Silvina Imbrogno es ingeniera electrónica y cuenta con una amplia experiencia en la industria IT. En la actualidad se desempeña como especialista en ciberseguridad y procesos industriales de Siemens, compañía en la que comenzó en 1995 en el área de automatización de procesos por 4 años, y regresó en 2005. “Hoy mi responsabilidad es el área de comunicaciones industriales, y dentro del portfolio manejamos también lo referente a identificación, sensores para identificar en la industria y los sistemas de alimentación. Contamos con soporte y cobertura para Argentina, Uruguay y Paraguay” cuenta Silvina al tiempo que explica por qué no podemos hablar de automatización sin tener en cuenta la ciberseguridad, y cómo estos conceptos optimizan todos los procesos incluyendo las estrategias de sustentabilidad de las compañías.
¿Por qué la ciberseguridad es una parte fundamental de los procesos de digitalización?
La digitalización lleva a la optimización de los procesos, pero con ciberseguridad se hace de forma protegida.
Hace muchos años se podía leer en las revistas técnicas información acerca de la integración horizontal y vertical en lo que es la pirámide de automatización, además de numerosos análisis sobre cómo en algún momento los datos de procesos en planta, sin el uso de un papel, iban a llegar a un sistema de gestión. En ese entonces no hablábamos de la seguridad de los datos, porque lo que los protegía eran las tecnologías vigentes. Cada proceso de automatización era un sistema aislado con protocolos de comunicación. De hecho, si me remonto a los ´90, eran protocolos propietarios. Pensar que alguien iba a poder hackear y acceder a esa información era imposible. Las comunicaciones a nivel de automatización no estaban basadas en Ethernet, con lo cual los controladores quedaban aislados con los dispositivos de campo. Pero esto fue evolucionando el uso de Ethernet -que primero se conoció como conectividad de PC en un ambiente de oficinas- y empezó a tener uso en el ámbito industrial.
¿Cómo fue esa evolución?
Primero era la conexión entre un PLC y una PC para visualizar el proceso, pero luego evolucionaron los estándares y las tecnologías para que puedan cumplir con los requerimientos de un proceso de automatización (los tiempos de respuesta, las comunicaciones redundantes). Cuando eso se cumplió, llegamos a una conectividad basada en Ethernet desde el nivel cero, el nivel de un sensor, que son los dispositivos que miden el proceso, un actuador, por ejemplo, una válvula, un motor, para que ese dato sea leído por el controlador y eso basado en Ethernet. Entonces teníamos disponible una red única basada en un mismo medio físico. Empezaron también a utilizarse protocolos estándares, no protocolos propietarios, y fue fácil y transparente el poder llevar un dato desde el nivel más bajo de un sensor directo hasta un nivel de gestión. Así empezaron a surgir (por el beneficio, la ventaja de tener un dato sin la intervención de una persona o llevándolo en un papel en forma automática a través de la red) múltiples conexiones y es ahí donde empiezan a poner estos problemas de seguridad.
¿Es entonces cuando aparece el concepto de ciberseguridad?
En los últimos años es cuando aparece la ciberseguridad. La digitalización tuvo lugar gracias al uso de un medio físico común, protocolos estándares que todos podían interpretar, interoperabilidad en distintas marcas y proveedores. Entonces había que aplicar la protección, la ciberseguridad, para que este beneficio de interconectividad no se convierta en un problema. Sabemos las ventajas de la digitalización, pero primero es necesario resolver lo que es la ciberseguridad. Entonces ahí se mezclan los conceptos digitalización y ciberseguridad. Este último se aplica a los procesos, a la tecnología y a las personas. Por eso se le llama holístico. Puedo poner equipamiento para cuidar y proteger, pero tengo que entrenar a las personas y tiene que haber políticas y procedimientos de cómo trabajar. De esta manera, se empieza a trabajar con múltiples capas de protección a todo nivel (planta, redes, el propio sistema).
¿Cómo se desarrollan los estándares para estos procesos?
Hay asociaciones que desarrollan estándares y ayudan a los usuarios y a las industrias. A nivel seguridad de la información, el mundo de IT que todos conocemos siempre trabajó con los conceptos de la seguridad y tuvo estándares como la ISO 27001 que guía sobre cómo proteger los datos. No así en la parte industrial, donde estamos aislados. Entonces aparecen estándares como ISO 62443 o la NIS2 y NIS800, que adaptan los conceptos de seguridad de los datos al ámbito industrial.
Lo interesante de estos estándares es que en sus documentos guían a quién es el usuario final sobre cómo proceder, al integrador de sistemas que va a implementar una solución para el usuario final y al proveedor o diseñador o fabricante que está creando y diseñando dispositivos.
¿Consideras que el trabajo remoto en la pandemia hizo que la ciberseguridad tenga que adaptarse a nuevas necesidades?
Veo dos aspectos que pueden tener un punto en común, pero no en su totalidad. Por ejemplo, en Siemens cada una de nuestras PC -que tienen software de oficina, no industrial- ya en ese entonces tenían habilitado lo que es la conexión remota para acceder. Estas son prácticas que desde el mundo IT se vienen trabajando y manejando desde hace mucho tiempo. Sí puede ocurrir que una empresa más pequeña haya tenido que trabajar en mejorar estas técnicas que a lo mejor no tenían del todo resueltas para sus empleados, pero las empresas más grandes en el mundo IT ya hacía tiempo que venían trabajando con eso.
Es entonces donde vemos la parte en común que mencionás. Siempre se necesitó el acceso remoto para resolver algo, pero no se aplicaba tanto como se tuvo que utilizar en la cuarentena, y ese es uno de los puntos en que la industria IT tuvo que trabajar mucho más. Por ejemplo, a alguien que proveía una solución de automatización y tenía que acceder a planta por un problema en el controlador, se le daba un acceso remoto sin cuidar mucho qué puertas se estaban abriendo y qué riesgo tenía a la planta, por lo que fue necesario trabajar en ese punto. Hoy ya no se puede acceder de esa manera, hay otros protocolos. Se definen los permisos de manera precisa y se debe autorizar el ingreso a cada celda o área de automatización de un proceso, que se trabajan todas de manera completamente aislada, lo que hace que si hay un inconveniente en una de ellas, no se propaga a toda la planta.
Desde Siemens realizan un servicio de consultoría respecto a estas temáticas…
Algo que estamos haciendo es entrenar a los integradores del sistema. Hoy una solución de automatización tiene que ser cibersegura, ya tiene que incluir la ciberseguridad. El objetivo ya no es solo la automatización, sino que esa automatización sea cibersegura, hay tener un switch, un dispositivo de comunicación, debe estar configurado con usuario y password, se deben dejar bloqueados los puertos que no se utilicen, y en la PC tienen que dejar instalados y bloqueados los accesos de periféricos. Si bien la ciberseguridad es un proceso continuo que no va a terminar nunca, es importante que las soluciones se desarrollen con los principios básicos de diseño.
¿Cómo se aplica a las estrategias de sustentabilidad?
Hay aspectos a considerar. Uno es lo referente a sustentabilidad específicamente, como por ejemplo, la utilización de energías renovables y/o la movilidad eléctrica en la operación, y en paralelo, la digitalización que nos lleva a este ahorro, eficiencia y optimización.
Se trata de aplicar tecnologías, ya sea hardware o software, que nos permitan obtener resultados sustentables en cuanto a uso eficiente de recurso energético e hídrico, por ejemplo, como también reducir la huella de carbono, propia y de la cadena de valor, a través de operación remota, mantenimiento a distancia y predictivo; todo ello con el resguardo tecnológico requerido.
