Continuamos observando como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) al momento de identificar, evaluar, clasificar y gestionar a los ciber-activos industriales. Una de los principales errores consiste en focalizar y priorizar aquellos que poseen interfaces de comunicaciones por sobre los que no las tienen. Los errores que observamos son muchos y muy significativos.

[heading subtitle=»Incompleto, limitado y parcial» size=»3″ heading_class=»heading» heading_style=»divider-lg» color=»#dd3333″]Incorrecto e Insuficiente[/heading]

Identificar a los ciber-activos según sus interfaces de comunicaciones.
Clasificar según sus vulnerabilidades tecnológicas.
Desconocer la función que cumple cada ciber-activo.
Obsesión por la identificación y gestión de vulnerabilidades.

[heading subtitle=»Todos los Ciber-Activos» size=»3″ heading_class=»heading» heading_style=»divider-lg» color=»#49aa14″]Correcto y Suficiente[/heading]

Identificar correctamente según su tipo y función.
Clasificar en función de su criticidad hacia los receptores de riesgo.
Diseñar y segmentar en zonas y conductos.
Priorizar con base en el riesgo inherente.

[heading subtitle=»La mayoría de las compañías y proveedores lo están haciendo de forma incorrecta.» size=»3″ heading_class=»heading» heading_style=»divider-lg»]¿Cómo están interpretando y visualizando a los activos cibernéticos industriales?[/heading]

Incorrecto: lamentablemente la gran mayoría de las compañías, inclusive consultoras de renombre, se focalizan en la protección y seguridad informática de los componentes cibernéticos industriales. Se focalizan en la protección y la seguridad de los datos y de la información que contienen en su interior. Usualmente, la confidencialidad resulta irrelevante, especialmente en aquellos que son más críticos y que presentan los mayores peligros para la organización.

Correcto: focalizar en la capacidad que los componentes cibernéticos industriales poseen para provocar consecuencias a todos los receptores de riesgos industriales ante la eventualidad de que estos sean comprometidos. Los peligros en la seguridad cibernética industrial están por fuera en los activos físicos y no por dentro. Comprender la función que cada uno de todos los componentes cibernéticamente sensibles cumple en el proceso industrial en particular.

Un grave error que la gran mayoría de las organizaciones y que muchos profesionales cometen es en trabajar sobre hipótesis incorrectas. Muchos piensan que si protegen a la seguridad de los datos, su integridad y disponibilidad indirectamente están protegiendo y resguardando a los receptores de riesgos (que no saben bien quiénes son ni porqué) de los potenciales peligros. La seguridad cibernética industrial no es seguridad de la información. Las consecuencias más graves y peligrosas se encuentran en el mundo físico y no en el mundo informático.

[heading subtitle=»Lo que termina ocurriendo» size=»3″ heading_class=»heading» heading_style=»divider-lg» color=»#dd3333″]La triste realidad:[/heading]

Subestiman a la criticidad de los componentes cibernéticos que no poseen interfaces de comunicaciones.
Priorizan aquellos que se encuentran en los centros de procesamientos de datos por sobre los que se encuentran en los extremos.
Visualizan a los ciber-activos por sus interfaces de comunicaciones.
Obsesión por las vulnerabilidades, inclusive aquellas que no producen ningún peligro real.
Realizan pruebas de penetración, pentest.
Clasificar en función de los datos y de la información que alojan.

[heading subtitle=»Algunos si lo están logrando» size=»3″ heading_class=»heading» heading_style=»divider-lg» color=»#4dbc21″]Lo que debe ser:[/heading]

Clasifican a los ciber-activos por su funcionalidad y sus características intrínsecas.
Todos los componentes cibernéticamente sensibles son identificados.
Inclusive aquellos que se encuentran completamente aislados sin ningún tipo de comunicación.
Evalúan y clasifican en función de su capacidad para provocar daño a todos los receptores de riesgo.
Todas las informaciones necesarias y relevantes son capturadas.
Los receptores de riesgo son más importantes que los ciber-activos.

About the author: Eduardo Kando

Get Involved & Participate!

Comments

Sin comentarios aún

Noticias que Importan

Entradas recientes

Curso 8810: Análisis y modelado de procesos con base al estándar ISA88, Español (ID#75625)

Curso IC34: Diseño e Implementación de Ciberseguridad en Sistemas Industriales Nuevos y Existentes, Español (ID#74719)

Curso 1810: Manejo y gestión de alarmas aplicando las buenas prácticas del estándar ISA18.2, Español (ID#75629)

Curso IC37: Operación y Mantenimiento de Ciberseguridad en Sistemas Industriales, Español (ID#74721)

Curso IC32: Empleando el Estándar ISA/IEC-62443 para Proteger a los Sistemas de Control, Español (ID#74723)

Curso IC33: Análisis de Vulnerabilidades y Evaluación de Riesgos Cibernéticos en Sistemas Industriales Nuevos y Existentes, Español (ID#74724)

Curso IC34: Diseño e Implementación de Ciberseguridad en Sistemas Industriales Nuevos y Existentes, Español (ID#75582)

Curso IC37: Operación y Mantenimiento de Ciberseguridad en Sistemas Industriales, Español (ID#75586)

Listas de Precios $

WisePlant Group LLC

WiseCourses Academy

Hable con Expertos

Noticias OTConnect

OTC – Novedades

¿Cómo está identificando y clasificando a los Ciber-Activos Industriales?

Get Involved & Participate!

Comments

¿Está seguro que desea eliminar su perfil?