En muchas organizaciones industriales duermen tranquilos porque cumplen con normas o marcos reconocidos como IEC 62443, C2M2 o NIST CSF. El cumplimiento es verdad que aporta orden, estructura y un lenguaje común, pero no necesariamente proporciona capacidad de respuesta cuando las cosas se tuercen.
En un ciberincidente industrial real, el problema no es que falte cumplir con uno o varios controles. El problema es la parálisis en la toma de decisiones.
La madurez no se mide cuando todo va bien. Se mide a nivel de:
– Personas: ¿saben qué responsabilidad asumir bajo presión?
– Procesos: ¿funcionan cuando el escenario no es el previsto?
– Tecnología: ¿apoya la decisión o es un obstáculo?
– Resultados: ¿reduce el impacto operativo, económico o reputacional?
La plataforma MACIN (Evaluación de Madurez en la Ciberseguridad Industrial) no pregunta “¿esto está implantado?”, plantea si estamos listos (personas, procesos y
tecnología) para responder a un incidente OT si ocurre mañana a las 3 de la madrugada.
La madurez en ciberseguridad industrial no se demuestra cuando todo está bajo control, se demuestra cuando hay que decidir, con información incompleta, presión y consecuencias reales.
Si tu organización afirma que cumple, quizá la pregunta correcta no sea qué control falta, la pregunta imprescindible será si existe capacidad real de decidir bien cuando más importa. Porque el cumplimiento se audita, pero la madurez se pone a prueba.
José Valiente
Director de CCI