La International Facility Management Association (IFMA), l’associació mundial més gran de professionals del facility management, ha publicat l’informe «Bretxes de ciberseguretat a l’administració de les instal·lacions», un estudi que analitza en profunditat els riscos digitals als quals s’enfronta el sector. La investigació, elaborada per la Dra. Erika Pärn i Jeffrey Saunders, es basa en 372 enquestes fetes a gestors d’instal·lacions de més de 100 països, fet que la converteix en la més àmplia del seu tipus a nivell global.

L’estudi examina com la combinació de preparació interna, pressions externes i barreres organitzacionals influeix en la probabilitat de patir incidents de ciberseguretat als sistemes de gestió dels edificis. Mitjançant una anàlisi comparativa qualitativa (fsQCA), els investigadors van identificar 10 configuracions de vulnerabilitat que condueixen sovint a bretxes cibernètiques, i que integren factors com la preparació operativa, la solidesa financera, la turbulència tecnològica i les barreres legals i de coneixement.

Perfils de risc

L’estudi de la IFMA identifica deu escenaris de ciberseguretat en la gestió d’instal·lacions que van des d’organitzacions altament vulnerables fins a models robustos de protecció. A l’extrem de més risc se situen aquelles entitats sense preparació interna que depenen de pressions externes del mercat o de la tecnologia, com el «minimalista sense preparació», el «reactor impulsat pel mercat», el «lluitador enfocat a la tecnologia» i «l’olla de pressió externa». A nivells intermedis apareixen organitzacions amb fortaleses parcials, sigui financera, operativa o exclusivament en ciberseguretat, però sense un enfocament equilibrat. Al nivell més sòlid hi ha els models que combinen preparació operativa, ciberseguretat, capacitat financera i atenció a l’entorn, en els quals destaquen el «defensor integral» com el perfil més resilient davant de la ciberamenaça.

Una de les troballes més rellevants és que la preparació interna —especialment en ciberseguretat i operacions— té un impacte molt més gran en la reducció del risc que les pressions de l’entorn. Les organitzacions amb polítiques clares, formació periòdica i sistemes robustos presenten significativament menys incidents, fins i tot en contextos d’alta complexitat tecnològica.

L’informe també subratlla el pes de les barreres organitzacionals i de coneixement, com ara la manca de formació especialitzada, la mala coordinació interna o l’assignació insuficient de recursos, que incrementen notablement l’exposició als atacs. Així mateix, assenyala que la percepció de criticitat dels actius, especialment els sistemes financers i de TI, influeix en la inversió en ciberseguretat, encara que només és efectiva quan va acompanyada d’una preparació interna adequada.

La solució, un enfocament integral de la ciberseguretat

Basant-se en les troballes, l‟estudi planteja quatre línies estratègiques d‟actuació centrades a reforçar la ciberseguretat del sector. En primer lloc, recomana prioritzar la inversió en sistemes interns, enfortint la preparació operativa i les capacitats de ciberseguretat com a base de defensa eficaç. Així mateix, subratlla la necessitat d’avaluar periòdicament la criticitat dels actius, especialment la infraestructura de TI i els sistemes financers, per alinear adequadament les inversions.

L’informe també insta les organitzacions a respondre de manera activa a les pressions externes, com ara la dinàmica del mercat o la turbulència tecnològica, tot ajustant les seves estratègies de protecció. Finalment, advoca per adoptar un enfocament integral que combini preparació interna, vigilància de l’entorn i priorització correcta d’actius per construir una defensa holística davant dels ciberatacs.

En un context marcat per la digitalització dels edificis, l’ús d’IoT i la convergència entre tecnologies IT i OT, l’estudi adquireix una rellevància especial en evidenciar l’augment de la superfície d’atac en infraestructures crítiques.