Septiembre es uno de los momentos claves para la elaboración y presentación de un plan de ciberseguridad industrial anual. Cubrirá las necesidades de la empresa en el ámbito durante el último cuatrimestre del año y nos dará pie a una previsión más asegurada para el siguiente ejercicio. Tras los últimos ataques, amenazas y la vulnerabilidad de las infraestructuras, es imprescindible que todas las empresas, independientemente de su envergadura, contemplen la necesidad de un plan de ciberseguridad industrial. Conocer las necesidades propias del negocio y los equipos así como el presupuesto y los objetivos son la base para la elaboración del plan. ¿Qué es exactamente un plan de ciberseguridad industrial y cómo se realiza?
Todas los activos industriales y las infraestructuras críticas pueden ser atacadas. Tomar medidas desde el primer instante, anticiparse a las posibles amenazas nos ayudará a tener tranquilidad y confianza de estar protegidos digitalmente. A pesar de ello, un plan de resiliencia para estar preparado si un ataque se produce debe desarrollarse. Este plan es parte del plan de ciberseguridad industrial de la Compañía.
¿Por qué tu empresa necesita un plan de ciberseguridad industrial?
Todas las compañías tienen claro que deben tener para su correcto funcionamiento, un plan de ventas – marketing, finanzas, inversiones y crecimiento, etc. El plan de ciberseguridad industrial suele ser uno de los grandes olvidados quizás por la reciente incorporación de la tecnología IT al entorno operacional OT . Actualmente, son de vital importancia no solo para poder atender a un incidente determinado sino sobre todo, para trabajar con anticipación y previsión. Es fundamental disponer de una organización , recursos y presupuesto para gozar de la suficiente protección. El plan debe estar siempre presente, publicado, actualizado y auditado.
Los activos industriales, cada vez más, utilizan tecnología procedente del entorno IT. Las amenazas y vulnerabilidades son heredadas de aquel entorno. Otras nuevas aparecen para atacar exclusivamente a equipos y sistemas industriales. Eso sí, hay que saber protegerlo para evitar los candentes ciberataques y que los hackers hagan de las suyas generando importantes daños, que pueden afectar a la seguridad de las personas e instalaciones y al medio ambiente.
Es fundamental y debe ser ya una pieza clave de cualquier presupuesto corporativo, instaurar un plan de ciberseguridad industrial. Evitemos problemas mayores y costes desorbitados para arreglar lo que se puede prever. Cualquier empresa, independiente del tamaño que tenga, puede ser susceptible de un ataque cibernético. Todo tiene un valor. El coste global del cibercrimen llega hasta los 73 millones de dólares al año (fuente Ponemon Insitute) con un incremento del 600% de los ciberataques durante la pandemia.
¿Qué es un plan de ciberseguridad industrial?
Un Plan de Ciberseguridad Industrial es el documento que recoge (como todos los planes) las necesidades, objetivos, acciones, recursos y presupuestos en el ámbito y área concreta a trabajar en la empresa (en este caso, la ciberseguridad en el proceso industrial).
El trabajo inicial es identificar los activos a proteger. Analizar las amenazas y riesgos a los que se enfrentan. Las opciones de vulnerabilidades que presentan ante amenaza
Una vez realizado este trabajo de análisis, el plan incluirá las acciones y estrategias a tomar de protección de los activos a proteger, la creación de procedimientos y la formación de los empleados. Unas tareas que deben ser implementadas de forma continua y sostenible con el objetivo de asegurar la protección total.
Por último y en paralelo, al plan de acción habrá que incluir los recursos humanos y presupuesto que cada acción va a requerir. El presupuesto es imprescindible y debe considerarse como una inversión del negocio para incrementar la seguridad del mismo.. Evitar el gasto en resolución de incidencias ante una amenaza es la mayor premisa.
Pasos para crear un plan de ciberseguridad en la empresa
Para elaborar un correcto y sobre todo útil plan de ciberseguridad, es imprescindible acometer una serie de pasos. Una base que nos conducirá al éxito incluyendo todas las partidas necesarias en el plan así como la organización, recursos, presupuesto, etc,..
Análisis de la situación – riesgos de la ciberseguridad
Saber lo que debemos proteger es el punto de partida para poder tomar decisiones acertadas. El análisis de la situación presente es imprescindible para identificar las brechas y riesgos de ciberseguridad presentes en la empresa.
