La metodología para la evaluación de riesgos cibernéticos industriales viene recibiendo muchos debates desde que se comenzó a hablar del tema. Sin embargo, resulta sumamente relevante para los industriales adoptar la metodología correcta. Están aquellos que tienen muchísima experiencia en seguridad de la información y buscan aplicar las mismas prácticas y fórmulas en la industria, y estamos aquellos que sabemos que este acercamiento es insuficiente e inadecuado.

La metodología para la gestión de riesgo es utilizada para tomar decisiones, definir las acciones que son necesarias implementar para mitigar el riesgo y justificar inversiones.

Pensamiento: Si dos metodologías de gestión de riesgo sugieren decisiones diferentes, entonces al menos una de ellas está incorrecta o es insuficiente.

La metodología propuesta por la ISA/IEC-62443 cumple con los requerimientos RAGAGEP (Recognized And Globaly Accepted Good Engineering Practices). Debido a que la ciberseguridad industrial se encuentra inmersa en el dominio de la seguridad física con serias y muy peligrosas consecuencias e impactos en el mundo físico, este es un tema de sustancial importancia.

A su vez la Ciberseguridad Industrial debe compartir los mismos recursos que otras múltiples disciplinas de riesgo industrial, como suelen ser, la seguridad funcional, seguridad intrínseca, seguridad medioambiental, seguridad de las personas, HACCP y FDA (Alimentos y Farma), y muchas otras según cada una de las industrias.

Es fundamental que las acciones de mitigación de riesgos sean consistentes entre todas estas disciplinas y no compitan entre sí. Sino que por el contrario se deben potenciar y no anular. No se puede mejorar una disciplina de riesgo en perjuicio de otra. La seguridad industrial no puede ser abordada asintótica o sistemáticamente como un proceso de “prueba y error”. Hay vidas humanas en juego entre muchos otros peligros.

NIST, NERC, etc (Tradicional de IT)Seguridad de la Información

ISA/IEC-62443 (RAGAGEP)Seguridad basada en Consecuencias

Un enfoque basado en datos estadísticos tomando cantidad de incidentes del mercado, agrupados por segmento industrial, y una valorización de la severidad de las Vulnerabilidades,  que no toma en consideración a las necesidades de las demás disciplinas de riesgo industrial.

Enfoque basado en consecuencias de cada proceso y en los potenciales impactos para cada uno de los receptores de riesgo. Un proceso multidisciplinario consistente con las demás disciplinas de riesgo industrial.

Aborda a la organización como un todo, sin diferenciar los procesos más críticos de aquellos procesos menos críticos. Considera a todos los procesos de la misma criticidad.

Aborda a cada proceso de forma individual, particionando en Zonas y Conductos, tomando decisiones en función de la criticidad de cada proceso de forma individual. Prioriza los procesos más críticos de los menos críticos.

(1) A los procesos menos críticos se los carga con mayores medidas de seguridad a las necesarias, dedicando más recursos de los necesarios. La contribución a la disminución de riesgo es baja. El exceso de medidas de seguridad en los procesos menos críticos no reduce el riesgo.

(2) A los procesos más críticos se los protege de menos, no contribuyendo a la disminución real y mínima necesario efectiva del riesgo.

(1) En los procesos más críticos se toman mayores medidas de seguridad, proporcional a los potenciales impactos.

(2) Las contramedidas pueden ser tecnológicas, administrativas y físicas.

(3) Se incorpora a la seguridad por diseño, donde la mitigación de un riesgo cibernético puede dar como resultado una modificación física de la planta.

Esta es una metodología para la toma de decisiones que en la estadística parece tener sentido, pero en la práctica no se distribuyen destinan los recursos de forma adecuada. Se gasta de más donde no es necesario y se invierte de menos donde realmente hace falta.

La metodología para la toma de decisiones de seguridad valoriza e incorpora la medición de los potenciales impactos en cada uno de todos los receptores de riesgos y por cada uno de los procesos. Se distribuyen los esfuerzos de seguridad de forma óptima con una contribución necesaria y suficiente para la mitigación del riesgo en el dominio de la seguridad física.

No tiene en cuenta a todos los receptores de Riesgo para la toma de decisiones. No toma responsabilidad de la seguridad de personas, seguridad del medioambiente, etc. Se limita a la seguridad de la información y datos. No tiene una forma de medir qué tanto contribuyen sus decisiones a la reducción de riesgo de cada uno de todos los receptores de riesgo.

Considera y evalua a todos los posibles tipos de amenazas que puedan comprometer a la seguridad de la infraestructura tecnológica industrial. Ejemplos: Externas/Internas, Intencionadas/No-Intencionadas, Tecnológicas, Basadas en las Personas y Naturales.

Algunas observaciones adicionales:

1. El enfoque tradicional de IT no prioriza a la disponibilidad de la misma forma que si lo requieren los sistemas industriales. Las tecnologías de la información más críticas pueden llegar un máximo de 4 a 5 nueves, cuando en los sistemas industriales más críticos y peligrosos la disponibilidad tiene un mínimo de 7 nueves. El mundo de IT no está acostumbrado a trabajar con sistemas de naturaleza determinística y de una muy elevada disponibilidad, entre muchas otras diferencias.

2. Por otro lado, los sistemas de información aceptan mucho más rápidamente a la cobertura de riesgo por la compañía aseguradora. En el ámbito industrial este no es un enfoque suficiente porque debemos lidiar con la vida de las personas, daños al medioambiente de forma permanente, entre muchos otros. Explicado de otra forma más clara y concreta: Al operador que debe ir a trabajar todos los días a la planta, no le sirve de nada que la organización tenga un seguro. La tolerancia al riesgo cibernético es mucho menor y no puede ser resuelta por aproximaciones sucesivas.

About the author: Maximillian Kon WiseGroup Manager ISA Qualified Instructor
CEO & Managing Director