Actualmente, para las empresas es una necesidad el desarrollo de los programas de capacitación y concientización en ciberseguridad industrial, pero existen dudas sobre cómo desarrollar con éxito un programa enfocado a generar el conocimiento necesario, las competencias y las acciones para cada tipo de público.
En muchos casos hemos visto que los programas se desarrollan de manera genérica y tomando como base los controles definidos en ciberseguridad industrial, asumiendo que serán adoptados de manera obligatoria, generando resistencia y obviando las necesidades de conocimiento específicas de cada público.
El problema de la resistencia a la adopción de controles es mucho mayor, cuando no se han evaluado la eficiencia y eficacia de cada uno, las personas que están directamente relacionadas con la planta evidencian que son innecesarios, generando rechazo y consideran a la ciberseguridad industrial ineficiente.
Por eso la primera recomendación es implementar la ciberseguridad industrial desde el marco de trabajo definido en la ISA/IEC-62443 que está desarrollado por el comité ISA99 por consenso de la industria mundial y reúne a expertos en seguridad cibernética industrial de todo el mundo.
Tomar como guía la ISA/IEC-62443 para definir el marco de trabajo al interior de la organización, evita cometer errores en ciberseguridad industrial como por ejemplo desarrollar actividades y generar esfuerzos que no están enfocadas en la protección de la planta y sus receptores de riesgo.
Otros problemas frecuentes que se encuentran en el desarrollo de los programas de capacitación y concientización es no definir las acciones o habilidades que cada público debe adquirir como resultado de la concientización o capacitación, entonces los resultados del programa no garantizan que las personas puedan adoptar la ciberseguridad industrial según sus responsabilidades.
Reuniendo todos estos problemas frecuentes, hemos visto como los programas son enfocados de manera genérica en los siguientes temas:
- Contraseñas seguras
- Ingeniería social
- Uso responsable de los IACS.
- Entre otros…
¿Pero eso es lo que se necesita un programa de concientización y capacitación en ciberseguridad industrial?
Seguramente no y a continuación se explica el por qué…
Para definir un programa de capacitación y concientización primero se deben definir los objetivos hasta llegar a tener claridad sobre la ruta de aprendizaje y los contenidos que deben ser enseñados.
Los objetivos se definen desde el marco de trabajo que sea utilizado dentro de la organización, para este caso asumiremos que el marco de trabajo es la ISA/IEC-62443.
La ISA/IEC-62443 se basa en la gestión del riesgo cibernético industrial y se divide en 3 fases del ciclo de vida de un determinado sistema bajo consideración y estas fases trabajan de manera paralela con las políticas de seguridad, la organización y la concientización.
El estándar define que el desarrollo de los programas de capacitación y concientización son esenciales para contribuir con la reducción del riesgo cibernético industrial y deben:
- Estar enfocados según los roles y responsabilidades de las personas
- Generar el conocimiento necesario según sea su actividad.
El desarrollo del programa alineado con el marco de trabajo de ciberseguridad basado en la gestión del riesgo cibernético industrial promueve de manera natural la cultura de riesgo dentro de la organización.
¿Qué significa esto? Que cualquier acción será basada en el conocimiento y siendo conscientes que se deben evitar ejecutar acciones que puedan generar riesgos innecesarios.
En la siguiente grafica se explica de manera genérica el marco de trabajo y la interrelación con los programas.
Ya teniendo definido el marco de trabajo dentro de la organización, se debe pasar a definir los objetivos del programa
Los objetivos del programa se definen según las necesidades de conocimiento, las acciones y habilidades que el programa debe solucionar y desarrollar según los roles y responsabilidades del personal.
Se puede tomar como guía la siguiente gráfica de entradas y salidas cuyo objetivo es facilitar el desarrollo de la ruta de aprendizaje de un programa de capacitación y concientización.
Para definir las necesidades de conocimiento se pueden plantear tres necesidades, quien debe conocer el para que, quien debe conocer que hacer y quien debe conocer cómo hacer la gestión del riesgo cibernético industrial.
Ahora se plantea de manera genérica el público objetivo, necesidades y acciones para definir un programa basado en las necesidades y conocimientos necesarios para cada uno.
Ahora, retomemos la pregunta inicial.
¿Son estos los temas que se deben desarrollar en los programas de capacitación y concientización?
- Contraseñas seguras
- Ingeniería social
- Uso responsable de los IACS.
- Entre otros…
Seguramente tu respuesta será no, porque estos temas no resuelven las necesidades de conocimiento del para que, que se hace y como se hace, tampoco hay claridad sobre las habilidades y acciones que debe seguir cada público hasta el punto de generar una cultura en la organización desde la ciberseguridad industrial.
La experiencia de WiseCourses ha llevado a desarrollar las siguientes rutas de aprendizaje de concientización y capacitación basadas en la ISA/IEC-62443 que se pueden consultar en el siguiente enlace: https://wiseplant.com/campus-academico/cyber-training/
Get Involved & Participate!
Comments