Consejos HC

Así es el documento donde Porsche se pone muy seria con la ciberseguridad

Seguro que, a día de hoy, buena parte de las marcas se toman muy en serio la ciberseguridad. Pero Porsche, hace ya más de dos años, publicó un documento sorprendente en relación a esta materia. ¿Sigue vigente a día de hoy?

Foto de unos Porsche delante de un edificio
Imagen generada por la IA de Bing

Damos por hecho que los fabricantes han comenzado a interiorizar lo que es la ciberseguridad dentro de su día a día: en sus oficinas, en sus fábricas, en sus modelos… Respecto a esto último, el hecho de que existan regulaciones tan importantes como la UNECE/R155, también ha hecho que todas la marcas se tomen muy en serio que, al igual que materias como la seguridad en caso de accidente o el cuidado del medioambiente son ya aspectos capitales en el sector del automóvil, garantizar la ciberseguridad se torna como algo fundamental en los modelos actuales. No hay más que recordar la expresión de los expertos del Área Técnica de EUROYBCAR, refiriéndose a los vehículos de hoy en día como ‘ordenadores con ruedas’.

Sin embargo, es cierto que las marcas no suelen hacer públicos los progresos que están haciendo en materia de ciberseguridad relacionada con sus vehículos; algo que no deja de llamar la atención, habida cuenta de que, según la mencionada normativa R155, todos los vehículos nuevos que se vendan y fabriquen en regiones como la Unión Europea, Japón o Corea del Sur ya van a tener que ser ciberseguros, es decir, contar con un certificado que demuestre que lo son -por ejemplo, el elaborado por EUROCYBCAR, que fue el primero en el mundo-.

En los últimos tiempos hemos visto algunos casos, como el de Volkswagen durante la presentación del ID.7, en la cual aseguraba que esta nueva berlina estaba al día con la normativa. Y, por otro, la china Nio también hacía la propio asegurando que la marca fue de las primeras en el mundo en “obtener la certifación de cumplimiento del reglamento”.

Es muy probable que, preguntadas de forma individual acerca de la ciberseguridad, todas digan que es un aspecto clave para cada una de las marcas; pero hay que reconocer que Porsche ha sido de las más tajantes. Y así lo reconoció en un documento que, aún siendo de 2021, resulta plenamente vigente. Bajo el título ‘La ciberseguridad como cuestión de ventaja competitiva‘, el documento se focaliza en tres ideas clave.

En primer lugar, el hecho de “entender la ciberseguridad como algo más que el simple cumplimiento de requisitos regulatorios”. En segundo, que “una estrategia, procesos, organización y conciencia cultural basados en riesgos ayudan a maximizar la ciberseguridad, mientras que la tecnología actúa como un poderoso facilitador de esos cuatro aspectos”. En tercero, muy interesante, cita que, desde la alta dirección, se deben “anticipar las tendencias de seguridad y adoptarlas activamente, por ejemplo, colaborando con antiguos enemigos -por ejemplo, piratas informáticos- y generando conciencia -por ejemplo, con simulaciones de ataques-“.

Desde el inicio, Porsche tiene clara una realidad: que los ciberataques pueden durar unos pocos segundos, pero recuperarse de sus consecuencias puede llevar meses o, incluso años, causando importantes daños, ya sean comerciales o de reputación. Para demostrarlo, lo ejemplifica con dos ataques que sufrieron tanto la empresa noruega de aluminio denominada ‘Norsk Hydro’ -que tuvo que detener su producción en varias ocasiones, lo que le supuso unas pérdidas de más de 35 millones de euros- como el fabricante de carrocerías GEDIA -que se expuso a un robo de 50 Gb de datos, con información confidencial de sus empleados y de sus productos-.

Incluso, Porsche asegura que de este tipo de ataques no se libran ni los gobiernos, rememorando lo que sucedió en 2015, cuando el Parlamento alemán y numerosos ordenadores de las oficinas parlamentarias fueron infectado por software espía, lo que obligó a desconectar el sistema informático durante varios días.

La ciberseguridad como reclamo

Más adelante, se preguntan Porsche cómo puede la ciberseguridad convertirse en una ventaja competitiva para las empresas, asegurando que la respuesta es muy sencilla: “si bien, por ejemplo, proteger los datos personales es algo obligatorio por regulación -como el Reglamento General de Protección de Datos en Europa-, ofrecer un producto seguro puede convertirse en un argumento de venta único”. Yendo un paso más allá, lo concretizan en una tecnología de la que cada vez se habla más: “¿Qué tal sería posicionar a una empresa como la marca de automóviles autónomos más segura del mundo? ¿O qué tal ser el proveedor de transacciones financieras más seguro del sector?”. Por lo tanto, lo que pretende decir Porsche es que aquellas empresas que se basen en la confianza del cliente, se beneficiarán de tener una imagen de ‘marca cibersegura’.

A todo esto, hay que sumar que vivimos en un mundo cuyo nivel de conectividad no deja de crecer; de hecho, consideran que el consumidor promedio tendrá, en el año 2030, una media de diez dispositivos conectados; una conectividad que, por supuesto, también se está imponiendo en el sector automotriz.

