​El desafío de la ciberseguridad para la industria del petróleo y el gas

Archivado en: Columnistas · Francisco Javier González Puebla
| martes, 1 de febrero de 2022, 07:43

Francisco Javier Gonzalez Puebla

¿Cómo puede una empresa proteger sus activos en un mundo profundamente conectado e impulsado por la tecnología? Habilitar industrias a través de la tecnología es una espada de doble filo. El aumento del uso de la tecnología mejora la eficiencia, ayuda a realizar tareas que solo eran posibles en teoría y permite que las empresas crezcan a la velocidad que exige el mercado.

La industria del petróleo y el gas se ha transformado tradicionalmente a un ritmo gigantesco. Trajo consigo los peligros de la infraestructura masiva y trajo procesos y maquinaria individuales a una plataforma común. Debemos considerar adicionalmente, alto riesgo de sanciones monetarias y costos relacionados con el tiempo de inactividad, teniendo una cantidad peligrosa de recursos inflamables, literalmente esperando hacer explosión.

La industria del petróleo y el gas ha adoptado lenta pero seguramente la transformación tecnológica. Refinerías conectadas, tiendas minoristas, reservas de combustible y centros de comando, los construyeron todos. La pregunta más importante es, sin embargo, la forma en que una empresa de este tipo puede proteger sus activos vitales.

La respuesta es un enfoque triple de gobernanza, gestión de riesgos y controles. A diferencia de una cadena minorista moderna, los activos de petróleo y gas aún deben migrar a sistemas modernos sin interrupciones en la producción o las operaciones. Dicha estrategia debe considerar ciertos imperativos clave:

  • Ninguna interrupción en las operaciones
  • Una plataforma tecnológica con un alto puntaje en preparación para el futuro
  • Posibilidad de integración con tecnología moderna
  • Formas innovadoras de minimizar el daño a la vida humana

    • Construir una solución de realidad aumentada para visualizar el estado de la extracción de petróleo en las profundidades de la superficie terrestre es una gran herramienta para el equipo de ingeniería y mantenimiento, pero si se ejecuta en una red débil e insegura, la amenaza del espionaje y ataques cibernéticos se multiplican.

    El primer paso para evitar esto es identificar la infraestructura de TI en los procesos ascendentes y descendentes. Esto incluye sistemas de correo electrónico, industrial, sondas conectadas dentro de los simulacros, sistemas de monitoreo meteorológico, sistemas de comunicación, navegación, acceso de seguridad, protocolos, etc. Cada uno de ellos debe ser monitoreado para mantener a raya a los elementos no autorizados. Y dado que el petróleo es una mercancía de inmenso valor global, la apariencia de actores estatales y no estatales se desdibuja en una sola categoría: desafíos de seguridad cibernética.

    Un ecosistema de petróleo y gas genera toneladas de datos por segundo. La única solución para almacenar esto en la nube desde una plataforma que está a millas de distancia del continente es mediante comunicación satelital. Un solo enlace de datos sin cifrar es suficiente para la entrada no autorizada en los sistemas. Una estrategia de acceso a datos bien diseñada puede garantizar que la información confidencial y los secretos comerciales permanezcan seguros y protegidos.

    El segundo paso es construir y ejecutar una estrategia para controles y accesos y garantizar que se reduzcan los ataques de malware. Los atacantes cibernéticos han dejado atrás las entradas por la puerta trasera y están buscando un medio para entrar por la puerta principal, limpiar los datos y salir por donde entraron. El acceso limitado y matricial a datos y activos vitales ayuda a proteger dichos activos.

    El tercer paso es ejecutar continuamente una evaluación de riesgos de toda la red y la infraestructura de TI. Una estrategia de evaluación de riesgos de varios niveles que se aplica a cada división y se acumula en una política de toda la empresa puede ayudar a mitigar los desafíos que plantean los riesgos de ciberseguridad.

    El cuarto paso es garantizar que exista un plan de continuidad del negocio y que se revise periódicamente, en sintonía con las evaluaciones de riesgos.

    El quinto y más importante paso es ejecutar auditorías periódicas de los sistemas y procesos implementados. Un protocolo de seguridad desplegado ante una situación emergente necesita ser validado y auditado frente a posibles nuevos escenarios disruptivos para hacerlo más robusto.

    La configuración de tecnología de la información de una empresa es tan segura como su empleado más imprudente. El objetivo de una estrategia sólida de ciberseguridad es frustrar automáticamente las vulnerabilidades negativas. Desarrollar resiliencia cibernética es el seguro en el que se basa el mundo conectado.


    Dr. Francisco Javier González Puebla

    Director Carreras Administración

    CFT-IP Santo Tomas – Viña del Mar

    europapress