La soberanía supera al precio: la nueva señal de adjudicación
Angelika Beierlein
8 Min. de lectura El gobierno federal quiere que SAP y Deutsche Telekom construyan su nube de administración ...
Leer artículo
La ciberresiliencia en las empresas industriales alemanas ha aumentado, pero según un estudio de la VDMA no hay motivos para bajar la guardia. La amenaza, por ejemplo a través de la ingeniería social y el phishing, sigue creciendo sin parar.
El número de ataques contra empresas alemanas del sector de maquinaria e instalaciones industriales ha aumentado significativamente desde el último estudio de la VDMA de 2019. Sin embargo, solo el 55 por ciento de las empresas de este sector industrial siguen notificando efectos negativos. Esto supone una caída masiva de casi el 70 por ciento. Muchas de las 75 empresas industriales encuestadas con más de 250 empleados han hecho evidentemente sus deberes y han desarrollado conceptos propios de ciberseguridad.
Este es uno de los resultados del estudio «Industrial Security – 2025«, elaborado por la división de Software y Digitalización de la Asociación Alemana de Fabricantes de Maquinaria e Instalaciones (VDMA) junto con el Fraunhofer AISEC. El 45 por ciento de las empresas encuestadas cuenta con más de 1.000 empleados, el 27 por ciento entre 251 y 1.000 trabajadores. Casi todas (96 por ciento) disponen de fabricación discreta propia.
Las pymes aún tienen mucho margen de mejora
El estudio muestra una clara tendencia hacia una mayor ciberresiliencia en el sector de maquinaria e instalaciones industriales. Sin embargo, señala la necesidad de seguir actuando, especialmente en el caso de las empresas más pequeñas. «Por supuesto, el resultado es un avance, pero no es motivo para bajar la guardia. Sobre todo las pequeñas y medianas empresas necesitan un apoyo específico», subraya Maximilian Moser, experto en seguridad de VDMA Software und Digitalisierung.
Tal como cita IT-Business del estudio, la mayoría de las empresas industriales, independientemente de su tamaño, califican actualmente el nivel de amenaza como «moderado». El más elevado se sitúa en 3,4 (en una escala de 0 a 5) en el ámbito de la ingeniería social y el phishing, seguido de «errores humanos y sabotaje» (3,2) y «vulnerabilidades de software y hardware en la cadena de suministro» (3,1).
Esto significa que el factor humano como punto débil cobra aún mayor protagonismo. En consecuencia, la VDMA recomienda formaciones adaptadas especialmente también para el entorno productivo en las áreas de concienciación y políticas de seguridad, con el fin de «informar a los empleados sobre las amenazas y sensibilizarlos hacia el comportamiento adecuado».
Dos tercios de las empresas ya están afectados por normativas más estrictas como el Reglamento de Ciberresiliencia (CRA) y NIS2 para reforzar la ciberseguridad en la UE. Sin embargo, especialmente las pequeñas y medianas empresas (pymes) conocen poco estos requisitos y están escasamente preparadas para ellos. El 30 por ciento de las pymes ni siquiera sabe si está sujeto a dichas normativas. Los estándares de seguridad informática más conocidos en Alemania son el BSI Grundschutz y las normas ISO.
Más responsabilidad propia – menos externalización
La mayoría de las empresas industriales toman ahora las riendas de su seguridad informática y operacional. El 88 por ciento de las empresas encuestadas apuesta por personal propio, y solo el 12 por ciento recurre a proveedores de servicios externos. La VDMA aprecia avances especialmente en el entorno productivo: el 61 por ciento de las empresas encuestadas ya cuenta hoy con una gestión de riesgos propia, frente al 41 por ciento de 2019. 9 de cada 10 encuestados (89 por ciento) creen que el número de incidentes de ciberseguridad se mantendrá igual o aumentará en los próximos años.
Sin embargo, solo el 45 por ciento de los participantes en la encuesta habla de efectos negativos para su propia empresa. En 2019 eran significativamente más, un 72 por ciento. No obstante, no se ha registrado la zona gris de los incidentes no notificados por miedo a sufrir daños reputacionales.
Tanto las medidas de seguridad organizativas como las técnicas en el foco
Entre el top 5 de las medidas de seguridad organizativas se encuentran las normas para el acceso remoto de mantenimiento para empleados propios y externos, con un 88 y un 84 por ciento respectivamente. A esto se suman las normas para el uso de dispositivos de almacenamiento móviles y para los derechos de acceso a máquinas e instalaciones, con un 69 y un 27 por ciento. Estas últimas incluyen también normas para el uso de dispositivos externos, como PCs o smartphones, por parte de técnicos de servicio externos.
Entre las medidas implementadas técnicamente se encuentran, con un 68 por ciento cada una, la separación entre redes de oficina y de producción, así como la supervisión de las correspondientes pasarelas de red, seguidas de la supervisión de las pasarelas de red entre sucursales entre sí y con el centro de control, con un 67 por ciento. El aislamiento (air gap) de máquinas e instalaciones aún no desempeña un papel tan destacado, con un 48 por ciento, aunque está previsto en un 20 por ciento adicional de las empresas. El 36 por ciento de las empresas ha introducido la transparencia en las comunicaciones como medida, mientras que otro 27 por ciento lo tiene en planificación. En cuanto a la actualización de aplicaciones heredadas (protocolos, interfaces y tecnologías), la brecha es aún mayor: el 34 por ciento ya lo tiene en marcha y el 36 por ciento en planificación.
Todos estos datos muestran que la industria alemana ya ha recorrido un largo camino hacia una mayor ciberresiliencia, aunque no debe reducir sus esfuerzos ante un panorama de amenazas en constante crecimiento. Más bien, es necesario desarrollar de forma coherente el nivel de seguridad alcanzado e integrar más activamente los sectores menos digitalizados y las empresas más pequeñas. Solo mediante inversiones continuas en tecnología, procesos y, sobre todo, en la formación del personal propio, se puede reforzar de manera sostenible la protección frente a ciberataques cada vez más sofisticados.
Fuente imagen de portada: Adobe Stock / ProstoSvet
Seguir leyendo
- Un estudio revela la falta de prioridad en seguridad OT: por qué la industria alemana debe actuar
- El uso de IA en la industria: se está formando la próxima ola de productividad
- Una amplia alianza de datos para el uso exitoso de la IA en la industria alemana
Más sobre el tema: Más artículos en SecurityToday
Preguntas frecuentes
¿Qué es importante en el caso de las pymes, donde aún queda mucho por hacer?
El estudio muestra una clara tendencia hacia una mayor ciberresiliencia en el sector de la maquinaria e instalaciones. Sin embargo, señala la necesidad de seguir actuando, especialmente en las empresas más pequeñas. «Por supuesto, el resultado es un avance, pero aún no hay motivo para bajar la guardia. Sobre todo las empresas pequeñas y con
¿Qué es importante en cuanto a más responsabilidad propia y menos externalización?
La mayoría de las empresas industriales ya gestiona por sí misma su seguridad informática y OT. El 88 por ciento de las empresas encuestadas confía en su propio personal, y solo el 12 por ciento en proveedores de servicios externos.
¿Qué es importante cuando tanto las medidas de seguridad organizativas como las técnicas están en el foco?
Entre el top 5 de las medidas de seguridad organizativas se encuentran las normas para el acceso remoto de mantenimiento para empleados propios y externos, con un 88 y un 84 por ciento respectivamente. A esto se suman las normas para el uso de dispositivos de almacenamiento móviles y para los derechos de acceso a máquinas e instalaciones, con un 69 y un 27 por ciento. Estas últimas inclu