La brecha en la cultura IT/OT genera un riesgo cibernético de $88,000 por hora. La inercia en el comportamiento de los profesionales de TI dificulta la seguridad en el área de OT.

La debilidad crítica en las defensas cibernéticas no se debe a la falta de algún software o a algún método de ataque complejo. Se trata, más bien, de un retraso predecible en la respuesta humana. Es una vulnerabilidad comportamental que los atacantes han aprendido a explotar con gran precisión. Esta brecha se debe a dos realidades evidentes: la simplicidad del vector de ataque y la breve ventana de tiempo para reaccionar.

En primer lugar, el ataque en sí suele ser extremadamente poco tecnológico. Una reciente revisión de más de 200 incidentes del año pasado reveló que los atacantes lograban sus objetivos utilizando métodos muy simples.Herramientas gratuitas y contraseñas predeterminadasSe apuntan a sistemas que cuentan con credenciales débiles, protocolos inseguros, o incluso a software de administración legítimo, que se utiliza de forma indebida con el objetivo de causar daño. La sofisticación del ataque no radica en las herramientas utilizadas, sino en la configuración predecible del sistema objetivo. Esto demuestra que este tipo de ataque es accesible para casi cualquier actor motivado, lo que lo convierte en una amenaza constante.

En segundo lugar, el tiempo para actuar es extremadamente corto. Una vez que se llega allí, el tiempo medio que necesita un operador de ransomware para lograr sus objetivos es…A poco menos de 24 horas.Esta cronología comprimida crea un período de tiempo muy limitado para la detección, investigación y respuesta. Se trata de una carrera contra el tiempo establecido por los atacantes. Los equipos humanos encargados de detenerlos, a menudo, operan bajo un horario diferente.

El núcleo de esta vulnerabilidad radica en una desconexión peligrosa entre dos culturas. Los equipos de tecnología operativa se concentran exclusivamente en…Tiempo de funcionamiento y seguridadSe da prioridad al flujo de producción, en lugar de la seguridad digital. Mientras tanto, los equipos de seguridad informática están capacitados para implementar protocolos y corregir los sistemas. Esto crea una desviación en las prioridades. Cuando un atacante utiliza una contraseña predeterminada para acceder a un sistema de control, el equipo de operaciones típicas puede considerarlo simplemente como un problema de configuración menor. En cambio, el equipo de seguridad ve en ello una vulnerabilidad grave. Esa desviación en la percepción y en la urgencia es lo que los atacantes aprovechan. Se trata de un fallo en la psicología organizacional: los sesgos cognitivos arraigados hacen que se priorice la estabilidad operativa inmediata, en lugar de enfrentar los riesgos futuros. La tecnología para defenderse existe, pero la inercia humana y cultural para utilizarla a tiempo no existe.

Los sesgos cognitivos que contribuyen al retraso

La brecha persistente entre el conocimiento de la existencia de una amenaza y la acción correspondiente no es simplemente un error o omisión. Es un resultado previsible de los sesgos cognitivos profundamente arraigados, que distorsionan la forma en que las organizaciones perciben los riesgos y asignan recursos.

En primer lugar, la aversión a las pérdidas y la normalización de los comportamientos inapropiados llevan a una aceptación peligrosa del statu quo. El costo catastrófico de un incumplimiento grave, como el cierre de una instalación, un incidente de seguridad o una multa regulatoria, es algo abstracto y lejano. En contraste, los problemas menores y frecuentes relacionados con la seguridad, como intentos de inicio de sesión fallidos o dispositivos sin actualizaciones, son algo concreto e inmediato. Esta asimetría hace que los equipos consideren que los problemas pequeños y recurrentes son “normales”, mientras que consideran que la inversión necesaria para prevenir desastres raros como algo innecesario. Como señala uno de los análisis realizados…Solo el 14% de las organizaciones informa que se sienten completamente preparadas.Se trata de una situación que sugiere una aceptación subconsciente y generalizada del riesgo. El costo de las interrupciones en el funcionamiento del sistema, estimado en 88,000 dólares por hora, es real. Pero su ocurrencia se considera como una posibilidad futura, no como una amenaza inminente que requiera medidas urgentes.

