para garantizar que sus entornos de OT sean seguros y puedan recuperarse rápidamente de cualquier interrupción, ya sea causada por un ciberataque, un fallo de hardware, un problema de software o un error humano.
En definitiva, los fabricantes que cumplen con las normativas tienen la certeza de que cuentan con la resiliencia operativa para recuperar sus sistemas rápidamente y continuar con la producción, independientemente de la causa que provoque el tiempo de inactividad.
Cómo ayuda Acronis Cyber Protect para Tecnología Operativa a las organizaciones de OT a cumplir con las normativas de ciberseguridad
Los fabricantes necesitan funciones de copias de seguridad y recuperación que cumplan con los requisitos de resiliencia, pero que no incurran en periodos de inactividad ni afecten negativamente a sus operaciones. Acronis Cyber Protect para Tecnología Operativa ofrece funciones que permiten a los fabricantes desarrollar resiliencia empresarial y cumplir con los requisitos de cumplimiento normativo:
- Una función de copias de seguridad automáticas se ajusta a los requisitos de resiliencia establecidos en las normativas NIS 2 e ISA/IEC 62443.
- Función de copias de seguridad forenses que conservan las pruebas digitales de los datos antes de sufrir un incidente.
- Ciberseguridad y copia de seguridad integradas que simplifican la generación de informes normativos y la preparación de auditorías.
Entre otras funciones esenciales para cumplir con la normativa en el sector de la fabricación, se incluyen las siguientes:
Universal Restore: Universal Restore permite restaurar sistemas operativos, aplicaciones y datos antiguos en un nuevo hardware con los controladores necesarios instalados. Los fabricantes pueden realizar copias de seguridad y recuperar sistemas en nuevo hardware de PC, incluso si el original se ejecutaba en un sistema muy antiguo.
One-Click Recovery: gracias a la función de recuperación en un solo clic, incluso el personal ajeno al equipo de TI, como podrían ser los ingenieros de OT de la planta de producción, que carecen de conocimientos avanzados en TI, pueden restaurar rápidamente los sistemas de OT pocos minutos después de que se produzca un incidente. Los fabricantes pueden reducir el tiempo de inactividad y volver a poner en marcha los sistemas de producción sin tener que esperar a que el departamento de TI centralizado envíe a un técnico.
Copia de seguridad sin tiempo de inactividad: Acronis Cyber Protect para Tecnología Operativa realiza copias de seguridad sin tener que desconectar ni reiniciar los sistemas de OT, de modo que los procesos de ciberresiliencia críticos no interrumpan la producción.
El cumplimiento normativo es mucho más que un simple requisito
Es poco probable que los organismos gubernamentales y de estandarización faciliten el cumplimiento de las normativas a los fabricantes. Si acaso, seguirán endureciendo los requisitos y aumentando las sanciones.
No obstante, el cumplimiento normativo no se limita a evitar multas y sanciones. Los fabricantes que cumplen con las normativas son conscientes de que necesitan un alto grado de resiliencia empresarial para sobrevivir a los incidentes sin que se produzcan interrupciones costosas. Acronis Cyber Protect para Tecnología Operativa ofrece funciones automatizadas de copias de seguridad y recuperación, fundamentales para que los fabricantes mantengan el equilibrio perfecto entre la resiliencia y el tiempo de actividad de sus empresas.
Acerca de Acronis
Acronis es una empresa suiza fundada en Singapur en 2003, con 15 oficinas en todo el mundo y empleados en más de 50 países. Acronis Cyber Protect Cloud está disponible en 26 idiomas y en 150 países, y más de 21,000 proveedores de servicios lo utilizan para brindar protección a más de 750,000 empresas.
