¿Quién carga realmente con la culpa? La silenciosa transferencia del riesgo cibernético en la seguridad industrial

Subtítulo: Cuando las defensas digitales se convierten en una cortina de humo para la responsabilidad del riesgo, ¿quién termina asumiendo las consecuencias?

Es la pregunta que nadie quiere responder, pero que todos en infraestructuras críticas deberían hacerse: ¿Cuándo es “suficientemente seguro” realmente suficiente - y quién tiene la autoridad para decidirlo? En el mundo de la ciberseguridad industrial, el concepto de Niveles de Seguridad se ha convertido tanto en un salvavidas como en una carga, desplazando silenciosamente la aceptación del riesgo de los responsables de la toma de decisiones hacia los equipos técnicos, a menudo sin que nadie lo note. A medida que las amenazas cibernéticas ponen en peligro no solo los datos sino también la seguridad física, las apuestas nunca han sido tan altas - ni tan confusas.

Datos Rápidos

Los Niveles de Seguridad, definidos por estándares como IEC 62443, estructuran las defensas cibernéticas pero no declaran explícitamente el riesgo como “aceptable”.
Alcanzar un Nivel de Seguridad suele confundirse con completar el proceso de gestión de riesgos - cuando en realidad, los riesgos residuales permanecen sin discutirse.
En industrias de alto riesgo, los incidentes cibernéticos pueden desencadenar escenarios que conducen a daños reales, exigiendo una aceptación explícita del riesgo por parte de las autoridades responsables.
Muchas organizaciones carecen de la capacidad para realizar análisis de escenarios exhaustivos, lo que convierte a los Niveles de Seguridad en un punto final tentador - pero insuficiente.
La verdadera autoridad para aceptar riesgos recae en la gerencia de la planta, no en los ingenieros ni en los especialistas en seguridad, sin importar si la amenaza es digital o física.

La ilusión de lo “suficientemente bueno”

Los Niveles de Seguridad fueron diseñados como un enfoque pragmático para segmentar y reforzar los extensos sistemas industriales. Proporcionan un conjunto de controles que, al implementarse, resisten clases de atacantes cibernéticos. Pero aquí está el problema: nunca cuantifican qué sucede si esas defensas fallan. En cambio, dejan la probabilidad y la consecuencia de una brecha - conocido como riesgo residual - acechando en las sombras.

Esta omisión suele ser involuntaria. Una vez alcanzado un Nivel de Seguridad, las organizaciones asumen silenciosamente que el riesgo debe ser aceptable. El trabajo técnico está hecho, así que se marca la casilla de seguridad. Sin embargo, en realidad, la pregunta más crítica sigue sin respuesta: ¿Es el riesgo, después de todos los controles, realmente tolerable?

Cuando lo cibernético se convierte en un detonante de seguridad

No todos los incidentes cibernéticos son iguales. Algunos interrumpen el negocio, otros pueden degradar la integridad operativa - alterando la lógica de control, suprimiendo alarmas o volviendo poco fiables los datos de los sensores. En sectores de alto riesgo como la petroquímica o el petróleo y gas, estas manipulaciones pueden escalar a escenarios potencialmente mortales. Aquí, el umbral para la aceptación del riesgo lo establecen los estándares de seguridad de procesos, no las listas de verificación de TI.

Los Niveles de Seguridad no pueden responder: ¿Cómo podría propagarse un evento cibernético? ¿Qué salvaguardas intervienen? ¿Son las protecciones independientes y lo suficientemente robustas? Ese es el ámbito del análisis basado en escenarios, una disciplina que con demasiada frecuencia se deja de lado por falta de recursos o por silos organizacionales.

La brecha de responsabilidad

Entonces, ¿quién puede aprobar el “riesgo aceptable”? Ni los ingenieros que dibujan diagramas de red, ni los expertos en seguridad que modelan cadenas de fallos. La verdadera autoridad - legal y éticamente - recae en la gerencia de la planta, quienes poseen el activo y responderán ante reguladores o tribunales si ocurre un desastre. El origen digital de la amenaza no cambia esto; simplemente amplía la lista de escenarios que requieren consideración explícita.

El peligro es claro: cuando la aceptación del riesgo se traslada a los detalles técnicos, se vuelve invisible - y queda sin dueño. Esta transferencia silenciosa erosiona la responsabilidad, socavando tanto la seguridad como la confianza.

Conclusión: La decisión que no podemos delegar

Los Niveles de Seguridad son herramientas indispensables, pero no pueden - y no deben - servir como pase libre para riesgos no resueltos. A medida que las amenazas cibernéticas inician cada vez más escenarios de seguridad de procesos, las organizaciones enfrentan una elección clara: integrar los riesgos de origen cibernético en su gobernanza formal de seguridad, o permitir que decisiones críticas se tomen por defecto, ocultas tras jerga técnica. Al final, la verdadera prueba no es cuán seguros están tus sistemas, sino quién está dispuesto a poner su nombre en juego cuando lo “suficientemente seguro” se pone a prueba bajo la luz del día.

WIKICROOK

Nivel de Seguridad: El Nivel de Seguridad define el conjunto de controles de ciberseguridad requeridos para defenderse de amenazas de una sofisticación particular, asegurando la protección adecuada de los activos.
IEC 62443: IEC 62443 es un estándar internacional para la protección de sistemas de automatización y control industrial, que proporciona directrices para la gestión de riesgos y la protección cibernética.
Riesgo Residual: El riesgo residual es el riesgo que permanece después de aplicar todos los controles de seguridad, destacando la exposición inevitable en la gestión de riesgos de ciberseguridad.
Seguridad de Procesos: La seguridad de procesos previene fallos catastróficos en entornos industriales, protegiendo a las personas, los bienes y el medio ambiente mediante la identificación de peligros y la gestión de riesgos.
ALARP (Tan Bajo Como Sea Razonablemente Práctico): ALARP es un principio de gestión de riesgos que exige que los riesgos se reduzcan al nivel más bajo posible, equilibrando costo, esfuerzo y beneficio en ciberseguridad.