El entorno OT (Tecnología de Operación) comprende mucho más que solamente sistemas de producción y de control industrial. Forman parte de él, los procesos, los proveedores, los sistemas complementarios, las redes de comunicación y las personas.
La diversidad tecnológica se ve reflejada en la complejidad del proceso de producción. Cada paso de fabricación, generación, operación o mantenimiento de productos y/o servicios, requiere de distintas habilidades, competencias y conocimientos, que deben ir alineadas a estándares técnicos y de calidad.
La convergencia entre IT y OT, así como la digitalización y su objetivo primordial de incrementar la eficiencia en los procesos, la inclusión de IioT y la evolución tecnológica del entorno industrial, han permitido que exista más interconexión entre sistemas y mayor flujo de datos desde las redes industriales a las de manejo del negocio.
La protección del entorno OT requiere un entendimiento profundo de cada uno de sus elementos y sobre todo lo los controles que, para ellos, aplican. Más allá de ello, es necesario tener una estrategia definida junto a un mapa de ruta para la implementación de las protecciones que aún no existen y la mejora de aquellas que ya forman parte del entorno. Es ahí cuando el análisis de Madurez entra en juego.
¿Qué es un modelo de madurez en un entorno OT?
Un modelo de madurez persigue evaluar lo más objetivamente posible el nivel de capacidades en materia de ciberseguridad en cuanto procesos establecidos en la organización para gestionar los riesgos cibernéticos, robustez de las medidas de seguridad técnicas aplicadas sobre los sistemas industriales para protección de dichos riesgos detectar amenazas y responder ante ellas para asegurar la continuidad del negocio.
Existen varias metodologías para realizar un análisis de madurez, algunas de ellas orientadas a la infraestructura crítica como el “cybersecurity Capability Maturity Model” (C2M2) de los Estados Unidos, y otras orientadas al aseguramiento de la información como el “Information Assurance Maturity Model” del Reino Unido. Además, basado en la experiencia de sus expertos, en varios casos de estudio, buenas prácticas y estándares internacionales, el Centro de Ciberseguridad Industrial (CCI), ha generado un modelo de madurez y una herramienta para analizar la ciberseguridad industrial. Esta herramienta está disponible para todos los miembros de nuestro ecosistema.
Beneficios de un análisis de madurez en un entorno OT
El principal beneficio que un análisis de madurez brinda a las compañías es la determinación del estado actual en materia de ciberseguridad industrial con respecto a sus requisitos empresariales. Gracias a la naturaleza colaborativa del ecosistema del CCI, el análisis de madurez mediante su herramienta permite no solamente determinar el propio grado de madurez, en materia de Ciberseguridad Industrial, sino la de establecer comparaciones respecto de terceras organizaciones.
Comparar el estado de ciberseguridad industrial puede ser de mucha utilidad sobre todo cuando las organizaciones pertenecen a la misma industria. Es importante indicar que además de comparar resultados entre organizaciones, se genera la oportunidad de compartir conocimiento y buenas prácticas. De esta manera se pueden realizar esfuerzos conjuntos y consistentes para mejorar las capacidades de identificación, protección, detección, respuesta y recuperación.
Adicionalmente, medir el estado actual de madurez en cuanto a la ciberseguridad industrial permite no solamente sentar la línea base de donde se parte en cuanto a la protección de activos, sino también, determinar el nivel de madurez de seguridad objetivo al que se quiere llegar. Mirar al futuro no solo significa determinar la meta, significa también precisar las acciones que la organización ha de seguir a fin de alcanzarla. De esta forma, el responsable de la ciberseguridad industrial tendrá claro todo el panorama, para generar programas y proyectos orientados a la implementación y mejora de controles de protección, priorizando los esfuerzos y recursos en aquellos en los que el grado de madurez sea menor.
Conclusión
El mensaje primordial en cuanto a los análisis de madurez se centra en la capacidad de mejorar la postura de ciberseguridad industrial en una organización. El análisis permite obtener el nivel de madurez de los controles de seguridad implementados en la infraestructura industrial, así como las recomendaciones para cada uno de ellos con respecto a los controles de protección que se deben implementar, considerando todas las dimensiones del proceso de negocio.
De la misma manera, es importante indicar que todos los beneficios que brinda el análisis de madurez son posibles solamente gracias a que la metodología y herramienta están basadas en estándares y buenas prácticas internacionales, lo cual garantiza que tanto los controles listados, así como los diferentes niveles de madurez para cada uno de ellos, sean aplicables al entorno industrial bajo estudio. Las áreas del proceso industrial, sus actividades y los indicadores de cumplimiento que se usan para la evaluación, permiten comprender a detalle el entorno y la mejor estrategia para desarrollar sus salvaguardas.
Finalmente, el análisis de madurez permitirá a la empresa definir el estado actual de su ciberseguridad industrial, determinar un estado futuro de mayor madurez e identificar las capacidades que debe alcanzar para llegar a ese estado futuro. Una tarea de suma importancia que requiere de formación específica. Una formación accesible a través del Taller Evaluación de Madurez del Proceso de Ciberseguridad en Organizaciones Industriales.
Durante la formación el alumno conocerá de manera eminentemente práctica y en profundidad la Herramienta de Evaluación de Madurez del proceso de Ciberseguridad en Organizaciones Industriales. Una herramienta diseñada para que una organización industrial pueda evaluar su madurez en el proceso de Ciberseguridad Industrial en base a ocho áreas de proceso divididas en 4 niveles de madurez. Sin duda, una oportunidad excelente y única para conocer en cualquier momento el estado de la Ciberseguridad en una empresa industrial.
————————————————–
- T01. Taller de evaluación de Madurez del proceso de ciberseguridad en organizaciones industriales (https://www.cci-es.org/Madurez)
- Link a Herramienta de evaluación de madurez del proceso de ciberseguridad en organizaciones industriales (https://www.cci-es.org/activities/herramienta-de-evaluacion-de-madurez-del-proceso-de-ciberseguridad-en-organizaciones-industriales/)
Por:
Fernando Guerrero B.
Profesor CCI