ISA/IEC-62443 indica qué hacer pero no te dice cómo hacerlo. A través de las consultas que recibimos por asesoramiento vemos muchas veces que tanto los usuarios finales como los proveedores de servicios se hallan muy confundidos sobre el tema tan importante como la seguridad cibernética industrial.

También hemos visto muchas veces a través de varios procesos de licitación a los que nos han invitado, afirmando que la empresa está implementando la ISA/IEC-62443 y una vez que pasamos a las especificaciones y a la lectura de los requisitos, los documentos recibidos no tienen nada que ver con ISA/IEC-62443. Vemos como muchas veces han tomado un poco de todo creando una especie de Frankenstein generando más confusión entre los proveedores y luego muy difícil de evaluar y comparar propuestas.

La ciberseguridad industrial es un cambio cultural, y es un gran viaje donde la empresa pasará por un proceso de madurez, así como sus proveedores de soluciones y de servicios. Se debe establecer un programa apropiado con políticas y procedimientos antes de hacer cualquier cosa. Saltar directamente a la realización de una evaluación de riesgos situará a la empresa en una situación difícil. Las raíces necesitan ser correctamente asentadas, y sin esto el árbol en crecimiento finalmente caerá por su propio peso contra el viento más pequeño.

En este gran tema las suposiciones equivocadas, la falta de los conceptos correctos, la falta de capacitación oficial Certificada ISA, la falta de conocimiento real sobre los sistemas de control, el asesoramiento incorrecto sin experiencia previa, y aquellos procesos tomados prestados de los estándares de seguridad de la información, más probablemente situarán a la empresa en el camino equivocado para resolver el problema en el dominio físico. Por eso, la compañía se dará cuenta de que está en el camino equivocado una vez que sea demasiado tarde.

Muchas veces el dominio físico de una empresa está dividido en sub dominios en los cuales las políticas son diferentes, no habiendo una política general de la empresa.  Resulta fundamental el rol de los proveedores de servicios en su interacción con los sistemas de control, muchas veces la falta de conocimiento de las políticas del cliente lleva a “romper las reglas” en las instancias de manejo de equipamiento sensible de una instalación crítica.