WisePlant – A WiseGroup Company

Transformación digital en ciberseguridad industrial

En esta era de transformación digital las tecnologías no pueden convertirse en un dolor para las organizaciones deben ser la respuesta que agrega valor. Por eso es tan importante identificar y conocer el ecosistema en el que se va a desarrollar la estrategia de transformación eso hace la diferencia con respecto a la digitalización.

¿Cuál es el Objetivo de su Programa de Ciberseguridad Industrial?

Vemos como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) en definir los objetivos para su estrategia en seguridad cibernética industrial. Definir claramente los objetivos es el primer gran paso antes de comenzar este gran cambio.

Evaluación de Riesgos Cibernéticos Industriales para tomar decisiones

La metodología para la evaluación de riesgos cibernéticos industriales viene recibiendo muchos debates desde que se comenzó a hablar del tema. Sin embargo, resulta sumamente relevante para los industriales adoptar la metodología correcta. Están aquellos que tienen muchísima experiencia en seguridad de la información y buscan aplicar las mismas prácticas y fórmulas en la industria, y estamos aquellos que sabemos que este acercamiento es insuficiente e inadecuado.

Abordaje de Ciberseguridad Insuficiente!

Abordar la solución a la Ciberseguridad con la propuesta tradicional de IT de seguridad de la información es insuficiente para los sistemas de control, y está lejos de satisfacer las necesidades de las plantas industriales, y mucho más lejos de mitigar el riesgo cibernético en la cantidad mínima necesaria.

Cumpla con todos los requerimientos de la fase de Assessment de la ISA/IEC-62443 sin herramientas adicionales

Zones & Conduits Manager consiste en una solución diseñada y pensada desde cero para satisfacer todos los requerimientos de la serie de normas ISA/IEC-62443, con el agregado de otras regulaciones, tales como, NIST, NERC, C2M2, y muchas otras. El sistema ZCM ha sido exclusivamente concebido para los ambientes industriales más críticos con sus tecnologías tradicionales.

Necesitamos un estándar global para reportar ataques cibernéticos

Las amenazas cibernéticas son un desafío aparentemente imposible. Por su propia naturaleza, que cambian rápidamente, sin bordes, asimétricos, son ridículamente difíciles de predecir y administrar. No es de extrañar que el Foro Económico Mundial haya colocado una vez más a la ciberseguridad cerca de la parte superior de su última lista de riesgos globales . De hecho, la sabiduría convencional sostiene que es solo cuestión de tiempo antes de que su organización sea el objetivo de un ciberataque. Y aunque estamos de acuerdo con Andy Bochman , un analista senior de ciberseguridad en el Laboratorio Nacional de Idaho, que «ninguna cantidad de gasto en defensas lo protegerá por completo de los piratas informáticos», afirmamos que puede reforzar sus defensas para mitigar sustancialmente el riesgo.

En este artículo, nos centramos en el principal desafío en la gestión de la ciberseguridad: la brecha de datos. Muy poca información cibernética está ampliamente disponible, lo que dificulta la evaluación objetiva del impacto potencial de los incidentes. A través de nuestro trabajo con las partes interesadas en todas las regiones e industrias, proponemos un enfoque para identificar qué medir, cómo capturar los datos requeridos y cómo hacer que sean útiles.

Por qué deberíamos compartir información

La información es poder y, en ciberseguridad, es el poder para evitar otros eventos similares. Si se produce una violación en una organización, podemos estar razonablemente seguros de que la misma táctica maliciosa se utilizará en otra organización en el futuro cercano. Si se ponen a disposición los datos sobre esa primera violación conocida, otras organizaciones pueden prepararse y asegurarse de que no se use la misma vulnerabilidad contra ellas. El conocimiento compartido también permite que los reguladores y las fuerzas del orden público administren objetivamente los incentivos para guiar el gobierno corporativo de ciberseguridad, la recopilación de datos y el intercambio de información.

