Continuamos observando como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) al momento de mitigar el riesgo cibernético industrial. Una de los principales errores consiste en implementar las mismas estrategias que en la seguridad de la información industrial.

Incorrecto, Insuficiente, CostosoSin evaluación de riesgos la seguridad es un gasto, porque el esfuerzo no garantiza la mitigación de riesgos

En un análisis de brecha se evalúa una lista de controles sobre los activos críticos, verificando el procedimiento, su implementación y mejoramiento continuo, para utilizar el resultado en la definición de un programa de Ciberseguridad Industrial para disminuir las brechas.

Pregúntate:

  • ¿Conozco cada activo cibernético, sus riesgos, sus vulnerabilidades, su criticidad y sus consecuencias?
  • ¿Los controles definidos en las regulaciones son todos efectivos?
  • ¿Los controles definidos en las regulaciones son suficientes?

Correcto, Suficiente, Efectivo y EconómicoCon análisis de riesgos la seguridad es una inversión, el esfuerzo se aplica basado en el conocimiento

Evaluación de riesgo cibernético industrial y toma de decisiones basado en el conocimiento es fundamental para la selección de todas las acciones que sean efectivas y eficientes para la mitigación de riesgo. Las decisiones están justificadas por una metodología científica evitando acciones ineficientes e ineficaces. Al principio para muchos profesionales esta metodología asusta un poco, parece compleja, pero en realidad es la que brinda los mejores resultados.

La triste realidad:Lo que termina ocurriendo

  • El costo inicial es muy elevado por la cantidad de acciones innecesarias e ineficientes.
  • Al costo de manteniendo es elevado por la cantidad de acciones innecesarias e ineficientes que deben ser mantenidas en el tiempo.
  • Se desarrolla una obsesión por mitigar vulnerabilidades que no generan ningún riesgo real a la planta.
  • El Costo Total de Propiedad (TCO) de los sistemas industriales como consecuencia de una estrategia de seguridad insuficiente es muy elevado. Habitualmente oscila entre un 25% a un 40%.
  • Se desconoce el riesgo cibernético real. No se lo calcula de forma correcta. Muchas organizaciones asumen que un estudio de madurez o un estudio de brechas es un análisis riesgos cuando en realidad no lo es.
  • Se desconoce el riesgo residual. La incapacidad para calcular el riesgo cibernético hace que no se pueda conocer el riesgo actual o el riesgo real luego de implementar una gran cantidad de controles.
  • Las decisiones son habitualmente de corto plazo. Se ejerce mucha presión sobre la necesidad e importancia de mitigar toda vulnerabilidad nueva que se descubre.

Lo que debe ser:Algunos si lo están logrando

  • La inversión inicial es baja debido a que se tiene como resultado una menor cantidad de recomendaciones pero que son muy efectivas y muy eficaces.
  • Se tiene una clara visualización y cálculo del riesgo cibernético industrial y se sabe para cada una de las recomendaciones los riesgos específicos que mitigan.
  • El costo de mantenimiento anual es menor, debido a que son menores acciones que mantener. A su vez estas recomendaciones como son generalmente por diseño, requiere menos mantenimiento.
  • El Costo Total de Propiedad (TCO) de los sistemas industriales se incrementa levemente. Usualmente en el entorno del 5%.
  • El riesgo cibernético industrial es calculado de forma consistente con las demás disciplines de riesgo industrial.
  • El riesgo residual luego de implementar todas las recomendaciones es tolerable por la organización.
  • Las decisiones y acciones de mitigación son de largo plazo, generando cierta independencia hacia las nuevas vulnerabilidades y las eventuales nuevas amenazas.
About the author: Eduardo Kando WiseGroup Manager