Las infraestructuras críticas y las plantas industriales constituyen la columna vertebral de nuestra sociedad, proporcionando servicios esenciales como energía, agua, productos farmacéuticos y químicos, por nombrar solo algunos. La interrupción de estas industrias puede tener repercusiones graves, por lo que es vital que aquellos que proporcionan estos servicios puedan mantener la actividad, incluso si se ven afectados por un ciberataque, una catástrofe natural, una intrusión física o un incidente o accidente interno.
El entorno normativo cambiante
Los gobiernos de todo el mundo están tomando medidas para garantizar que los activos críticos de las industrias involucradas sean resistentes a cualquier amenaza potencial, y un enfoque clave ha sido el usar una regulación que distribuye la responsabilidad a lo largo de toda la cadena de suministro. Esto significa que todas las partes interesadas, desde los usuarios finales hasta los proveedores, tienen un papel que desempeñar a la hora de garantizar la seguridad y la resiliencia de las infraestructuras críticas y las plantas industriales.
En Europa, regulaciones como la Directiva NIS2 centrada en la ciberseguridad y la Directiva de Resiliencia de Entidades Críticas (CER) de un carácter más amplio plantean exigencias significativas para una larga lista de industrias, que ahora se engloban bajo el amplio paraguas de «infraestructura crítica» o «entidades críticas e importantes», e incluyen toda su cadena de suministro.
Estas normativas exigen que las organizaciones implementen una serie de medidas de seguridad, incluidas evaluaciones periódicas de riesgos y planes de respuesta ante incidentes. Como mínimo, cualquier incumplimiento probablemente dará como resultado multas importantes. Los costes a largo plazo, potencialmente aún mayores, podrían incluir el impacto en la reputación de la marca, la pérdida de producción o daños abonados a terceros.
La mayoría de las grandes organizaciones son conscientes de los requisitos vinculados a estas regulaciones; sin embargo, es menos conocido que todas las organizaciones que operen en estos sectores, independientemente de su tamaño, tendrán que conocer las implicaciones y ajustar y mejorar sus operaciones empresariales en consecuencia.
Un reto específico para los sectores industriales y las infraestructuras críticas
La NIS2 y la CER se aplican a un gran número de sectores, donde cualquier incidente puede tener un impacto potencialmente devastador sobre la salud y la seguridad de los ciudadanos, la actividad económica, el medioambiente e incluso el funcionamiento de la sociedad en su conjunto.
Una serie de sectores, especialmente aquellos que manipulan materiales y sustancias peligrosas, ya tienen que cumplir la normativa existente. Entre ellas se incluye la Directiva Seveso, que cubre 12.000 plantas industriales en toda la UE y tiene como objetivo prevenir accidentes industriales graves y minimizar sus impactos perjudiciales sobre la salud humana y el medioambiente. Esta directiva, que recibe su nombre de una fuga de productos químicos que se produjo en la ciudad italiana de Seveso en 1976, ha alcanzado su tercera versión.
Sin embargo, las directivas NIS2 y CER elevan significativamente el listón normativo, y las industrias afectadas por estos nuevos reglamentos se están quedando sin tiempo para demostrar que están alineadas con los requisitos establecidos. La NIS2 debe reflejarse en las leyes de los Estados miembros de la UE antes de octubre de 2024 y la CER para mediados de 2025.
Definición de «resiliencia»
La propia Directiva CER define la resiliencia como «la capacidad de una entidad crítica para prevenir, proteger contra, responder a, resistir, mitigar, absorber, acomodar y recuperarse de un incidente».
En términos sencillos, esto significa que las entidades críticas deben demostrar que han adoptado medidas para minimizar cualquier posibilidad de que se produzca un accidente y demostrar que están preparadas con sistemas de contingencia en caso de que se produzca un incidente.
La resiliencia es aún más importante cuando se trata de algunas áreas específicas de plantas industriales e infraestructuras críticas, los llamados «activos críticos» en las regulaciones. Algunos ejemplos incluyen (sin limitación alguna) salas de control en plantas nucleares, almacenamiento de productos químicos, generadores de energía, reactores en plantas químicas y hornos en plantas de elaboración de acero. Las empresas que controlan estas instalaciones deben demostrar que han implementado las medidas necesarias para monitorizar y proteger todas estas áreas.
