Implementar un Plan de Ciberseguridad Industrial en los entornos de sistemas de control industrial (SCI), es una tarea de relevante importancia a tener muy en consideración. Para tal efecto, es imprescindible profundizar en las mejores prácticas y normativas internacionales existentes, como ser la familia ISO27000 y la IEC62443 (esta última más específica y enfocada en la ciberseguridad industrial).
Actualmente nos encontramos frente a una larga lista de conceptos, modelos y definiciones que conocemos, comprendemos y los cuales queremos aplicar a nuestro entorno operativo diario y habitual pero, salvo excepciones… ¡No sabemos por dónde empezar! Y menos aún como ordenar todas estas herramientas y conocimientos adquiridos.
El primer factor crítico de éxito que siempre debemos tener en nuestras miras es que este camino se construye de forma multidisciplinaria y con un claro y explícito apoyo de la Alta Dirección de la empresa. En la confección de un Plan de Ciberseguridad Industrial participan no solo el área de Ciberseguridad, sino también sistemas (IT), operaciones (OT) y el resto de las áreas como Talento Humano, medio ambiente, seguridad física, y otras.
Es aquí donde necesitamos aplicar gestión, organización, saber detectar brechas, priorizar iniciativas, establecer tiempos y asignar recursos a un plan de acción que realmente sea ejecutable en tiempo y forma.
¿Parece simple? No lo es ni remotamente. Es necesario poder abstraernos un poco del día a día, lograr una visión generalizada y realizar un “vuelo de pájaro” guiando la trayectoria del mismo por la teoría sin dejar de visualizar el día a día operativo.
Pero sin duda, el gran aprendizaje debe ser: “a no desesperar” ya que para este “ordenamiento” tenemos herramientas muy útiles que nos ayudarán a pensar, planificar y elaborar un plan realista “bajando a tierra” tiempos, recursos y presupuesto.
Punto de partida: Tomar una foto del momento actual
Ante la sensación de caos que sentimos (muy normal por cierto para esta primera etapa) al no hallar la punta del ovillo para desenredarlo y comenzar a construir, lo mejor es alejarnos un poco. La perspectiva nos permitirá tomar una foto de nuestro estado actual de ciberseguridad en la empresa. No necesitaremos una cámara fotográfica como tal, sino una herramienta que nos permita recorrer los diferentes dominios tecnológicos revisando los conceptos y modelos de ciberseguridad que hemos visto en normas y mejores prácticas a lo largo de diferentes formaciones y especializaciones.
Medir nuestro grado de madurez actual
Una vez elaborado la primera toma de contacto, pasaremos a medir el grado de madurez de la ciberseguridad industrial. Es el mismo concepto de madurez que ya aplicamos en otros ámbitos (como ser al crecimiento de nosotros mismos, los seres humanos) y que nos permite visualizar “donde estamos parados hoy”. Aunque pueda parecer repetitivo, es imperativo para aportar solidez al proyecto y para poder congelar y documentar este instante, y tomarlo como punto de partida para comenzar la película de establecer y robustecer la Ciberseguridad industrial.
Modelos como el C2M2 (Cybersecurity Capability Maturity Model) desarrollado por el Departamento de energía de los Estados Unidos de América, o la Herramienta de Evaluación de Madurez de Ciberseguridad en Organizaciones Industriales desarrollada por el mismo CCI (Centro de Ciberseguridad Industrial) son ideales para dar este paso de forma profesional y comenzar a trazar un verdadero plan de acción que sea realizable en tiempo y forma en el mundo real. Estas herramientas nos permiten segmentar la problemática por dominios (conjunto de mejores prácticas agrupadas por afinidad temática) y dentro de cada uno de ellos identificar nuestros puntos débiles, nuestras vulnerabilidades, y por tanto, las brechas que debemos mitigar para robustecer el estado actual de ciberseguridad en el que nos encontramos.
Segundo Paso: Evaluar la criticidad de las brechas halladas
Si bien hasta aquí ya hemos dado un gran primer paso que suele ser el más complicado, ahora debemos ver como avanzar. Ya tenemos esa foto que nos muestra el estado de situación actual, segmentando el vasto universo de la ciberseguridad que nos permite ver las brechas o hallazgos clasificados por dominios y en consecuencia, ya podemos enfocarnos en asignar un cierto nivel de criticidad a cada una de ellas.