El primer paso es averiguar qué debe medirse exactamente. Para hacer esto, debemos acordar una taxonomía estándar de eventos cibernéticos para poder rastrear y comprender las consecuencias de cualquier ataque. Esta taxonomía debe incluir:

  • fechas relevantes para el incidente (cuándo ocurrió, cuándo se detectó inicialmente, cuándo se informó)
  • tipo de incidente (incumplimiento, malware, denegación de servicio distribuida [DDoS], etc.)
  • tamaño del impacto en los resultados financieros o la capacidad de realizar negocios
  • tipo de impacto (violación de datos, pérdida financiera, operativa, legal, reputacional, propiedad intelectual, etc.)
  • Método utilizado para acceder a la red o los datos (phishing, ransomware, virus, cero días de explotación, etc.)
  • cómo se resolvió el incidente (parche, actualizar la configuración del firewall o el software, etc.) y el costo de la resolución

Por supuesto, ninguna organización quiere declarar públicamente que sufrieron un incidente; no solo quieren evitar revelar vulnerabilidades a los malos actores, sino que no quieren incurrir en el daño a la reputación o financiero que puede conllevar dicha divulgación. Para fomentar el intercambio de información relacionada con la violación, es importante garantizar el anonimato a las organizaciones que informan incidentes. Pero para que los datos de la violación cibernética sean relevantes, cada incidente debe etiquetarse con firmografía, como el tipo de industria de la organización, el rango de ingresos, el número de empleados, la huella geográfica, para que las organizaciones con perfiles similares puedan identificar posibles amenazas e impactos. Con suficientes incidentes reportados, podemos entender mejor la frecuencia y los tipos de incidentes que tienen más probabilidades de ocurrir a nivel industrial, nacional y regional.

Una nota final sobre priorización e inversión: este no es un evento único. El panorama de amenazas cibernéticas está en constante evolución, al igual que los requisitos reglamentarios. La preparación cibernética debe revisarse y ajustarse regularmente.

Cumplimiento y comunicación

Los reguladores de todo el mundo requieren que las compañías divulguen incidentes, pero nuestra investigación muestra que con demasiada frecuencia estos reguladores comparten muy poca información pública para ser de utilidad, si es que comparten alguna. Más concretamente, la mayoría de los reguladores no piden que los tipos correctos de información sean útiles si se comparten. La Comisión de Bolsa y Valores de EE. UU., Por ejemplo, exige que las empresas que cotizan en bolsa divulguen su exposición al riesgo cibernético, pero no exige los tipos específicos de datos que describimos anteriormente. Por lo tanto, no es sorprendente que la mayoría de las empresas simplemente ofrezcan una exención de responsabilidad legal que no ofrece información sobre la exposición o la preparación.

En nuestra investigación observamos que si bien informar sobre los riesgos cibernéticos es un ejercicio puramente basado en el cumplimiento, las compañías elaboran con mayor detalle después de sufrir un incidente cibernético divulgado públicamente.

Si bien el estado actual de la regulación de cumplimiento es bastante inadecuado, nos preocupa que no existan incentivos para que las organizaciones compartan los datos que puedan tener sobre las infracciones cibernéticas y la vulnerabilidad. Para remediar esto, sugerimos una asociación público-privada para brindar a las organizaciones el apoyo operativo que necesitan para monitorear su seguridad y compartir información a través de un recurso confiable.

Un buen ejemplo de este tipo de asociación es Cyber ​​Net , una plataforma en línea desarrollada y administrada por el Equipo Nacional de Respuesta a Emergencias Informáticas de Israel (CERT), parte de la Dirección Nacional de Cibernética de Israel (INCD). Los incentivos para la participación son los que mencionamos anteriormente: acceso a los datos que ayudan a las organizaciones a identificar posibles amenazas y puntos de referencia contra sus pares. Todos los datos se comparten de forma anónima, y ​​el INCD no comparte los datos informados con otras entidades gubernamentales, incluidas las agencias policiales y de investigación. No solo el sector privado puede beneficiarse de este tipo de asociación. Un modelo similar desarrollado para su uso a escala global o regional daría a los gobiernos una visión de las tendencias y los riesgos en evolución en toda su economía para que puedan brindar apoyo en consecuencia.

Creemos que los enfoques nos llevarían un largo camino hacia la gestión del riesgo cibernético. Una vez que adoptemos un enfoque estándar para calcular, medir y comunicar el riesgo cibernético, todos los interesados ​​finalmente podrán tomar decisiones estratégicas basadas en hechos para garantizar la seguridad de los datos de sus empresas, sus socios y sus clientes


Fuente: LINK

WBS para la implementación de ISA/IEC-62443-2-1 en Usuarios Finales

ISA/IEC-62443 indica qué hacer pero no te dice cómo hacerlo. A través de las consultas que recibimos por asesoramiento vemos muchas veces que tanto los usuarios finales como los proveedores de servicios se hallan muy confundidos sobre el tema tan importante como la seguridad cibernética industrial.

You cannot copy the content of this page!