Ya hemos hablado de la necesidad de realizar un análisis de riesgo cibernético industrial, y en esta oportunidad abordaremos uno de los errores más comúnmente asumidos “y aceptados” por los entusiastas en la ciberseguridad industrial. ¿Análisis de riesgo basado en vulnerabilidades o en consecuencias?
Cuando el propietario de la planta industrial tiene la posibilidad de tener lo mejor de los dos mundos, los mejores sistemas de control y la mejor seguridad. Cuando las consecuencias ocurren el daño está hecho, y ya no hay vuelta atrás. Por eso decimos que nunca es tarde para ocuparse de la seguridad (rediseño), pero cuando antes mucho mejor (diseño).
Continuamos observando como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) al momento de mitigar el riesgo cibernético industrial. Una de los principales errores consiste en implementar las mismas estrategias que en la seguridad de la información industrial.
Continuamos observando como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) al momento de identificar, evaluar, clasificar y gestionar a los ciber-activos industriales. Una de los principales errores consiste en focalizar y priorizar aquellos que poseen interfaces de comunicaciones por sobre los que no las tienen. Los errores que observamos son muchos y muy significativos.
Durante la evaluación de riesgos cibernéticos industriales con el sistema de gestión de riesgo cibernético industrial «ZCM-RM-ASSESS» podemos mitigar el riesgo de vulnerabilidades que aún no existen o que son desconocidas. La exclusiva metodología desarrollada dentro del sistema ZCM permite tomar decisiones de largo plazo adecuadas para los ámbitos industriales.
The system under consideration (SUC) corresponds to a term widely used in the ISA/IEC-62443 series of standards to refer to a system that is being analyzed or must be evaluated. Although the standards created by the ISA99 committee define in the glossary of terms and abbreviations, this term and concept has a very wide use outside the same committee.
El sistema en consideración (SUC) corresponde a un término utilizado ampliamente en la serie de normas ISA/IEC-62443 para referirse a un sistema que está siendo analizado o debe ser objeto de evaluación. A pesar de que las normas creadas por el comité ISA99 definen en el glosario de términos y abreviaciones, este término y concepto tiene un uso muy amplio fuera del mismo comité.
La metodología para la evaluación de riesgos cibernéticos industriales viene recibiendo muchos debates desde que se comenzó a hablar del tema. Sin embargo, resulta sumamente relevante para los industriales adoptar la metodología correcta. Están aquellos que tienen muchísima experiencia en seguridad de la información y buscan aplicar las mismas prácticas y fórmulas en la industria, y estamos aquellos que sabemos que este acercamiento es insuficiente e inadecuado.
Abordar la solución a la Ciberseguridad con la propuesta tradicional de IT de seguridad de la información es insuficiente para los sistemas de control, y está lejos de satisfacer las necesidades de las plantas industriales, y mucho más lejos de mitigar el riesgo cibernético en la cantidad mínima necesaria.