En segundo lugar, el sesgo de actualidad y el comportamiento grupal hacen que las organizaciones se basen en estándares obsoletos y en las acciones de otros. A menudo, las organizaciones esperan a que sus pares del sector o los reguladores actúen primero, utilizando sus acciones como señales para seguir su ejemplo. Esto crea un retraso peligroso. Como demuestran los datos, muchas instalaciones operan bajo regulaciones obligatorias, pero una gran parte de ellas viola estas reglas. Esto indica que el cumplimiento de las normativas suele ser solo un requisito mínimo, y no un factor importante para la seguridad. Cuando ocurre un incidente importante, la organización puede haber estado esperando una señal que nunca llegó, ya que basó su estrategia de seguridad en estándares obsoletos. El resultado es una cultura de cumplimiento reactivo, en lugar de una defensa proactiva.

Por último, la disonancia cognitiva y el sesgo de confirmación se manifiestan en la forma en que se reportan y gestionan los riesgos. Los equipos de seguridad pueden minimizar las alertas tempranas o informar de vulnerabilidades de manera insuficiente, con el fin de mantener una imagen de control y evitar interrumpir las operaciones. Los equipos operativos, centrados en la continuidad del funcionamiento y la seguridad, pueden descartar las recomendaciones de seguridad como algo irrelevante o perjudicial, confirmando así su prejuicio de que la estabilidad de la producción es el objetivo principal. Este proceso de refuerzo mutuo conduce a que los riesgos se ignoren o se minimicen. Como señaló un grupo de expertos, el adversario ya no simplemente observa; ellos también intervienen.Preposicionamiento para los efectosSin embargo, los sesgos internos impiden que la organización reconozca esa amenaza con la misma urgencia que se requiere. El problema no radica en la tecnología, sino en la psicología colectiva que permite que esa amenaza persista.

Los costos financieros y operativos de la inercia conductual

La “brecha cultural” entre los equipos de TI y los de OT se traduce en daños cuantificables para la rentabilidad de las empresas. Cuando la inercia en el comportamiento de los empleados permite que una amenaza logre vulnerar un sistema, las consecuencias financieras son inmediatas y graves.

El impacto más directo es el tiempo de inactividad operativa. Para los fabricantes, el costo de detener la producción es enorme. El precio promedio por una hora de inactividad operativa es…$88,000Esto no es un riesgo teórico; se trata de una pérdida real en los resultados financieros del sistema, que comienza en el momento en que el sistema se ve comprometido. Un ataque de tipo “ransomware”, que tarda 24 horas en lograr sus objetivos, como muestran los datos recientes, podría costar a una instalación casi 2.1 millones de dólares, antes de que se pague el rescate. Este número hace que toda la discusión sobre seguridad se base en cifros concretos, lo que obliga a considerar el costo de una respuesta tardía.

Además de los costos operativos directos, las infracciones a las regulaciones crean una responsabilidad adicional y persistente. Los datos revelan una desconexión problemática entre las reglas y la realidad: mientras que el 58% de las instalaciones están sujetas a regulaciones obligatorias, el 26% de ellas ha sido encontrado en violación de dichas normas. Esta brecha es el resultado directo de la división cultural y de la normalización de las infracciones menores relacionadas con la seguridad. Cada infracción conlleva el riesgo de multas, costos legales y daños a la reputación de la empresa. Todo esto agrega un nuevo factor de riesgo financiero, lo que aumenta las pérdidas operativas. En resumen, se trata de un problema de cumplimiento que se convierte en un aspecto importante a considerar en el balance general de la empresa.

La raíz de esta exposición financiera radica en la falta general de preparación de las organizaciones. Solo el 14% de las organizaciones afirma estar completamente preparadas para los peligros que surgen en el ámbito de la seguridad industrial. Este número es un claro indicador de una brecha sistémica en las capacidades de las organizaciones. La inversión en seguridad suele ser pospuesta o descuidada en favor de las necesidades operativas inmediatas. El hecho de que el 86% de las organizaciones que no están preparadas actúen con un gran vacío en sus capacidades representa un fallo en su comportamiento, lo cual se traduce en una vulnerabilidad financiera. Ellos asumen que los incidentes costosos y de alto impacto no les ocurrirán, algo típico de los comportamientos de los jugadores que apuestan sin pensar.

