Vemos como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) en definir los objetivos para su estrategia en seguridad cibernética industrial. Definir claramente los objetivos es el primer gran paso antes de comenzar este gran cambio.

Malas decisiones. Prioridades Incorrectas. Incorrecto e Insuficiente.

La mayoría de las organizaciones trabajan sobre una hipótesis de trabajo equivocada al asumir que «Si protegen a los Ciber-Activos, entonces protegen a las personas, al medio ambiente, etc.» Esta hipótesis de trabajo es incorrecta.
Las bases del Programa de Ciberseguridad Industrial están estructuradas sobre las columnas equivocadas.
Es como plantar un gran árbol (que va a crecer) dentro de una maceta pequeña. Se va a caer por su propio peso.
Priorizar las acciones de seguridad de la forma equivocada.
No conocer lo que se desea o debe proteger.

Seguridad por Diseño. Correcto y Suficiente.

Identificar a todos los receptores de riesgo ante la eventualidad de que los ciber-activos se vean comprometidos.
Definir una metodología para la evaluación de riesgos que permita tomar decisiones basadas en las consecuencias que pudieran afectar a todos los receptores de riesgos.
Rediseñar o diseñar sistemas y plantas industriales que sean lo suficientemente resilientes para que a pesar de que los ciber-activos sean comprometidos estos no puedan afectar a los receptores de riesgos, seguridad por diseño.

La gran mayoría no está respondiendo bien a esta pregunta. ¿Para qué deseamos o debemos ocuparnos de la Ciberseguridad Industrial?

Es un error que la gran mayoría de los profesionales, especialmente aquellos especialistas en seguridad de la información comenten. Lamentablemente, han influenciado demasiado a los gobiernos y a los CEOs de las compañías en tomar decisiones equivocadas y han creado regulaciones que no sirven para proteger a los receptores de riesgos o que son insuficientes. Protegen a los activos cibernéticos del hombre, en vez de proteger al hombre de los activos cibernéticos vulnerables.

Incorrecto: muchos creen que si protegemos a los activos cibernéticos entonces protegemos a las personas, al medioambiente y demás. Esta hipótesis de trabajo es incorrecta y muy alejada de la realidad. Se está dando mayor prioridad a los activos cibernéticos que a las vidas humanas.

Correcto: proteger a todos los receptores de riesgos. Evitar que las consecuencias ocurran aunque los activos cibernéticos sean comprometidos. En una situación límite estamos dispuestos a perder a un activo cibernético, pero no estamos dispuestos a perder una vida humana. Al menos así debería ser.

La gran mayoría no está respondiendo bien a estas preguntas. ¿Qué estamos protegiendo? ¿Protegemos activos cibernéticos? ¿Seguro?

Incorrecto: estamos protegiendo a los activos cibernéticos, a su información y los datos que están dentro de ellos porque es lo más importante para mi organización. Esto puede ser correcto para los sistemas corporativos desde la perspectiva del negocio y es lo habitual para los profesionales de seguridad de la información. Es incorrecto desde la perspectiva de los procesos industriales.

Correcto: estamos protegiendo a todos los receptores de riesgo y para evitar que las consecuencias en el mundo físico ocurran. Los efectos de los activos cibernéticos industriales, una vez comprometidos, pueden provocar consecuencias fuera de estos y no dentro. La gran mayoría de las veces, los datos que están dentro de los activos cibernéticos industriales resultan irrelevantes.

Los activos cibernéticos industriales están inmersos en un mundo físico, donde lo que deseamos y debemos proteger está por fuera de ellos. OT es el dominio de la seguridad física. IT es el dominio de la seguridad de la información. Existen muchas y significativas diferencias entre IT y OT. Problemas diferentes requieren soluciones diferentes. ¡Muy diferentes!

La gran mayoría no está respondiendo bien a esta pregunta. ¿Que debemos conseguir como resultado?

Incorrecto: evitar que se vean comprometidos los activos cibernéticos por las amenazas cibernéticas. Proteger a los activos cibernéticos de las mismas amenazas que afectan a los sistemas de información. Encaran a la seguridad cibernética industrial de la misma forma que la seguridad de la información. Priorizan sobre aquellos activos cibernéticos que se conectan a la red o a las redes.

Correcto: controlar el riesgo cibernético industrial a los límites tolerables por la organización. Evitar que ocurran todas las consecuencias identificadas en el dominio de la seguridad física que pueden afectar a todos los receptores de riesgo internos y externos a la organización, incluyendo al negocio. No sub-estimar a ningún componente.

