Las organizaciones industriales se enfrentan a numerosas amenazas que pueden acarrear consecuencias impredecibles tanto para su negocio como para el conjunto de la población. Es por ello que la gestión de su estrategia de ciberseguridad industrial debe ser una prioridad.
Es por todos conocida la creciente importancia que está cobrando la ciberseguridad en todo tipo de organizaciones. La incesante actividad de los ciberdelincuentes, de la mano de la pandemia del COVID-19, ha provocado que la seguridad lógica sea hoy más que nunca una prioridad en las organizaciones industriales.
De hecho, son muchos los estudios que exponen un incremento notable del volumen de los ciberataques recibidos por todo tipo de empresas. Y el ámbito industrial, como no podría ser de otra manera, no es ajeno a esta grave problemática.
Pero aunque todo esto parece suficiente motivo para argumentar la necesidad de implementar una correcta ciberseguridad industrial, lo cierto es que no siempre se cuenta con ella. Existen incluso industrias en nuestro país cuyos bienes tecnológicos datan de varios años de antigüedad, con los riesgos que ello conlleva. Sobre todo, si estas se tratan de operadores esenciales o incluso de infraestructuras críticas. Esperemos que la revisión de la conocida como Directiva NIS arroje un poco de luz sobre este aspecto.
No obstante, las organizaciones industriales seguirán siendo vulnerables a los ‘malos’ si continúan sin contar con una estrategia de ciberseguridad acorde a sus necesidades. Una estrategia que les permita tener claro en todo momento qué deben hacer en materia de ciberseguridad industrial: cómo prepararse ante un ciberataque, cómo actuar, cómo defenderse, cómo recuperarse, cómo concienciar a los empleados de la importancia de la seguridad lógica y un largo etcétera. Es decir, una estrategia que aglutine todos los aspectos relativos a las tres fases principales de gestión de la ciberseguridad en las organizaciones: prevención, detección y respuesta.
Esta gran cantidad de ideas fundamentales para la supervivencia de la empresa deben basarse en cuatro pilares:
- Fundamentos del negocio: la estrategia de ciberseguridad industrial ha de alinearse con los objetivos, requisitos y riesgos de la organización en cuestión.
- Alcance del sistema de gestión de la ciberseguridad industrial: identificar su ámbito de aplicación según el punto anterior.
- Política de ciberseguridad industrial: formalizar los requisitos de seguridad en función de los dos puntos anteriores.
- Organización de la ciberseguridad: identificar roles, responsabilidades y organigrama de todo aquel profesional de la compañía dedicado a la ciberseguridad industrial.
Prevención
Todos estos pilares son trascendentales a la hora de establecer una política de ciberseguridad industrial acorde a las necesidades de la organización. Es por ello que sus responsables deberán conocer más en detalle cómo desarrollar todas ellas. Por ejemplo, más de 125 profesionales han podido comprobar de forma práctica cómo definir un alcance y establecer una política que refuerce la estrategia del negocio en el Curso de Responsable de Ciberseguridad en IACS (Sistemas de Automatización y control Industrial), coorganizado por ISA España y el Centro de Ciberseguridad Industrial (CCI).
Otro de los principales pilares que también debe estar presente en la estrategia de ciberseguridad industrial son los propios trabajadores. Es un mantra conocido por todos los integrantes del sector aquello de que “el factor humano es el eslabón más débil de la cadena”, y la pandemia del COVID-19 ha puesto de manifiesto este hecho más que nunca. Por ello, es verdaderamente importante que las organizaciones incidan en concienciar a todos sus integrantes de la trascendencia de la ciberseguridad: desde la alta dirección hasta los trabajadores de escalas más básicas.
Todo esto, unido al establecimiento de la política de seguridad ligada a recursos humanos y de las responsabilidades de seguridad, las cuales harán más fuerte el conjunto de la cadena.
