Vemos como muchos profesionales con vasta experiencia en Seguridad de la información, compañías industriales que toman acción, consultoras de renombre en seguridad cibernética, organizaciones de gobierno y desarrolladores de tecnología se equivocan (por mucho) en definir los objetivos para su estrategia en seguridad cibernética industrial. Definir claramente los objetivos es el primer gran paso antes de comenzar este gran cambio.

Incorrecto e InsuficienteTomando malas de decisiones. Prioridades Incorrectas.

  • La mayoría de las organizaciones trabajan sobre una hipótesis de trabajo equivocada al asumir que “Si protegen a los Ciber-Activos, entonces protegen a las personas, al medio ambiente, etc.” Esta hipótesis de trabajo es incorrecta.
  • Las bases del Programa de Ciberseguridad Industrial están estructuradas sobre las columnas equivocadas.
  • Es como plantar un gran árbol (que va a crecer) dentro de una maceta pequeña. Se va a caer por su propio peso.
  • Priorizar las acciones de seguridad de la forma equivocada.
  • No conocer lo que se desea o debe proteger.

Correcto y SuficienteSeguridad por Diseño

  • Identificar a todos los receptores de riesgo ante la eventualidad de que los ciber-activos se vean comprometidos.
  • Definir una metodología para la evaluación de riesgos que permita tomar decisiones basadas en las consecuencias que pudieran afectar a todos los receptores de riesgos.
  • Rediseñar o diseñar sistemas y plantas industriales que sean lo suficientemente resilientes para que a pesar de que los ciber-activos sean comprometidos estos no puedan afectar a los receptores de riesgos, seguridad por diseño.

¿Qué estamos protegiendo? ¿Protegemos Ciber-Activos? ¿Seguro?

Incorrecto: muchos creen que si protegemos a los ciber-activos entonces protegemos a las personas, al medioambiente y demás. Esta hipótesis de trabajo es incorrecta y muy alejada de la realidad. En gran medida las amenazas a la seguridad de la información son creadas por el hombre. En definitiva se está protegiendo a los ciber-activos del hombre. Se está dando mayor prioridad a los ciber-activos que a las vidas humanas. Lo piensan y diseñan desde una perspectiva de negocio equivocada.

Correcto: proteger a todos los receptores de riesgos. Evitar que las consecuencias ocurran aunque los ciber-activos sean comprometidos. Es decir, crear infraestructuras tecnológicas resistentes, robustas, tolerantes, adaptables y resilientes a todo tipo de amenazas. En una situación límite estamos dispuestos a perder a un ciber-activo, pero no estamos dispuestos a perder una vida humana. Al menos así debería ser.

Es un error que la gran mayoría de los profesionales, especialmente aquellos especialistas en seguridad de la información comenten. Lamentablemente han influenciado demasiado a los gobiernos y a los CEOs de las compañías en tomar decisiones equivocadas y han creado regulaciones que no sirven para proteger a los receptores de riesgos o que son insuficientes. Protegen a los ciber-activos del hombre, en vez de proteger al hombre de los ciber-activos vulnerables.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Para qué queremos o debemos ocuparnos de la Ciberseguridad Industrial?

Incorrecto: Estamos haciendo todo esto para proteger a los Ciber-activos porque los Ciber-activos, la información y los datos que están dentro de los ciber-activos son lo más importante para mi organización. Esto puede ser correcto para los sistemas corporativos desde la perspectiva del negocio. Es lo habitual para los profesionales de seguridad de la información. Es incorrecto desde la perspectiva de los procesos industriales.

Correcto: estamos realizando todo esto para proteger a todos los receptores de riesgo y para evitar que las consecuencias en el mundo físico ocurran. Los efectos de los ciber-activos industriales, una vez comprometidos, pueden provocar consecuencias fuera de los ciber-activos y no dentro de los ciber-activos. La gran mayoría de las veces la información y los datos que están dentro de los ciber-activos industriales resultan irrelevantes.

Los ciber-activos industriales están inmersos en un mundo físico, donde lo que deseamos y debemos proteger está por fuera de los ciber-activos. OT es el dominio de la seguridad física. IT es el dominio de la seguridad de la información. Existen muchas y significativas diferencias entre IT y OT. Problemas diferentes requiren soluciones diferentes. Muy diferentes!


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Qué debemos conseguir como resultado?

Incorrecto: los errores que vemos a menudo son muy variados. La mayoría de las veces vemos que se pretende evitar que se vean comprometidos los ciber-activos de las amenazas cibernéticas. Protegen a los Ciber-activos de las mismas amenazas que afectan a los sistemas de información. Priorizan a los Ciber-activos desde la perspectiva del negocio. Encaran a la seguridad cibernética industrial de la misma forma que la seguridad de la información. Priorizan sobre aquellos ciber-activos que se conectan a la red o a las redes. Estos son algunos de los errores más comunes.

