Vemos muy a menudo cómo las empresas (a través de su personal de seguridad) van de compras y se apresuran a gastar, a menudo empujadas por la presión del negocio, la inercia del mercado, la falta de conocimiento, habilidad y oportunismo de los proveedores, antes de realizar una buena evaluación de riesgos.
La causa de este error es porque están implementando seguridad centrada en activos cibernéticos. Proteger el activo cibernético como lo más importante. Este enfoque puede ser válido para en el campo de la Seguridad de la Información (TI), sin embargo, en el campo de la seguridad industrial este enfoque es incorrecto e insuficiente.
Muchas empresas están implementando soluciones de tipo IDS para monitorización, detección de intrusos y anomalías en sistemas industriales, generando un exceso de alertas de seguridad, y luego desarrollando un análisis de todos los eventos. Esto generalmente se hace, basado en criterios típicos de TI, sin comprender primero qué se debe monitorear realmente, cuáles son las prioridades y cómo responder a cada uno de los eventos cibernéticos. No hay visibilidad de las posibles consecuencias que realmente son las que deben enfocar las decisiones.
Dicho de manera un poco simplista, la seguridad de los activos cibernéticos se prioriza para protegerlos de las personas (amenazas creadas por el hombre), mientras que a nivel de planta buscamos proteger a las personas de los activos cibernéticos, cuando pueden fallar o verse comprometidos sea cual sea la fuente de su amenaza. Erróneamente, todo el análisis de eventos se realiza después de implementar las herramientas.
Comprender la planta Sistemas, Amenazas, Acciones de Amenazas, Consecuencias, Impactos y Riesgos, para invertir… antes… gastar incorrectamente … Saltar a los sistemas de monitoreo, para alarmar a todos, sin un plan de solución de incidentes y respuesta significativo priorizado y racional para proteger lo que realmente importa.
El enfoque correcto para la planta industrial es saber cómo los diferentes eventos pueden afectar (o no) a la planta y, con base en ese conocimiento, definir qué debe monitorearse y cómo debe responderse. Esto se llama «Comprender el riesgo». Antes de comenzar a generar eventos, basados en los criterios de seguridad de la información, a través de racionalidades técnicas, se mitigan los riesgos identificados, luego se diseña el sistema de monitoreo, las alertas (sin falsos positivos), y se crea un plan de respuesta con acciones preventivas inmediatas y precisas.
Todos los análisis de eventos deben efectuarse antes de la implementación de las herramientas. De esta manera, se evitan los excesos de falsos positivos y para cada una de las alertas, antes de implementar una herramienta, ya tienes una respuesta concreta sin perder tiempo. A esto lo llamamos «Racionalización de alertas». Para lograr este objetivo, es esencial comenzar desde el principio. En seguridad de planta debemos analizar primero el comportamiento de los eventos y luego monitorear lo que realmente importa sin falsos positivos. En el ámbito de la planta industrial, debemos evaluar el riesgo, mitigarlo, modificando el diseño de los sistemas, y luego monitorear lo que tiene sentido, y así poder responder de manera eficiente y efectiva, sin demoras.
Dicho de otra manera, comprender los riesgos de la planta, invertir en sistemas, para una solución de respuesta a incidentes racional y significativa para proteger lo que realmente importa.
El diseño conceptual y el diseño detallado son de fundamental importancia, para implementar soluciones con fundamentos técnicos adecuados y así evitar crear una falsa sensación de seguridad. La respuesta a este problema es: racionalización.
Get Involved & Participate!
Comments