WisePlant – A WiseGroup Company

Definiendo al Sistema bajo Consideración

El sistema en consideración (SUC) corresponde a un término utilizado ampliamente en la serie de normas ISA/IEC-62443 para referirse a un sistema que está siendo analizado o debe ser objeto de evaluación. A pesar de que las normas creadas por el comité ISA99 definen en el glosario de términos y abreviaciones, este término y concepto tiene un uso muy amplio fuera del mismo comité.

Administre, evalúe e implemente ISA/IEC-62443 como un experto

Los nuevos cursos de capacitación 2150, 2160, 2161, y 2162 están dedicados exclusiva y principalmente a la implementación y el cumplimiento, con el sistema ZCM desarrollado por WisePlant Group LLC. Los usuarios están en condiciones de comenzar la implementación y comenzar a cumplir de forma inmediata y sin demoras con la totalidad de los requerimientos de la serie de normas ISA/IEC-62443.

Evaluación de Riesgos Cibernéticos Industriales para tomar decisiones

La metodología para la evaluación de riesgos cibernéticos industriales viene recibiendo muchos debates desde que se comenzó a hablar del tema. Sin embargo, resulta sumamente relevante para los industriales adoptar la metodología correcta. Están aquellos que tienen muchísima experiencia en seguridad de la información y buscan aplicar las mismas prácticas y fórmulas en la industria, y estamos aquellos que sabemos que este acercamiento es insuficiente e inadecuado.

Abordaje de Ciberseguridad Insuficiente!

Abordar la solución a la Ciberseguridad con la propuesta tradicional de IT de seguridad de la información es insuficiente para los sistemas de control, y está lejos de satisfacer las necesidades de las plantas industriales, y mucho más lejos de mitigar el riesgo cibernético en la cantidad mínima necesaria.

Cumpla con todos los requerimientos de la fase de Assessment de la ISA/IEC-62443 sin herramientas adicionales

Zones & Conduits Manager consiste en una solución diseñada y pensada desde cero para satisfacer todos los requerimientos de la serie de normas ISA/IEC-62443, con el agregado de otras regulaciones, tales como, NIST, NERC, C2M2, y muchas otras. El sistema ZCM ha sido exclusivamente concebido para los ambientes industriales más críticos con sus tecnologías tradicionales.

WBS para la implementación de ISA/IEC-62443-2-1 en Usuarios Finales

ISA/IEC-62443 indica qué hacer pero no te dice cómo hacerlo. A través de las consultas que recibimos por asesoramiento vemos muchas veces que tanto los usuarios finales como los proveedores de servicios se hallan muy confundidos sobre el tema tan importante como la seguridad cibernética industrial.

¿Quién es responsable por la seguridad?

¿Quién es responsable por la seguridad después de un incidente? ¿Quién es responsable por la CiberSeguridad Industrial?

¿Qué tiene de particular la CiberSeguridad Industrial? Como primera medida la CiberSeguridad Industrial, a diferencia de la CiberSeguridad de la Información o IT, se desarrolla en el mundo físico. Las consecuencias por los incidentes cibernéticos industriales tienen impacto sobre la vida de las personas, el medio ambiente, la producción y la continuidad de servicios críticos o esenciales para la compañía o Nación.

En el ámbito industrial la palabra “seguridad” se presenta de muchas formas. Desde la seguridad perimetral o física, hasta la seguridad funcional o instrumentada sin dejar de mencionar la seguridad de las personas, seguridad del medio ambiente, la seguridad intrínseca, y por su puesto la seguridad cibernética industrial, por mencionar algunas de ellas.

Muchas veces las personas nos preguntamos ¿Quién es responsable por la seguridad? Sin embargo, para visualizar mejor el problema deberíamos buscar respuesta a las siguientes preguntas ¿Quién es responsable por la seguridad luego de un incidente? ¿Quién es responsable por pagar los costos asociados a la falta de seguridad luego del incidente? Para los proveedores o fabricantes una buena pregunta puede ser ¿La seguridad es un “costo” o una “inversión”? Usualmente los directivos en muchas compañías se encuentran frente a este dilema y no consiguen responder de forma correcta.

A la seguridad no se la puede tocar, oler, ni escuchar. Muchas veces es algo que se valora o aprecia cuando nos damos cuenta de que se carece de ella luego de que un accidente, incidente o una catástrofe ocurre, en la cual directa o indirectamente nos vemos afectados. ¿Cómo medimos el impacto o el daño como consecuencia de incidente? Por ejemplo: ¿Qué pasa con la reputación de la compañía?

¿Cómo se desarrollan las competencias necesarias en seguridad? Independiente de las cuestiones exclusivamente técnicas, las competencias y el dominio de la seguridad no se desarrollan a los golpes. No es como andar en bicicleta donde uno va aprendiendo con las caídas. El conocimiento sobre seguridad se incorpora por medio de la capacitación en programas bien desarrollados y concebidos para dicha finalidad y objetivo. La conciencia por la seguridad tampoco se desarrolla por medio de campañas de miedo ni atemorizando a las empresas o a las personas. Esto casi en la totalidad de los casos provoca la toma de decisiones erradas o equivocadas. Muchas empresas asumen que porque están gastando dinero están obteniendo resultados y esto generalmente no es cierto.

Cuando un incidente ocurre ya es demasiado tarde y el daño ya está hecho. Todos los estudios revelan que el 95% de los incidentes y catástrofes eran evitables, exceptuado aquellos de fuerza mayor o caso fortuito. En la industria para evitar este problema es que se han desarrollado estándares y normas bien concebidas. Entonces, ¿Si estas normas existen porqué siguen ocurriendo los incidentes? Básicamente por tres motivos: (1) Las normas son mal implementadas, (2) No se cumple con las normas, (3) No se las considera necesarias.

Diferentes personas tienen una percepción distinta de la seguridad. Esta percepción quedará determinada por la experiencia propia y/o por la formación, conocimiento técnico de la especialidad y educación con respecto al tema y la conciencia que se tenga. Existen personas que serán más arriesgadas y más tolerables a los riesgos y otras personas que serán menos tolerables. Muchas veces se dice que la seguridad es un tema de percepción. Esto es cierto desde un aspecto del usuario común. Sin embargo, es incorrecto desde el punto de vista del profesional dedicado a la seguridad.

¿Pero cómo resolvemos este tema de la seguridad? ¿Qué podemos hacer al respecto? Estándares y normas bien concebidas deben ser aplicadas. Lo primero que debemos hacer es definir y evaluar el riesgo para poder gestionarlo y tratarlo de forma adecuada. Son muchas las organizaciones que han desarrollado trabajos para la ciberseguridad industrial, entre los cuales podemos mencionar normas, guías, recomendaciones, mejores prácticas, controles de seguridad, frameworks, políticas y hasta leyes. ¿Cuál elegir? ¿Qué hacer?

Muchos altos directivos creen que la responsabilidad es trasladable a través del proceso de compras lo cual es errado. Quizás una pequeña parte pueda ser transferida o compartida pero la responsabilidad transferida no servirá para recuperar los costos provocados por sus consecuencias, especialmente en el ámbito industrial ni a la imagen de la compañía. La máxima responsabilidad siempre estará del lado del usuario final. A pesar de que los integrantes de la cadena de suministros todos pueden contribuir a la seguridad, es responsabilidad de la alta dirección fijar los requerimientos y establecer las políticas de la compañía y la forma en la cual esta será evaluada, implementada y verificada.

Preparado por: Maximillian G. Kon

You cannot copy the content of this page!