Hay que evaluar e identificar las medidas de mitigación existentes en el momento presente, cómo han resultado y qué debilidades presentan. A partir de aquí, junto con un análisis de riesgo actualizado, se podrá evaluar los planes de acción a implementar
Determinar objetivos
Con el análisis realizado con detalle y en profundidad, se procede a identificar los riesgos no admisibles que marcarán los objetivos en el área de ciberseguridad. Se identificarán prioridades para los próximos meses. Realizar modificaciones al plan, según desviaciones internas y del contexto externo es fundamental.
Marcar los objetivos de ciberseguridad de la empresa hay que realizarlo con “vista de pájaro”. Habrá que incluir y tener en cuenta el resto de objetivos de la compañía: comerciales, financieros, expansión. Todo influye y todo afecta a la ciberseguridad y más en el entorno industrial.
Controles existentes vs Controles requeridos
Aunque en el análisis de la situación se haya repasado los controles existentes en la empresa en el ámbito de la ciberseguridad, bien merece la pena dedicar un apartado exclusivo.
Evaluar la tecnología existente y con la que se cuenta para mitigación de riesgos Con ellos trabajaremos y evaluaremos si son suficientes o deben ser actualizados, o si es requerido implantar controles nuevos. De aquí, se derivarán los recursos, el presupuesto y los plazos para alcanzar los objetivos establecidos.
Es imperativo que estemos alineados con la tecnología existente en el mercado, los últimos avances. Es un entorno rápido, cambiante y del que siempre debemos estar al día.
El marco de seguridad ideal para el contexto de la empresa
Lo primero es conocer qué nivel de ciberseguridad hay en la empresa. Tal vez es la tarea más importante ya que si no conocemos cómo estamos, nos costará mucho saber a dónde queremos llegar y cuáles son las acciones a desarrollar
Conociendo los riesgos no admisibles a los que nos enfrentamos y las vulnerabilidades a las que se exponen los activos industriales se puede determinar el marco objetivo de seguridad para nuestra compañía.
Plan de gestión de riesgos
Contemplar los riesgos reales a los que nos exponemos. Esta es una de las partes esenciales del plan de ciberseguridad industrial a elaborar. ¿Qué riesgos potenciales tenemos realmente? ¿Cuáles afectarán a la empresa y a qué nivel cada uno?
Para que sea más fácil este análisis y elaboración de plan de gestión de riesgos, hay que tener en cuenta las áreas y “políticas” de seguridad:
– Política de retención.
– Política de privacidad de datos.
– Política de protección de datos.
– Política de uso de los sistemas
– Plan de respuesta a incidentes.
Implementación del plan
Un plan no sirve de nada si no se ejecuta, si no se pone en marcha. Las acciones descritas durante el plan deben incluir los recursos necesarios, el presupuesto asignado y los plazos para su ejecución .
Si es necesario, se tomarán las medidas oportunas en cuanto a fortalecer el equipo humano con personal externo. Se invertirá en herramientas y tecnología.
Medición de resultados
Lo que no se mide , no existe. Como complemento al plan hay que establecer un cuadro de indicadores de seguimiento (kpi’s) y métricas que nos permitan evaluar el nivel de madurez alcanzado en lo relativo a la implementación de acciones.
Se monitorizará cada control , en tiempo real y se tomarán acciones sobre cualquier desviación que se produzca. Se probarán las acciones de prevención cada cierto tiempo para identificar si están funcionando y si estarán listas ante cualquier incidencia.
Todo debe estar alineado en un plan de ciberseguridad industrial. Desde lo que ocurre, amenazas, debilidades, las acciones a tomar, el timming, el presupuesto y los resultados que está ofreciendo.
A pesar de todo, un incidente se puede producir en cualquier momento. Un plan de respuesta a incidentes debe existir , ser probado y los empleados formados.
Con la elaboración del plan de ciberseguridad estaremos en el buen camino, aunque debemos recordar que los ciberdelincuentes siguen estando ahí y siempre encuentran formas nuevas de realizar sus fechorías.
Esto, no hay que olvidarlo, es un proceso de mejora continua.
Una especialización amplia, detallada y totalmente enfocada a la ciberseguridad industrial es obligada para que un responsable de OT pueda gestionar los riesgos en el entorno de Operaciones de la Compañía
Con el Máster Profesional Online en Ciberseguridad Industrial de CCI sumarán todos los conocimientos necesarios no solo para elaborar un Plan de Ciberseguridad sino para dar respuesta a todas las particularidades del puesto.
*Abierto el periodo de inscripción para la nueva convocatoria. ¡Plazas limitadas!
————————————————–