Correcto: Controlar el riesgo cibernético industrial a los límites tolerables por la organización. Evitar que ocurran todas las consecuencias identificadas en el dominio de la seguridad física que pueden afectar a todos los receptores de riesgo internos y externos a la organización, incluyendo al negocio. No sub-estimar a ningún ciber-activo.

Todos los activos que sean cibernéticamente sensibles deben ser analizados, esténn conectados o desconectados de las redes. Cualquier componente cibernéticamente sensible debe ser analizado desde la perspectiva de los receptores de riesgo y no únicamente desde la perspectiva del negocio y de la seguridad de la información.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Nuestro Programa cumple con los objetivos?

Incorrecto: Como primera medida deben estar bien definidos los objetivos. Si los objetivos están mal definidos, podemos cumplir perfectamente bien los objetivos incorrectos. Esto es lo que habitualmente ocurre. Muchas veces se observa que las organizaciones no comprenden a las normas.

Correcto: Una vez que los objetivos están bien definidos, será cuestión de realizar las cosas correctas, normas correctas, procedimientos correctos, etc. Hacer las cosas bien.

Implementar las normas correctas de forma correcta.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Qué es un incidente cibernético industrial?

Incorrecto: Este es uno de los errores más comunes y habituales. Cuando se implementa un sistema de seguridad de la información se consideran a los eventos cibernéticos como incidentes. Esto es incorrecto. Los eventos cibernéticos o típicamente considerados incidentes desde la perspectiva de la seguridad de la información resultan insignificantes y sin importancia en el dominio de la seguridad física. Se generan demasiados falsos positivos. Como consecuencia se realizan muchas actividades innecesarias y costosas que no sirven para nada. Se pierde confianza en el programa.

Correcto: Los incidentes cibernéticos industriales son únicamente aquellos que tiene algún potencial de provocar una consecuencia que afecte a los receptores de riesgo. Inclusive las mismas consecuencias. Requiere diferenciar entre eventos cibernéticos sin importancia de los incidentes cibernéticos. Priorizar los eventos cibernéticos de acuerdo con el riesgo real.

Es muy importante que los incidentes cibernéticos tengan una correlación con los eventos físicos y el comportamiento físico de la planta. Los incidentes a la ciberseguridad industrial se encuentran fuera de los ciber-activos y no dentro de loa ciber-activos como ocurre en la seguridad de la información.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Cuánto riesgo estamos dispuestos a tolerar?

Incorrecto: Comenzar una evaluación de riesgos en función del presupuesto que se tiene para gastar, se desea o se puede gastar. Vemos como muchas compañías y organizaciones evitan los pasos iniciales y se lanzan a realizar actividades de la forma incorrecta.

Correcto: Realizar una evaluación de riesgos para comer buenas decisiones partiendo del riesgo tolerable por la organización.

Una vez que se tiene bien identificada la tolerancia al riesgo y la metodología adecuada para tomar buenas decisiones, entonces ahí comenzar con las evaluaciones de riesgos.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


¿Cómo estamos tomando decisiones?

Incorrecto: utilizar la metodología incorrecta. Muchas organizaciones acostumbran a emplear datos estadísticos y estudios de vulnerabilidades para tomar decisiones de mitigación de riesgos cibernéticos industriales. Ambos criterios son incorrectos y llevarán a tomar decisiones equivocadas, gasto de dinero y soluciones insuficientes.

Correcto: utilizar una metodología para la toma decisiones que cumpla con los requerimientos RAGAGEP y la serie de normas ISA/IEC-62443. Se mitigan todos los riesgos inaceptables por diseño con decisiones de largo plazo independiente de las nuevas vulnerabilidades y de las nuevas amenazas.

La metodología incorrecta significa automáticamente tomar malas decisiones. La metolodología correcta significa tomar buenas decisiones.


close






LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author:

Eduardo Kando

WiseGroup Manager

Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.


La triste realidad:Lo que termina ocurriendo

  • Los incidentes siguen ocurriendo.
  • Priorización Incorrecta.
  • Gastan mucho más dinero del necesario.
  • Toman medidas de seguridad incorrectas.
  • Las acciones de seguridad son insuficientes.
  • Implementan soluciones de corto plazo.
  • No resuelven el problema.

Lo que debe ser:Algunos si lo están logrando

  • Las consecuencias no aceptables ya no pueden ocurrir.
  • Priorizan los ciber-activos de forma correcta.
  • Invierten lo justo y necesario.
  • Toman decisiones correctas, efectivas y eficientes.
  • Acciones de seguridad suficientes.
  • Implementan soluciones de largo plazo.
  • Resuelven el problema.
close

LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author: Eduardo Kando WiseGroup Manager
Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.

No se han encontrado preguntas.