No obstante, las organizaciones no se han de olvidar de uno de los elementos más importantes de toda gestión de la cultura de ciberseguridad: la formación. Y es que “la formación y concienciación del personal son aspectos críticos para garantizar la ciberseguridad de las instalaciones industriales, ya que, en gran medida, aquella dependerá de las acciones realizadas por el personal durante el desempeño de sus funciones laborales”. Así lo resume la Guía SGCI para el responsable de construir un sistema de gestión de la ciberseguridad industrial, editada por el CCI, y que podrás conocer más en detalle en el mencionado Curso de Responsable de Ciberseguridad en IACS.
La formación y concienciación de todos los trabajadores de la organización sobre la importancia de la ciberseguridad es clave para su supervivencia.
Pero en toda gestión preventiva, las organizaciones industriales tampoco deben olvidarse de otro aspecto fundamental en su estrategia de ciberseguridad: las medidas de ciberprotección. Unas disposiciones que han de abordar de manera holística a toda la organización y que el CCI desgrana en los siguientes puntos:
- Medidas de clasificación y protección de datos e información.
- Medidas de control de acceso lógico.
- Medidas de seguridad física y del entorno.
- Medidas de protección de las redes de comunicaciones.
- Medidas de protección del software.
- Medidas de ciberseguridad en las relaciones con terceros.
Todas ellas han de estar reflejadas en el análisis de riesgos junto con los activos, las amenazas, los controles, las vulnerabilidades a las que se expone la entidad y el cálculo del riesgo. Este último, concretamente, es verdaderamente importante, ya que permite a la organización conocer si está sobrepasando, o no, el riesgo admisible. Y si esto sucede, decidir su respuesta para reducir la probabilidad de las amenazas, solucionar las vulnerabilidades o mermar las consecuencias de los impactos.
Detección
Tan importante como la prevención es la detección de los posibles ciberataques que pueda estar recibiendo la organización industrial. Sobre todo, teniendo en cuenta que las empresas tardan de media varios días en detectarlos.
En esta etapa, las organizaciones deben centrarse en reducir el impacto del ciberataque para, posteriormente, mitigarlo. Es por ello que todo responsable de ciberseguridad ha de concentrarse en esta fase fundamentalmente en dos aspectos. El primero de ellos es gestionar la totalidad de las vulnerabilidades del sistema infectado. Y el segundo monitorizar de manera constante y diaria la situación.
Los ciberdelincuentes se han profesionalizado en los últimos tiempos, por lo que las compañías no pueden quedarse atrás. Multitud de entidades de todo el mundo han visto cómo sus sistemas han caído en las garras de los ‘malos’ cuando más daño les pueden hacer: en periodos vacacionales, por la noche, en fines de semana, etc. Y es que los ciberdelincuentes aprovechan, en muchos casos, las situaciones en las que se encuentra menos personal operativo para expandir sus tentáculos.
Por todo ello, es fundamental que los responsables de la seguridad informática e industrial sepan constantemente qué hacer. Y para ello tienen que estar bien entrenados; es decir, realizar con asiduidad ciberejercicios con el objetivo de mejorar la capacidad de respuesta ante incidentes.
Respuesta
Una vez localizado el ciberataque, es hora de actuar directamente contra él. Pero en todo este proceso conjunto no debemos olvidar un aspecto fundamental para la supervivencia de la organización: la continuidad de negocio.
Numerosas organizaciones han perecido cuando han sufrido un ciberataque, por lo que la gestión de la resiliencia ha de quedar patente antes de sufrir un incidente informático. Esta política tiene que contener, según la Guía SGCI para el responsable de construir un sistema de gestión de la ciberseguridad industrial, una declaración de responsabilidades y una estructura organizativa que garantice la puesta en marcha de las medidas adecuadas para lograr la resiliencia de los procesos industriales corporativos ante ciberincidentes. Medidas que habrán de ser compatibles con su capacidad de continuidad del negocio y de respuesta a incidentes.
