SEGURILATAM 007

64 Primer cuatrimestre 2018 artículo técnico Ciberseguridad ción (CISO, por sus siglas en inglés)– a quien se designe. En cambio, si no existe tal sistema de gestión, las posibilidades se amplían, pasando desde designar al responsa- ble de seguridad corporativo (CSO, del inglés Chief Security Officer) hasta es- tablecer dicha función sobre el res- ponsable de tecnologías de operación (TO) o, incluso, el de tecnologías de in- formación (TI). Ninguna organización que contem- ple, como parte de su hoja de ruta, la transformación digital puede permi- tirse obviar la gestión del riesgo tecno- lógico. Un excelente punto de partida será nombrar un responsable de CI. Referencias: (1). “Hoy el cambio tecnológico se com- porta como un tsunami. Ves peque- ñas señales en la costa y, de repente, la ola arrasa". Klaus Schwab, fundador y presidente ejecutivo del Foro Eco- nómico Mundial. (2). iTTi. El Manifiesto iTTi sobre el Go- bierno Corporativo de las Tecnologías de la Información . 2014. (3). Thomas Kautzsch. Become digitally lean. Manufacturing is leading a Digi- tal Industrial Revolution . Oliver Wyman. Ten Digital Ideas from Oliver Wyman . Idea número 4. Junio de 2016. (4). Biblioteca del CCI. Recopilación de guías e informes publicados por el Centro de Ciberseguridad Industrial. (5). Estudio de Honeywell. (6). Geinfor. (7). Centro de Ciberseguridad Industrial. Guía para la Construcción de un SGCI . veles de la jerarquía organizativa, ha- ciéndose necesaria la existencia de una figura que coordine, gestione y comu- nique los riesgos a un comité de seguri- dad formado por los principales intere- sados en el negocio. Comité que habrá de ser establecido por la dirección den- tro, por ejemplo, del marco de un sis- tema de gestión de la CI (SGCI). El origen del responsable de coordi- nar la gestión de los riesgos tecnoló- gicos que afecten al proceso industrial dependerá de la organización concreta, de su estructura e incluso de las regula- ciones que aquella deba cumplir: Por ejemplo, si se está planteando abordar este riesgo dentro de un sis- tema de gestión y existe ya un sis- tema de gestión de seguridad de la información, podría ser al responsa- ble de este –presumiblemente, el res- ponsable de seguridad de la informa- mismas. Según el estudio Putting Indus- trial Cyber Security at the top of the CEO agenda (5) , el 45% de las organizaciones encuestadas no cuenta con la figura de un responsable de CI. Además, este es- tudio, en el que participaron 130 direc- tivos de compañías industriales, refleja que más de la mitad de los que traba- jan en una instalación industrial han ex- perimentado, al menos, una brecha de ciberseguridad. Por su parte, los cerca de 200 profe- sionales encuestados en los estudios realizados por el CCI en Latinoamérica declararon que la responsabilidad so- bre la CI no está concentrada en una única unidad organizativa, sino distri- buida principalmente entre las áreas de control de procesos, seguridad de la in- formación y seguridad física. Sólo en un 17% de las organizaciones existe un res- ponsable de liderar la CI. La tecnología de automatización y control industrial –tecnología de opera- ción–, lejos de desaparecer, aumentará en el futuro cercano. Se prevé que, en los próximos cinco años, el 70% de las organizaciones industriales abrazará, en mayor o menor medida, el paradigma de la Industria 4.0 (6) . Esta creciente de- pendencia tecnológica exigirá –ya lo hace– a las organizaciones industriales, y a sus proveedores, que las responsa- bilidades en materia de CI estén clara- mente definidas en cada uno de los ni-