La nota sostiene que los costos de la seguridad de la información en el sector de petróleo y gas deben revisarse y aumentarse al menos una vez al año.###

La nota sostiene que los costos de la seguridad de la información en el sector de petróleo y gas deben revisarse y aumentarse al menos una vez al año.

EDICIÓN 78 | 2019

La transformación digital de la industria del petróleo y el gas es imposible sin la mejora de los sistemas de ciberseguridad, porque el riesgo de penetración no autorizado y la fuga de datos debida al desarrollo de la tecnología crece dramáticamente.

ARPEL (Asociación de Sectores de Petróleo, Gas y Biocombustibles en América Latina y el Caribe) puso foco en cinco riesgos que son clave para la ciberseguridad en la región de América Latina. Estos riesgos incluyen: la brecha tecnológica, la geopolítica, los aspectos normativos, el riesgo de daño a la reputación, riesgos relacionados con el crimen organizado. Todos se describen en detalle en el “Libro Blanco” de la organización.

¿Por qué se presta tanta atención a los riesgos cibernéticos? Es simple, el costo por incidente es alto y además, las características específicas de la organización empresarial la hacen difícil de proteger. En las empresas industriales, el daño proveniente de amenazas que puedan conducir a un mal funcionamiento de corta duración de los equipos de minería o de transporte puede medirse en millones. Mientras que una filtración de documentación de un proyecto puede generar serios costos comerciales y de reputación.

Las compañías de petróleo y gas tienen procesos comerciales más complejos que otras industrias. Estas son principalmente empresas distribuidas geográficamente y con una infraestructura informática heterogénea.

Una red de sucursales de gran tamaño es siempre un gran dolor de cabeza para los especialistas en seguridad de la información. El número de incidentes en este tipo de empresas siempre es mayor. Y lo más importante, la motivación de los atacantes es muy alta: la industria tiene mucho dinero y valiosos datos confidenciales.

RIESGOS REALES

Las empresas de la industria a menudo dedican su tiempo y energía a la lucha contra las amenazas externas, y nadie se atrevería a negar la necesidad de protegerse de los ataques externos. Sin embargo, la principal amenaza para la industria no está afuera, sino en incidentes causados por fallas humanas (fuga de información, acceso no autorizado, irregularidades financieras, fraude, incompetencia). Además, el empleado se convierte en el punto de entrada para el pirata informático cuando, por ignorancia o negligencia, viola las reglas para garantizar la seguridad de la información.

El 78% de los participantes de la investigación de la compañía británica Ernst & Young cree que un empleado descuidado es la fuente más probable de ataques en la industria del petróleo y el gas, mientras que el 43% de las filtraciones más publicitadas se produjeron debido a la falta de conocimiento de los usuarios finales que fueron víctimas de phishing.

Si un ataque exitoso a un sistema de control de proceso automatizado interrumpe el proceso tecnológico durante varios segundos, esto puede llevar a su detención durante muchas horas o semanas, a la falla de equipos costosos e incluso a desastres tecnológicos. Pero además existe el mismo riesgo si se otorga acceso no autorizado a uno de los empleados. Este tendría incluso más posibilidades de hacer daño, pues sabe en esencia qué causaría el mayor perjuicio.

Por lo tanto, es necesario defenderse en todos los niveles. Y aunque no siempre sea posible resolver el problema relativo a los atacantes externos, cada compañía en la industria puede y debe controlar a sus propios empleados.

Además, se debe dar el mismo énfasis tanto al control como a la capacitación de los miembros de la plantilla. En su estudio, DNV GL, una sociedad internacional de certificación y clasificación, publicó una lista de vulnerabilidades clave en la ciberseguridad del sector de petróleo y gas, en la que el primer puesto lo ocupaba la falta de conciencia y capacitación entre los empleados sobre temas de seguridad de la información.

PROTECCIÓN INTEGRAL

Como norma, los departamentos responsables de la seguridad de la información y la gestión de riesgos tienen una directiva bien estructurada para difundir las prácticas dentro de la empresa, existen fondos para la compra de software costoso de protección de la información y es posible contratar al mejor personal. Pero al mismo tiempo, los problemas no se resuelven de una sola vez, sin que exista una práctica constante de trabajar con los empleados y actualizar los sistemas, desarrollando una cultura de seguridad cibernética de proveedores y contratistas.

El desarrollo de la seguridad de la información a menudo se lleva a cabo junto con la modernización de la infraestructura de tecnología informática. De hecho, el presupuesto para informática y el presupuesto de automatización de la organización se utilizan para estos fines. Para determinar un presupuesto para la seguridad cibernética, la regla de evaluación de riesgos está vigente: la cantidad de costos debe multiplicarse de acuerdo con la cantidad de activos que pueden ser robados o dañados.

Los costos de la seguridad de la información en el sector de petróleo y gas deben revisarse y aumentarse al menos una vez al año: los atacantes se están volviendo más sofisticados y están encontrando nuevas formas de robar datos y causar daños, especialmente si estos atacantes son sus propios empleados.

Garantizar la seguridad de la información en las compañías y en las empresas de la industria del petróleo y el gas es un proceso continuo, que debe abordarse de manera integral y desarrollar una estrategia de protección adecuada.

Cada nivel de protección debe estar cubierto por herramientas informáticas especializadas.

Existen mejores prácticas para las políticas de segmentación de red:

- Firewalls de nueva generación responsables de filtrar el tráfico; “Sandboxes” (Aislamiento de procesos) que ayudan a detectar amenazas desconocidas.
- Tecnologías para garantizar el funcionamiento seguro de los dispositivos del usuario final.
- Herramientas de escaneo completas para el almacenamiento ilegal de datos (clase de soluciones de eDiscovery).
- Un sistema para monitorear la transmisión de información a través de todos los canales de red y a dispositivos de almacenamiento externo (DLP).
-Sistemas de monitoreo de actividad de los empleados y finalmente, herramientas de investigación.

La gestión de todas estas decisiones debe ser centralizada, de lo contrario no se puede construir un sistema completo. Como muestra la práctica, la mayoría de los problemas para proporcionar seguridad de la información están asociados con un proceso insuficientemente flexible y transparente de gestión de la infraestructura de red.

 

Ricardo Martínez dice que un empleado descuidado es la fuente más probable de ataques en la industria del petróleo y el gas…

“La huella hídrica indica la cantidad de agua consumida y contaminada a lo largo de la cadena de suministro de un producto”