Es aquí donde confeccionaremos una lista con dichas brechas y hallazgos asignándoles un nivel de importancia (criticidad) a cada una de ellas. Para ello, debemos pensar las mismas acorde al riesgo que implican para la organización así como a las consecuencias que podrían aparejar la explotación de dichas brechas. En este paso nos enfocamos estrictamente en otorgar un nivel de criticidad a cada brecha y/o hallazgo olvidándonos (por ahora) de los factores tiempo y recursos (ya vendrá el momento de ocuparnos de ellos).
Debemos por lo tanto pensar en análisis de ciber riesgos, en las consecuencias que cada brecha podría traernos y en base a ellos les daremos un nivel de criticidad que en los próximos pasos veremos cómo utilizar.
Diseño conceptual y detallado de un Plan de acción Ciberseguridad Industrial
A esta altura ya deberíamos tener más claro y ordenado el panorama que cuando iniciamos el proceso aunque aun faltarán unos pasos más que dar para sentir que esto empieza a marchar y fluir de manera natural. Hasta aquí tenemos una lista de hallazgos y/o brechas, segmentadas por dominios o por temas en particular que hacen a la Ciberseguridad (como ser gestión de activos e identidades, estructura de la organización, gobernanza, etc.) y con un grado de criticidad que hemos establecido.
Es ahora donde comenzamos a dar forma a un verdadero Plan de acción de Ciberseguridad industrial o Sistema de Gestión de Ciberseguridad Industrial (SGCI) siguiendo las mejores prácticas y normativas del mercado. Es en esta etapa es donde tomamos las brechas y hallazgos y les damos un orden de prioridad basados en la criticidad que asignamos anteriormente.
Posteriormente a esta lista comenzamos a agruparlas por afinidad creando una lista de iniciativas para mitigar dichas brechas y hallazgos. Como vemos, es el momento de pensar en las contramedidas que debemos implementar. Estas serán la base de nuestro plan de acción. Estas iniciativas estarán compuestas por actividades y tareas que situaremos en una línea de tiempo para su ejecución y a las que asignaremos distintos recursos (técnicos y personal) así como un presupuesto – partida económica.
Será entonces el momento de asegurar que hemos creado un verdadero Plan de acción en tiempo, recursos y presupuesto; con las consideraciones teóricas de las mejores prácticas y normas internacionales y teniendo en cuenta la realidad de nuestro día a día, de la operación y la cultura de empresa.
Vaya por delante que crear este Plan lleva tiempo de análisis, de diseño, de conocimiento de la arquitectura propia de los sistemas industriales, de revisión y de mejora continua y sobre todo es imprescindible un explícito patrocinio de la Alta Dirección de la empresa. Un apoyo sin el que es imposible que el mismo pueda funcionar y fluir dentro de los distintos sectores de la Organización. Tal y como arrancamos este post, este es un trabajo multidisciplinario que no abarca solo al área de ciberseguridad, de sistemas (IT) y de operación (OT) sino que es transversal a toda la organización, pues la Ciberseguridad se construye día a día entre todos.
En síntesis: Evaluar, diagnosticar, actuar y ejecutar
Medir la madurez en Ciberseguridad Industrial y aplicar un análisis de ciber riesgos siguiendo el Ciclo de vida de la ciberseguridad industrial que nos indica la IEC62443 es una metodología práctica para diseñar un Plan de acción realista de forma sencilla y ágil y ponerlo rápidamente en práctica priorizando “Quick wins” (acciones que con poco esfuerzo y bajo presupuesto nos dan soluciones rápidas y eficaces). Esto aumenta la motivación para llevar a cabo acciones que requieren mayor tiempo y esfuerzo y hacen más robusta la Ciberseguridad de los sistemas industriales, dentro de un proceso continuo de mantenimiento y mejora.
Para sumar todos los conocimientos teóricos y prácticos necesarios para crear y ejecutar un plan de ciberseguridad industrial pormenorizado, es imprescindible cursar una formación detallada como el Curso de Responsable de Ciberseguridad en IACS Coord. por ISA España – CCI. La nueva edición Online dará comienzo el 4 de marzo de 2024. Las plazas son limitadas ya está abierta la matriculación.
Ing. Gerardo F. González Gionchetti
Consultor Sr Ciberseguridad Industrial (freelance)
LinkedIn: https://www.linkedin.com/in/gfgg27