Pues bien, a pesar de todo este panorama o del mencionado hecho que puede suponer para las empresas ‘colgarse la medalla’ de que son ciberseguras, desde Porsche recordaban en este documento que la situación estaba lejos de ser la idea, con altísimos porcentajes de empresas que declaraban hacer sufrido un ciberataque, filtraciones de datos en aumentos… Con todo, opinan que hay cuatro puntos que se deben aplicar para maximizar la ciberseguridad de una empresa:

  • 1. Definir una estrategia de ciberseguridad basada en riesgos, lo cual permite a la compañías encontrar un punto óptimo entre invertir demasiados recursos y construir una empresa resiliente.
  • 2. Para que la ciberseguridad funcione, las áreas más relevantes de una empresa, como desarrollo, calidad y sistemas informáticos deben trabajar en colaboración para alcanzar un propósito común.
  • 3. La estructura que se cree para garantizar la ciberseguridad, debe diseñarse de tal manera que garantice flexibilidad y rapidez a la hora de dar respuesta a cualquier posible riesgo cibernético.
  • 4. Por último, se suele decir que en todo lo relacionado con ciberseguridad, el factor humano es el eslabón más débil; por lo tanto, se hace necesario concienciar, formar y comunicar de estos aspectos a los empleados y trabajadores.

Entrando en las consideraciones relacionadas con las normativas de ciberseguridad, en el documento, Porsche asegura que su cumplimiento es obligatorio… pero que es necesario ir más allá. Por lo tanto, consideran que “adoptar un marco regulador” es muy recomendable, al garantizar la aplicación efectiva de normas, así llevar a cabo las mejores prácticas.

La firma alemana hablaba en este informe de la existencia de, al menos, 18 normas relevantes para diferentes tipos de vehículo, mencionando la conocida UNECE/R155 -la consideran la principal y más importante-, pero también la ICV Cybersecurity de China -con estándares para diferentes funciones de los vehículos inteligentes conectados, como por ejemplo, la carga en el caso de los modelos eléctricos- o la ‘Cybersecurity by NHSA’ -con requisitos relacionados con la evaluación de riesgos cibernéticos, comunicaciones entre vehículos…-.

La parte final del documento se centra en aventurar qué es lo siguiente que va a llegar en relación con la ciberseguridad. A este respecto, lo que se comienza diciendo es que “en un escenario en el que la ciberseguridad se encuentra en rápida evolución, las empresas deben priorizar la anticipación de tendencias y riesgos. Al anticipar el riesgo, las empresas pueden prepararse a tiempo y fomentar la ciberseguridad como una ventaja competitiva”. Con ese punto de partida, se preguntan qué ‘temas’ deberían estar en la agenda de la alta dirección.

Foto de unos Porsche delante de un edificio
Imagen generada por la IA de Bing

Por ejemplo, que los acuerdos de cooperación, sobre todo en tecnología, se antojan imprescindibles. Y es que “a medida que avanzan las capacidades defensivas, de, por ejemplo, los sistemas altamente automatizados y de aprendizaje automático, los atacantes también se vuelven más sofisticados”. Por lo tanto, que las empresas puedan seguir el ritmo -sobre todo las más pequeñas- puede ser algo complicado y de ahí que esa cooperación con terceros se vuelva algo casi imprescindible.

¿Y con quién cooperar? Universidades, empresas especializadas en cíber-riesgos… e, incluso, hablan de antiguos crackers que ahora hayan abandonado el lado oscuro y se hayan convertido en hackers. Como detalle curioso, alaban a Tesla por haber puesto en marcha sus programas para recompensar a todos aquellos investigadores que encuentren vulnerabilidades en sus modelos.

También hacen referencia a la necesidad de ‘crear cantera’ para que la brecha de ciberseguridad no crezca: es decir, que exista el suficiente número de profesionales para cubrir las cada vez mayores necesidades de ciberseguridad de empresas, organismos, instituciones… considerando que, para ello, debería crecer un 145% el número de profesionales capacitados para satisfacer la demanda que se está creando en lo relacionado con ‘lo cíber’. Y para que eso sea posible, es necesario estimular a los más jóvenes, haciéndoles ver lo atractiva que puede ser una trayectoria profesional en ese sector.

Por otra parte -Porsche lo anunciaba en este documento de hacer un par de años, pero es un problema que no deja de crecer-, es fundamental avanzar hacia una total protección de los datos críticos: puede ser información corporativa o datos personales de los clientes, como registros médicos privados o información de pago; en todo caso, se trata de algo que puede valer una fortuna en el mercado negro. Eso, por no hablar de las multas por incumplimientos del Reglamento General de Protección de Datos, que pueden llegar hasta el 4% de la facturación anual de la empresa.

Y por último, hay que proteger toda la cadena; y es que una empresa puede ser resiliente al riesgo cibernético, pero… ¿está garantizada la misma resiliencia a lo largo de toda la cadena de valor de la que depende la empresa? En términos de redes informáticas, esta pregunta se aplica a los socios a lo largo de toda la cadena de valor, como los proveedores de nivel 1 y 2, así como los posibles intemediarios o ‘man in the middle‘. “Es importante exigir que todos los socios en todos los extremos de la cadena cumplan, sean ciberseguros y presenten pruebas de ello“.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.