En resumen, la brecha en cuanto a “los minutos que realmente importan” es una cuestión financiera. Representa una falta de asignación de capital y recursos para evitar resultados costosos. Los costos de inactividad de 88,000 dólares por hora, la tasa de incumplimiento del 26% y el déficit de preparación del 86% no son simplemente estadísticas. Son los efectos tangibles en las ganancias y pérdidas, así como en los estados financieros, de una cultura que subvalora las medidas de defensa proactivas.

Catalizadores y barreras: qué hay que tener en cuenta para lograr un cambio

La inercia comportamental que sostiene esa “brecha de los minutos importantes” continuará existiendo hasta que las presiones externas obliguen a un cambio en los cálculos de costos y beneficios. Lo importante es estar atentos a aquellos factores que pueden convertir los riesgos abstractos en consecuencias inmediatas y dolorosas. También es crucial contar con indicadores internos que señalen un posible deshielo en la división entre TI y OT.

En primer lugar, la aplicación de las regulaciones es el factor más importante que impulsa este proceso. La situación actual muestra una brecha entre las normas y la realidad.El 26% de las instalaciones encontraron que cumplían con las normas de auditoría obligatorias.El siguiente paso consiste en que las autoridades reguladoras pasen de emitir advertencias a imponer sanciones financieras significativas y inmediatas a aquellos que no cumplan con las normas. Cuando el costo de una infracción, incluyendo las multas, los gastos legales y las perturbaciones en las operaciones, supera el costo de las inversiones proactivas, entonces la situación cambia. Esto afectará directamente la normalización de las prácticas irregulares, convirtiendo el “nivel mínimo de cumplimiento” en una responsabilidad costosa, en lugar de ser considerado como algo seguro. Es importante estar atentos a las acciones de aplicación de las leyes en los sectores de infraestructura crítica, ya que son señales claras de que las medidas regulatorias se están fortaleciendo.

En segundo lugar, una brecha de alto perfil en un sector crítico podría desencadenar ese comportamiento de “rebaño” que actualmente no existe. Las pruebas muestran que los atacantes están utilizando…Herramientas gratuitas y contraseñas predeterminadasSe podría dirigir a sectores que abarcan desde la industria manufacturera hasta la generación de energía. Un incidente grave y ampliamente reportado en uno de estos sectores serviría como un “llamado de atención”. Esto obligaría a otras organizaciones a enfrentar los costos catastróficos que implica el tiempo de inactividad: 88,000 dólares por hora. Además, probablemente estimularía una ola de inversiones, ya que las empresas seguirían el ejemplo de aquellas que ya han sufrido daños. Este comportamiento de “rebaño” puede acelerar la adopción de medidas de seguridad que anteriormente no se daban mucha importancia.

Por último, la forma más confiable de garantizar la seguridad interna es mediante el uso de herramientas conjuntas para la evaluación de riesgos y plataformas que permitan una mejor visibilidad de los problemas. La solución al problema de la brecha cultural radica en la evaluación conjunta de riesgos y en la utilización de herramientas que relacionen la ciberseguridad con las prioridades operativas, como el tiempo de funcionamiento y la seguridad del sistema. No se trata solo de tecnología, sino también de crear un lenguaje común y una comprensión mutua. Es importante monitorear la implementación de estas herramientas como un indicador clave para cerrar esa brecha cultural. Su adopción indica un paso hacia una defensa unificada, donde la seguridad se considera un elemento que contribuye a lograr objetivos operativos, en lugar de un obstáculo. Cuando los equipos de TI y OT utilicen la misma plataforma para analizar los riesgos y medir los avances, los sesgos comportamentales hacia la desconfianza mutua comenzarán a disminuir. En resumen, el cambio vendrá tanto de la presión externa como de la colaboración interna. Es importante monitorear las regulaciones y las violaciones de seguridad para ver si el costo de la inacción está aumentando. También es importante observar si las herramientas compartidas ayudan a cerrar esa brecha cultural.