^{Álvaro Gómez del Pino
Ingeniero industrial especializado en automática y electrónica y Manager de Digital Solutions & Infrastructure en Tetra Pak Iberia}

Los desafíos relacionados con los ciberataques son una preocupación creciente que afecta a todo tipo de industria. De hecho, solo en España el 94% de las empresas reconoce haber sufrido algún incidente en materia de ciberseguridad en el último año¹.

Y es que, además de los costes económicos que supone la recuperación de los sistemas y datos, un ciberataque implica otras consecuencias graves para la organización afectada como el impacto sobre la reputación y confianza de los clientes; un potencial impacto legal sobre la protección de datos y la pérdida de productividad y financiera para la organización e incluso la paralización de la actividad durante días o semanas. Según estimaciones, una hora de inactividad en la producción, en el caso de una fábrica de tamaño pequeño de alimentos y bebidas, cuesta 23.000€². En plantas de producción de mayor capacidad, las pérdidas pueden ser mucho mayores.

En este contexto de aumento de ataques informáticos cada vez más sofisticados y de mayor impacto, la Unión Europea ha actualizado la Directiva de las Redes y Sistemas de Información (NIS2) cuyo objetivo es proteger las infraestructuras críticas y establecer un marco regulatorio más sólido, seguro y resiliente en materia de ciberseguridad armonizado en toda la UE.

Precisamente, una de las principales novedades de la NIS2 es la ampliación del ámbito de aplicación a más sectores, entre ellos la producción, transformación y distribución de alimentos.

¿Cómo pueden los productores de alimentos y bebidas proteger su sistema y su negocio?

En este nuevo escenario, además de su obligatoriedad europea a partir de octubre de 2024, los productores de alimentos han de tomar medidas preventivas y soluciones de ciberseguridad para blindarse ante ciberataques y proteger sus organizaciones. A continuación, algunas recomendaciones prácticas para la puesta a punto de una planta de producción de alimentos.

1) Integrar una mentalidad ciber consciente en toda la organización. Entender la importancia de la ciberseguridad implica priorizar, crear y promover una cultura resistente que esté en alerta y responda a las amenazas potenciales y reales. En este sentido, la ciberseguridad requiere que las personas, los procesos y la tecnología se alineen para proteger las redes y las organizaciones de los ciberataques. Por ello, es fundamental educar a los empleados sobre la naturaleza y el lenguaje de los ciberataques y crear una organización interna capaz de proteger los activos críticos, detectar las intrusiones y responder a los incidentes.

2) Invertir en ciberseguridad. Aunque la concienciación y la preparación interna es fundamental, es poco probable que basten por sí solas para proteger tus redes IT (tecnología de la información) y OT (tecnología operativa) de amenazas cada vez más sofisticadas. En este sentido, invertir en ciberseguridad es un movimiento estratégico para garantizar la protección de tu planta y tu marca de forma más eficiente de lo que podría hacerse de forma independiente y aislada.

3) Evaluación dinámica de la madurez de tu sistema IT/OT. Para hacer frente a riesgos cibernéticos en constante evolución, es imprescindible disponer de una infraestructura IT/OT segura que garantice la estabilidad, resistencia y la flexibilidad en el entorno de la fábrica. En la misma línea, es fundamental evaluar la madurez del sistema actual y futuro de tu planta partiendo de los modelos de mejores prácticas del mercado y de las capacidades de la industria 4.0. Este ejercicio ha de ser un viaje dinámico que implica una evaluación continua de las principales amenazas, los puntos débiles de software y redes, así como el estado actual de los servidores. En este punto, optar por soluciones de automatización que integren, optimicen y conecten todas las operaciones de la planta puede ser una decisión óptima puesto que garantizan de forma simultánea la ciberseguridad y el rendimiento de producción de la planta en el presente y en el futuro.

4) Establecer políticas y mecanismo de gobernanza eficaces. Una ciberseguridad robusta, además de tecnología avanzada, exige un dispositivo de gobierno durante un incidente. Esto implica que cada uno de tus empleados, desde la alta dirección hasta el personal de IT y OT, comprenda tu infraestructura de ciberseguridad, integre su responsabilidad y sepa reaccionar adecuadamente. Por otra parte, para garantizar una respuesta eficaz a los incidentes, cualquier estructura de gobierno debe incluir también a terceros, como tu socio estratégico y otros socios o los servicios de respuesta a incidentes. También es importante arraigar las políticas, las normas y los procesos en la organización para que el enfoque no cambie a medida que los empleados entran y salen. Por último, es necesario adoptar una cultura flexible de mejora continua. Como las normas de seguridad, los mecanismos de información y las métricas están en constante evolución, tu modelo de gobierno debe hacer lo mismo para mantener un alto nivel de resiliencia y preparación.

^Referencias

<sup>1. El estado de la ciberseguridad en España. Deloitte 2023.
2. Datos proporcionados por un productor de refrescos, cliente de Tetra Pak en Europa.</sup>