Todos los activos que sean cibernéticamente sensibles deben ser analizados, estén conectados o desconectados de las redes. Cualquier componente cibernéticamente sensible debe ser analizado desde la perspectiva de los receptores de riesgo y no únicamente desde la perspectiva del negocio y de la seguridad de la información.

La gran mayoría no está respondiendo bien a esta pregunta. ¿Nuestro programa cumple con los objetivos?

Incorrecto: si los objetivos están mal definidos, podemos cumplir perfectamente bien los objetivos incorrectos. Cumplir a la perfección con objetivos incorrectos puede resultar irrelevante.

Correcto: una vez que los objetivos están bien definidos, es cuestión de realizar las cosas correctas, implementar de forma correcta las normas, procedimientos correctos, etc. Hacer las cosas bien.

Implementar las normas correctas de forma correcta. Muchas veces se observa que las organizaciones no comprenden a las normas. Como primera medida deben estar bien definidos los objetivos.

La gran mayoría no está respondiendo bien a esta pregunta. ¿Qué es un incidente cibernético industrial?

Incorrecto: cuando se implementa un sistema de seguridad de la información se consideran evento cibernético a todo aquellos que comprometa o pueda comprometer a la confidencialidad, integridad o disponibilidad, sin conocer las potenciales consecuencias en el mundo físico.

Correcto: los incidentes cibernéticos industriales son aquellos que tiene algún potencial de provocar una consecuencia que afecte a los receptores de riesgo. Requiere identificar eventos cibernéticos en contexto con el mudo físico y el riesgo real.

Este es uno de los errores más comunes y habituales. Cuando se implementa un sistema de seguridad de la información se consideran a los eventos cibernéticos como incidentes. Esto es incorrecto. Los eventos cibernéticos o típicamente considerados incidentes desde la perspectiva de la seguridad de la información resultan insignificantes y sin importancia en el dominio de la seguridad física. Se generan demasiados falsos positivos sin respuesta, muchas actividades innecesarias y costosas que no sirven para nada.

La gran mayoría no está respondiendo bien a esta pregunta. ¿Cómo estamos tomando decisiones?

Incorrecto: utilizar la metodología incorrecta. Muchas organizaciones acostumbran a emplear datos estadísticos y estudios de vulnerabilidades para tomar decisiones de mitigación de riesgos cibernéticos industriales. Ambos criterios son incorrectos y llevarán a tomar decisiones equivocadas, gasto de dinero y soluciones insuficientes.

Correcto: utilizar una metodología para la toma decisiones que cumpla con los requerimientos RAGAGEP y la serie de normas ISA/IEC-62443-3-2. Se mitigan todos los riesgos inaceptables por diseño con decisiones de largo plazo independiente de las nuevas vulnerabilidades y de las nuevas amenazas.

La metodología incorrecta significa automáticamente tomar malas decisiones. La metolodología correcta significa tomar buenas decisiones.

Lo que termina ocurriendo. La triste realidad:

Los incidentes siguen ocurriendo.

Priorización Incorrecta.

Gastan mucho más dinero del necesario.

Toman medidas de seguridad incorrectas.

Las acciones de seguridad son insuficientes.

Implementan soluciones de corto plazo.

No resuelven el problema.

Algunos si lo están logrando. Lo que debe ser:

Las consecuencias no aceptables ya no pueden ocurrir.

Priorizan los activos cibernéticos de forma correcta.

Invierten lo justo y necesario.

Toman decisiones correctas, efectivas y eficientes.

Acciones de seguridad suficientes.

Implementan soluciones de largo plazo.

Resuelven el problema.

About the author: Eduardo Kando

Noticias que Importan

Entradas recientes

Próximos Eventos

ARPEL: Panel de Intercambio y Reflexión en Ciberseguridad Industrial

Curso 2151: Gestión de la ciberseguridad industrial para gerentes de proyectos en los sectores de energía, petróleo y gas (ID#74711)

Curso IC34: Diseño e Implementación de Ciberseguridad en Sistemas Industriales Nuevos y Existentes, Español (ID#73832)

Curso IC37: Operación y Mantenimiento de Ciberseguridad en Sistemas Industriales, Español (ID#73834)

Curso IC32: Empleando el Estándar ISA/IEC-62443 para Proteger a los Sistemas de Control, Español (ID#74714)

WisePlant Group LLC

WiseCourses Academy

Hable con Expertos

Noticias OTConnect

OTC – Novedades

¿Cuál es el Objetivo de su Programa de Ciberseguridad Industrial?