CDMX, 04 de
septiembre del 2021.- La industria Automotriz se ha caracterizado a lo largo de
su historia por innovar en sus sistemas de producción. Desde Henry Ford en
1913, al introducir las líneas de producción y Taiichi Ohno al desarrollar el
Sistema de Producción Toyota (TPS) buscando la excelencia operativa. Hoy, uno
de los retos es llevar estas metodologías a una transformación digital de
manera ágil, y compartir la información de la operación OT en tiempo real
aumentando su productividad y flexibilidad, así como reducir retrabajos, inventarios
y defectos.
Para lograr
todo esto, tenemos al alcance ahora, tecnologías disruptivas que han dejado
obsoleta la manufactura del pasado, y comenzamos a conectar nuestras máquinas
para obtener datos, pero al hacerlo, debemos tomar en cuenta si la tecnología es
adecuada u obsoleta y qué vulnerabilidades puede tener, las amenazas de Ciberseguridad, que por
cierto, han ido en aumento en los últimos años, así como los peligros de las
máquinas que no son considerados en su totalidad para la seguridad de las
personas.
Estos riesgos pueden
afectar negativamente al negocio, a los empleados, a los ingresos, a los
activos, a la propiedad intelectual, a la calidad y a sus clientes. Todos estos
riesgos pueden empañar la marca y la reputación de su empresa, e incluso, erosionar
la confianza o la lealtad del cliente.
Para evitar
que estos riesgos lleguen a este punto, la Dirección de Operaciones debe encaminar
sus esfuerzos al manejo de riesgos y centrarse en controlar el origen de los
problemas: La infraestructura de automatización industrial, que por medio de
análisis de riesgo holísticos podemos ayudar a mejorar la gestión de riesgos
poniendo los esfuerzos en tres áreas clave: Ciberseguridad, manejo de activos y
seguridad de las personas trabajando cerca de los procesos de manufactura.
CIBERSEGURIDAD.
De acuerdo con el mundo actual, y a la
experiencia adquirida con respecto a las amenazas cibernéticas en el ámbito
industrial OT, tres pasos son importantes para tener éxito en la iniciativa:
1.-Conducir un análisis de riesgo para
comprender las vulnerabilidades y riesgos en nuestro sistema de control
industrial. Este análisis debe ser lo más holístico posible incluyendo todos
los niveles del modelo de Purdue.
2.-Adoptar un enfoque de seguridad de
defensa en profundidad para identificar técnicas de mitigación en varios
niveles de protección: Dispositivo, aplicación, computadoras, redes, físico y
políticas.
3.-Asesórese de proveedores confiables que
tengan los mismos objetivos que usted y se apoyen de estándares internacionales
para la realización de los análisis y remediación de los riesgos cibernéticos y
de seguridad. (IEC 62443 y complementarlo con estándares recientemente
liberados en 2019, como IEC TR 63069:2019, IEC TR 63074:2019, y ANSI B11.TR9-2019)
https://www.rockwellautomation.com/es-mx/capabilities/industrial-security.html
SEGURIDAD A LAS PERSONAS.
Si bien la
seguridad funcional en maquinaria, a menudo se consideraba como un costo y una
carga en las operaciones de la industria automotriz, realmente nos ayuda a
conseguir nuestros objetivos de reducción de riesgo hacia las personas.
En las décadas
anteriores, se pensaba en la seguridad funcional para evitar daños a las
personas y al medio ambiente; ahora, otra razón más para proteger nuestros
sistemas con un correcto diseño de seguridad es el de evitar un daño mayor hacia
las personas, medio ambiente y a los activos de la empresa originados por un
ataque de ciberseguridad. Véase IEC 62443-4-2, IEC 62443-3-3, en conjunto con
IEC TR 62074, Pensado en la protección de los niveles 0, 1 y 2 del modelo de
Purdue consistente con la defensa en profundidad al nivel de Dispositivos y
Aplicación.
Por lo tanto,
un análisis de riesgo holístico debe incluir ambas partes: Ciberseguridad y
Seguridad de los sistemas de control industrial. Actualmente algunas compañías
han empezado a realizar este tipo de análisis de riesgos en sus líneas de
producción apoyándose de proveedores calificados en los dos dominios: Safety
& Security.
CONOCE MÁS: https://www.rockwellautomation.com/es-mx/capabilities/industrial-safety-solutions.html
GESTIÓN DE ACTIVOS.
Un área
importante de los riesgos en nuestra infraestructura de control es el
desconocimiento de nuestra base instalada (marcas, dispositivos, firmwares,
vulnerabilidades, etc.) por lo que es altamente recomendado realizar un
análisis de base instalada de nuestra infraestructura completa de control.
Dispositivos, procesadores, redes, switches de Ethernet, HMI´s, servidores,
etc.
Hablando de un
análisis de riesgo holístico, este también debería incluir un análisis de la
base instalada para determinar el grado de vulnerabilidad que cada marca /
dispositivo tiene para poder tomar las consideraciones necesarias durante la etapa
de reducción de riesgos.
El riesgo es
mayor cuando se encuentran en nuestra infraestructura dispositivos obsoletos,
no diseñados contra aspectos de ciberseguridad, y dispositivos actuales
habilitados para IIoT (Industrial Internet of Things) que no fueron analizados con
anterioridad sus posibles efectos, riesgos y vulnerabilidades dentro de nuestro
sistema de control industrial.
Una vez que se
tiene un sistema de control de seguridad seguro y ciberseguro, se deberá
gestionar los activos y los riesgos mediante un programa de corporativo de
gestión de cambios para nunca caer en tener riesgos desconocidos que podrían
afectar nuestra productividad que deseamos alcanzar.
CONCLUSIÓN:
La industria
automotriz necesita alcanzar una productividad cada vez mayor, la industria 4.0
nos promete alcanzar esta productividad con menor tiempo de producción al
mercado, mejor aprovechamiento de los activos de la empresa, etc. Pero también,
tenemos que estar conscientes que el uso de última tecnología, la poca
experiencia de nuestro staff técnico en estas tecnologías de punta, y otros
factores, nos pueden meter en riesgos que bloqueen alcanzar estos objetivos de
productividad y financieros. Es por esta razón que la industria automotriz podría
ver la reducción de riesgos desde una manera holística mediante un concepto
mayor llamado Manejo de Riesgo Industrial (Enterprise Risk Management. Ver ISO
31000. Risk Management – Principles and guidelines), y no continuar viendo el
riesgo industrial desde puntos de vista individuales.
Bibliografía:
Risk Management:
Attacking Risk at Its Roots. Rockwell Automation White Paper. 14 Feb. 2020. https://literature.rockwellautomation.com/idc/groups/literature/documents/wp/safety-wp011_-en-e.pdf
ISA/IEC
62443. Series of Standards. Framework to address and
mitigate current and future security vulnerabilities in industrial automation
and control systems (IACSs).
IEC
62443-4-2. Technical Security Requirements for IACS Components.
IEC
62443-3-3. System Security Requirements and Security Levels.
ISO
31000:2018. Risk Management. – Principles and guidelines.
Recibe las noticias más
importantes de la industria en tu email
