Muchas organizaciones todavía se preguntan por dónde empezar para prepararse frente a NIS2. La buena noticia es que no hace falta abordarlo todo al mismo tiempo. Como cualquier proceso de transformación, conviene avanzar paso a paso, construyendo primero los cimientos sobre los que progresarán el resto de las capacidades.
Durante las próximas seis semanas publicaremos una serie de posts donde desarrollaremos una hoja de ruta práctica de seis pasos en seis meses para ayudar a las organizaciones industriales a construir las capacidades que NIS2 demanda.
Cada semana profundizaremos en uno de estos 6 pasos, relacionándolos con los dominios del SG2CI y con las plataformas de la Suite CCI que facilitarán su implantación.
| Semana | Capacidad | SG2CI | Plataforma |
|---|---|---|---|
| 1 | Gobierno | D1-D2 | – |
| 2 | Arquitectura y activos críticos | D3-D4 | RECIN |
| 3 | Ciberincidentes | D5-D7 | ESCIM |
| 4 | Cadena de suministro | D8-D10 | Catálogo |
| 5 | Madurez | D11-D12 | MACIN |
| 6 | Programa de transformación | Todos | Suite CCI |
Mes 1. ¿Quién gobierna realmente la ciberseguridad industrial?
Preguntas que deberías formularte:
- ¿La Dirección conoce y acepta el riesgo que está asumiendo?
- ¿Quién puede aceptar un riesgo? ¿Quién únicamente puede recomendar?
- ¿Tenemos claramente definidas las responsabilidades del Board, CISO, CIO, responsables de planta y proveedores?
- ¿Existe una estrategia específica de ciberseguridad industrial?
En este primer mes deberías centrarte en implantar el Eje 1 «Gobernar» del SG2CI, especialmente los Dominios D1 (Estrategia y Política) y D2 (Gobierno, liderazgo y rendición de cuentas), estableciendo un modelo de gobierno que posteriormente soportará el resto de capacidades.
Mes 2. ¿Conocemos realmente qué debemos proteger?
Es imposible proteger aquello que no se comprende, por eso deberías preguntarte:
- ¿Cuáles son nuestros procesos industriales realmente críticos?
- ¿Qué activos soportan esos procesos?
- ¿Dónde comienza y termina cada zona industrial?
- ¿Qué canales o conductos existen entre zonas para comunicarse?
- ¿Nuestra arquitectura responde a criterios de ciberseguridad o ha evolucionado por necesidades operativas?
Aquí entra en juego la plataforma RECIN, que te permitirá definir una arquitectura por cada proceso industrial crítico, analizarla por zonas y conductos, evaluar los requisitos de seguridad y construir un plan técnico alineado con IEC 62443.
En este segundo mes trabaja con el Eje 2 «Identificar y Diseñar», a través de los Dominios D3 (Evaluación de riesgos y contexto industrial) y D4 (Ciberseguridad desde el diseño y desarrollo).
Mes 3. ¿Estamos preparados para sobrevivir a un ciberincidente?
Muchas organizaciones saben protegerse, pero muy pocas conocen cuánto resistirán, algunas preguntas clave:
- ¿Qué ocurriría si perdemos la estación de ingeniería?
- ¿Y si un ransomware afecta al SCADA?
- ¿Qué capacidades tenemos para detectar un ataque?
- ¿Quién decide durante una crisis?
- ¿Cuánto tardaríamos realmente en recuperar la operación?
Para responder a esta pregunta la plataforma ESCIM te ayudará a evaluar escenarios de ciberincidentes de alto impacto, analizar la capacidad de detección, respuesta y recuperación y priorizar aquellas mejoras que realmente aumentarán la resiliencia de la organización.
Durante este mes trabaha en el Eje 3 «Proteger, Detectar y Responder», especialmente los Dominios D5, D6 y D7, convirtiendo controles técnicos en capacidad operativa.
Mes 4. ¿Confiamos demasiado en nuestros proveedores?
Hoy gran parte del riesgo ya no está dentro de la planta, se encuentra en la cadena de suministro, pregúntate:
- ¿Qué proveedores podrían detener nuestra producción?
- ¿Cómo evaluamos sus capacidades de ciberseguridad?
- ¿Qué dependencias críticas hemos generado?
- ¿Podríamos sustituir a un proveedor crítico?
- ¿Cómo verificamos que nuestros integradores aplican buenas prácticas?
El Catálogo CCI permite evaluar tanto las capacidades de los proveedores industriales como identificar soluciones especializadas de ciberseguridad industrial.
Este mes desarrolla el Eje 4 «Colaborar», especialmente los Dominios D8 (Gobierno y confianza en la cadena de suministro), D9 (Gestión de capacidades y desempeño de proveedores) y D10 (Colaboración con organismos públicos y privados).
Mes 5. ¿Dónde estamos realmente?
Después de analizar gobierno, arquitectura, incidentes y proveedores llega el momento de medir. Algunas preguntas importantes:
- ¿Cuál es nuestro nivel real de madurez?
- ¿En qué capacidades estamos más retrasados?
- ¿Qué acciones tendrán mayor impacto?
- ¿Qué indicadores mostraremos a la Dirección?
En este mes deberíamos trabajar con MACIN para evaluar objetivamente la madurez de la organización y construir una hoja de ruta priorizada de mejora continua. Emplear principalmente el Eje 5 «Resiliencia y Mejora», especialmente los Dominios D11 (Resiliencia operacional y continuidad) y D12 (Evaluación, madurez y mejora continua).
Mes 6. ¿Cómo convertimos todo esto en un programa de transformación?
El último mes consiste en unir todas las piezas. Es el momento de construir un programa plurianual de ciberseguridad industrial. Podemos basarnos en estas preguntas finales:
- ¿Qué riesgos aceptará la Dirección?
- ¿Qué inversiones necesita la organización?
- ¿Qué proyectos priorizaremos?
- ¿Qué indicadores revisaremos periódicamente?
- ¿Cómo demostraremos la mejora continua ante NIS2?
La próxima semana comenzaremos por el primer paso, el gobierno de la ciberseguridad industrial. Porque antes de desplegar controles, monitorizar redes o responder a incidentes, una organización debe responder a una pregunta fundamental: ¿quién tiene la responsabilidad de decidir qué riesgos está dispuesta a aceptar?