Soluciones tecnológicas para satisfacer los requisitos
El uso de dispositivos inteligentes conectados basados en tecnología de vídeo, por ejemplo, y los datos que estos pueden generar, proporcionan una solución atractiva en muchas áreas de las plantas industriales e infraestructuras críticas, proporcionando una valiosa capa de verificación visual y conciencia situacional, junto con el reconocimiento de objetos u otras analíticas. Los escenarios típicos incluyen:
- Seguridad: proteger perímetros y áreas específicas, disuadiendo el delito y ayudando a proteger a las personas y los activos.
- Supervisión de procesos y verificación visual: supervisión de la temperatura y las vibraciones, detección de anomalías, monitorización de la manipulación de sustancias peligrosas y verificación de que los procesos se siguen correctamente.
- Salud, seguridad y medioambiente (HSE): detección de fugas, supervisión de vulneraciones de seguridad, supervisión medioambiental, detección de humos e incendios, y garantía de que los empleados llevan el equipo de protección individual (EPI) correcto.
Las cámaras, que antes se utilizaban principalmente para la vigilancia de seguridad, ahora también se pueden considerar sensores para la supervisión de procesos y la protección de las personas.
No obstante, no todas las áreas de producción son fáciles de controlar. Debido a una atmósfera potencialmente combustible, causada por gas y/o polvo, es necesario tomar precauciones especiales cuando se trata de dispositivos eléctricos, ya que pueden emitir chispas o calor excesivo y causar una ignición.
En función de la probabilidad de una explosión, estas áreas se dividen en zonas, cada una de las cuales requiere una protección adecuada de los dispositivos electrónicos.
Tradicionalmente, las cámaras con protección para entornos explosivos se han diseñado con una carcasa de acero inoxidable para su uso en áreas de Zona/División 1 más peligrosas. Sin embargo, la Zona/División 2 menos peligrosa suele cubrir un área más grande. En este caso, una solución más rentable es utilizar cámaras con protección para entornos explosivos diseñadas específicamente para la Zona/División 2, lo que permite utilizar todo el potencial de la tecnología de cámaras modernas en áreas en las que el coste limitaba la implementación en el pasado.
Ser capaz de cubrir un espectro más amplio de situaciones de una manera rentable cambiará las reglas del juego en aras de una mayor resiliencia.
Garantizar la ciberseguridad
Aunque el uso de tecnologías y datos conectados tiene claras ventajas, es importante que los usuarios sean conscientes de los posibles riesgos de seguridad. Esta es la razón por la que la Directiva NIS2 de la UE tiene como objetivo garantizar que cualquier solución empleada por aquellos que controlan plantas industriales e infraestructuras críticas también sea adecuada desde el punto de vista de la ciberseguridad.
Debido a su importancia en nuestra vida cotidiana, las plantas industriales y las infraestructuras críticas son un objetivo obvio para los ciberataques, y es probable que sus vulnerabilidades sean analizadas. Por lo tanto, proteger los dispositivos conectados es una prioridad. Las empresas emplearán una serie de herramientas para mitigar los riesgos asociados a las ciberamenazas, incluidos el software y los dispositivos con funciones integradas relacionadas con la ciberseguridad, junto con las mejores prácticas para reforzar los dispositivos y abordar cualquier vulnerabilidad.
Trabajar en colaboración para crear resiliencia
El tiempo es un aspecto fundamental. A medida que se acercan los plazos establecidos para la NIS2 y la CER, además del Reglamento Seveso ya existente, las organizaciones deben adoptar medidas. Trabajar con socios de confianza proporcionará la base para crear resiliencia. Soluciones que equilibran la calidad, la fiabilidad y la rentabilidad, basadas en estándares abiertos que permitirán la escalabilidad y mejora futuras, satisfacen las necesidades actuales y futuras, independientemente de los nuevos requisitos normativos que puedan surgir.