Infraestructura crítica Seguridad, liderazgo y comunicación ejecutiva, capacitación y liderazgo en seguridad Un nuevo informe revela que las empresas químicas están invirtiendo en cibernética, aumentando la visibilidad de los CISOChris Riotta (@chrisriotta) •18 de junio de 2024 Imagen: Shutterstock Las empresas químicas han mejorado significativamente su preparación cibernética mientras aumentan inversiones en seguridad en respuesta a las crecientes amenazas y nuevas regulaciones que se avecinan, según un nuevo informe. Ver también: Asegurar la Industria 4.0: Perspectivas de una nueva investigación La agencia líder mundial de calificación crediticia Moody’s Ratings publicó un informe el lunes que dice que las prácticas básicas de ciberdefensa se han vuelto «casi universales» en toda la industria a medida que los reguladores de la UE y los EE. UU. se centran cada vez más en sectores de misión crítica de la economía. Las nuevas normas de ciberseguridad entrarán en vigor para las empresas químicas de la UE en octubre en virtud de una versión actualizada de la Directiva de seguridad de la información y las redes, denominada NIS 2.0. Estados Unidos está ultimando las regulaciones sobre informes de incidentes y ransomware como parte de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022, que podría entrar en vigor a principios de 2026. El informe de Moody’s se produce después de que el Departamento de Seguridad Nacional advirtiera en abril que Estados Unidos sufre limitaciones en sus actuales regulaciones de seguridad biológica y química que “podrían aumentar la probabilidad de resultados de investigación peligrosos, tanto intencionales como no intencionales, que representen un riesgo para la salud pública, la seguridad económica o la seguridad nacional” (ver: DHS: Amenazas nucleares y químicas mejoradas por IA Son riesgos para EE.UU.). Los expertos también dijeron recientemente a Information Security Media Group que los actores de amenazas probablemente aprovecharán cada vez más la inteligencia artificial para llevar a cabo ataques químicos, biológicos, radiológicos o incluso nucleares. Los grupos de ransomware y piratería que se han dirigido al sector químico en los últimos años incluyen LockBit 3.0, que según CISA se centra en tecnología operativa y sistemas de control industrial al lanzar ataques contra empresas químicas. Según la agencia, el grupo de amenaza persistente avanzada Lazarus probablemente también apuntó al sector químico utilizando ofertas de trabajo falsas para contratistas de defensa. La encuesta de Moody’s encontró que el 88% de los jefes de ciberseguridad corporativa reportan directamente a un ejecutivo de alto nivel y que la tasa es aún mayor en el sector químico, con un 95%. El dato indica «una estructura de gobernanza sólida que respalda la concienciación sobre las amenazas a la ciberseguridad entre los ejecutivos de alto nivel». El informe también dice que las empresas químicas han vinculado cada vez más la remuneración del liderazgo al desempeño en materia de riesgos cibernéticos: el 38% de los encuestados dijo que la remuneración de su director ejecutivo está vinculada a los objetivos cibernéticos. CISA ha propuesto una regla de notificación de incidentes cibernéticos de 72 horas para las entidades cubiertas por CIRCIA. La agencia ha pedido al DHS que establezca un Consejo intergubernamental de notificación de incidentes cibernéticos para coordinar mejor los requisitos federales de notificación de incidentes, que potencialmente podrían aplicarse a más de 300.000 organizaciones en todo el país (ver: CISA busca comentarios del público sobre las reglas de notificación de incidentes cibernéticos). Si bien el software de terceros sigue representando un riesgo significativo para las corporaciones, la encuesta de Moody’s encontró que el 88% de los encuestados de la industria química en América tienen algún tipo de seguro cibernético independiente. Las pequeñas y medianas empresas han aumentado su gasto cibernético general promedio a alrededor del 10% de sus presupuestos en tecnología de la información, lo que según Moody’s «probablemente representa una recuperación de la subinversión histórica». «Los emisores de productos químicos exhiben un alto grado de sofisticación en sus estrategias de ciberdefensa, utilizando una combinación de métodos básicos y avanzados», dice el informe. También dice que la mayoría de las empresas químicas han implementado defensas cibernéticas básicas, incluidos planes de respuesta a incidentes, copias de seguridad de datos semanales y autenticación multifactor. Moody’s encuestó a más de 1.900 personas para su informe sobre el sector químico. El informe predijo que las regulaciones CIRCIA y NIS 2.0 darán como resultado «un aumento de informes, tanto internamente (a las juntas directivas) como para las partes interesadas externas como reguladores y clientes». URL de la publicación original: https://www.databreachtoday.com/chemical-firms-boost-cybersecurity-ahead-new-regulations-a-25555