La gestión de la resiliencia requiere disponer de una estructura que asuma todas las funciones necesarias: dirección, control, tareas de respuesta, seguimiento de incidentes, cometidos proactivos de mantenimiento de los sistemas, etc. Esta estructura tendrá que estar formada por personal interno, aunque también puede estar integrada por profesionales externos; pero siempre estableciendo los roles y responsabilidades necesarios para que una organización gestione de manera correcta su resiliencia y su continuidad de negocio, como se aborda de forma práctica en el Curso de Responsable de Ciberseguridad en IACS.
Todo ello, sin olvidar los comités de crisis, fundamentales a la hora de establecer una política conjunta por parte de todos los departamentos corporativos, incluidos el de comunicación. Y es que la comunicación tanto interna como externa son primordiales a la hora de gestionar correctamente un incidente de ciberseguridad. La reputación, tan importante en los tiempos que vivimos, puede verse muy mermada simplemente si se realiza una mala gestión de la comunicación.
Aprender de los errores
“Después de la tormenta llega la calma”. Este proverbio, tan común en el refranero español, no siempre es cierto, sobre todo a la hora de hablar de ciberseguridad industrial. Estamos todos de acuerdo en que la tempestad absoluta llega cuando la organización ha recibido un ciberataque y todos los objetivos corporativos y de negocio se centran en mitigarlo. Pero después resta una ardua labor en la que el responsable de seguridad de la información y todos los integrantes del departamento de seguridad deben realizar una tarea analítica para conocer qué ha fallado e intentar que no se repita la situación.
El objetivo no es otro que el de aprender de los errores e intentar mejorar. Y una herramienta potente para ello podría ser la auditoría. Pero este proceso no tiene por qué iniciarse necesariamente tras solventar un ciberataque. Por ejemplo, en el caso de un sistema de gestión de la ciberseguridad industrial, para garantizar su sostenibilidad es necesario medir, analizar y evaluar el desempeño en la gestión de los riesgos de ciberseguridad. De esta manera se mejorará su efectividad y se facilitará la integración con otros sistemas de gestión, como los de calidad, medio ambiente, riesgos laborales o seguridad de la información.
La auditoría es una herramienta muy interesante a la hora de aprender de los errores y mejorar tras solventar un ciberataque.
Incluso para administrar esta clase de sistemas, las organizaciones pueden contar con un Plan de Mejora; un documento vivo cuyo objetivo es recopilar todas las acciones implicadas en el perfeccionamiento continuo del sistema de gestión de la ciberseguridad industrial y de sus procesos. Unas acciones de mejora que deben incluir los siguientes elementos:
- Fecha de apertura de la acción preventiva o correctiva.
- Número de acción de mejora.
- Origen de la acción.
- Descripción de la acción de mejora.
- Planificación de la acción de mejora.
- Seguimiento.
Profesionalidad
Como se ha podido ver, este conglomerado de acciones de prevención, detección, respuesta y recuperación deben emanar de la estrategia de ciberseguridad industrial. Un documento vivo en el que es obligatoria su constante evolución y cuyo objetivo es conocer en todo momento qué acciones desempeñar.
De hecho, todas ellas formarán parte del Curso de Responsable de Ciberseguridad en IACS (Sistemas de Automatización y control Industrial), coorganizado por ISA España y el CCI. Esta formación, que se llevará a cabo en cuatro sesiones de cuatro horas cada una.
Gracias a él, los participantes podrán analizar los riesgos e impacto en el negocio. Además, estos obtendrán los conocimientos necesarios para diseñar y proponer un marco de gestión adecuado en las infraestructuras de automatización y control industrial. Incluso gestionar la seguridad digital en un entorno de tecnologías de operación y establecer, implementar y adoptar un programa de seguridad de los sistemas de automatización y control industrial.
Por lo tanto, si tu labor profesional está relacionada con la gestión de riesgos de ciberseguridad en organizaciones industriales o con la automatización industrial, no lo dudes y aprovecha el Curso de Responsable de Ciberseguridad en IACS.
Autor: