Las Organizaciones han convertido la digitalización en el proceso industrial en una necesidad, con el objetivo de ser más competitivos para satisfacer mejor las necesidades de los clientes, reduciendo los ciclos de producción, mejorando los rendimientos y eficiencias del proceso, y como consecuencia, reducir costes operacionales e incrementar los márgenes del negocio.
Los equipos y sistemas industriales dejan de ser islas aisladas de automatización a conectarse con otras redes industriales, corporativas o externas, con el fin de que los datos de proceso se integren con otros datos del negocio para hacer de la industria, una industria más eficiente y controlada, permitiendo una mejor toma de decisiones, más precisas y en tiempo real.
¿Por qué un Sistema de Gestión de la Ciberseguridad Industrial?
Gracias a la conectividad que nos brindan las nuevas tecnologías en su aplicación en el entorno industrial, podemos controlar toda la cadena de producción de forma sencilla. Sin embargo, los sistemas de control industrial ya no sólo se verán afectados por averías o errores de operación, sino que, además se sumará el factor de la ciberseguridad, quedando expuestos ante hackers y ciberdelincuentes de una manera mucho más sencilla de la que creemos. Propiciando un entorno perfecto para recibir ataques digitales y un nuevo riesgo a gestionar por las Organizaciones.
Por la naturaleza de los sistemas industriales de control, un fallo de seguridad, provocado por un ataque digital en los mismos, puede poner en peligro:
- El proceso de producción
- La seguridad de los trabajadores
- Funcionamiento de los equipos y dispositivos de producción
- El entorno medioambiental
- Imagen de la organización ante sus clientes
- Etc.
Las Organizaciones deben prepararse para la protección de los sistemas, redes y programas industriales, frente a los ciberataques digitales que pretenden acceder, alterar o dañar el proceso industrial. Es esencial proporcionar procedimientos y herramientas necesarias para garantizar la ciberseguridad de los entornos operacionales
¿Qué es un Sistema de Gestión de la Ciberseguridad Industrial?
Un Sistema de Gestión de la Ciberseguridad Industrial (SGCI) es poner a disposición de la Organización los recursos necesarios para gestionar de una manera eficiente los riesgos de ciberseguridad asociados a los sistemas de control industrial.
Con el SGCI, podemos llevar a cabo un tratamiento eficaz, eficiente, continuo y alineado de los pilares a proteger, como son la disponibilidad, integridad y confidencialidad en las operaciones y en la información de los sistemas industriales de control.
El SGCI deberá basarse en su desarrollo, en normas y estándares, aceptados como marcos de referencia a nivel internacional en cuanto a la seguridad y protección de las organizaciones en el entorno digital.
Entre ellas, podemos citar:
- ISO 27001: cómo gestionar la seguridad de la información
- ISO 27002: describe las buenas prácticas cómo mejorar la seguridad de la información
- IEC 62443: procedimientos para implementar la seguridad en los sistemas de automatización y control industrial
Pasos para la implementación de un Sistema de Gestión de la Ciberseguridad Industrial
Los aspectos a considerar para la implementación de un Sistema de Gestión de la Ciberseguridad Industrial son los siguientes:
1. Definición de una estrategia y política de ciberseguridad industrial
Debe estar integrada dentro de la estrategia corporativa, como una política más a incluir en las políticas de la Organización, que permitirá identificar y delimitar el alcance del SGCI, pudiendo ser ampliado el mismo en un futuro por modificaciones o ampliaciones del proceso industrial
2. Gestión de los riesgos para la Ciberseguridad Industrial
Se aplicará una metodología de análisis de riesgos, donde se identificarán los activos incluidos en el alcance definido; se elaborará un listado de las vulnerabilidades, así como, el correspondiente a las amenazas en el ámbito industrial.
La probabilidad de que una amenaza explote una vulnerabilidad, unido a sus consecuencias o impactos en el proceso, identificará el nivel de riesgo, así como los riesgos no admisibles, los cuales obligará a identificar planes de acción para su mitigación mitigarlo o al menos reducirlo.
3. Promoción de una cultura de la Ciberseguridad Industrial
Formar y concienciar a todos los miembros de la Organización, ya que en mayor o menor medida son los que gestionan sus recursos críticos. La formación y concienciación será la única herramienta con la que inculcar y mejorar sus habilidades en ciberseguridad y que repercutirá positivamente en la empresa, al ser más difícil sufrir un incidente ante un ataque y en su caso, lo gestionará mucho más eficiente.
4. Establecimiento de normativas de protección en instalaciones industriales
Definición de las normativas de seguridad específicas aplicables como la de seguridad física de los equipos en las instalaciones; control de acceso lógico a los dispositivos y sistemas de automatización industrial; protección de las redes, basado en la teoría de “zonas” y “conductos”, según la IEC 62443; protección del software industrial específico, desarrollado a medida, siguiendo especificaciones del cliente; protección de los datos sensibles de proceso, sin olvidar la protección de las relaciones con terceros.
5. Garantía de resiliencia y continuidad de los sistemas de Operación
Desarrollo de mecanismos que permitan mejorar la ciberresiliencia de los sistemas de automatización y control industrial frente a incidentes que puedan poner en peligro la continuidad del proceso productivo, reduciendo el impacto, incrementando la resistencia ante ellos y desarrollando capacidades de recuperación para su vuelta a la normalidad, previa al incidente.
6. Gestión, Revisión, Mejora y Sostenibilidad del sistema de gestión de la Ciberseguridad Industrial
El sistema de gestión de la ciberseguridad industrial , como cualquier sistema de gestión, debe asegurar el cumplimiento de los objetivos establecidos, por lo que debe ser revisado para determinar su nivel de cumplimiento y establecer planes de acción de mejora, ya que la ciberseguridad es un proceso de mejora continua.
Con la aplicación de un SGCI en la organización, estaremos en el buen camino para proteger los sistemas de control industrial, aunque debemos recordar que los ataques siguen estando presentes y deberemos prepararnos para gestionarlos, si se produjeran.
Guía para Aplicación de un Sistema de Gestión de la Ciberseguridad Industrial en las Organizaciones
El Centro de Ciberseguridad Industrial (CCI) ha desarrollado una guía práctica que facilite al responsable de ciberseguridad industrial, la aplicación de un SGCI, en cuanto al diseño, la implementación y el desarrollo de políticas, procedimientos, cultura y medidas de protección para gestionar los riesgos tecnológicos en instalaciones industriales derivados de los potenciales ataques digitales
La guía se basa en seis dominios, cada uno de los cuales, coincide con los pasos que se han mencionado anteriormente para la implementación. En cada uno de los dominios, se hace referencia a los requisitos o controles que los estándares ISO 27001, ISO 27002, IEC 62443 recomiendan.
Una especialización amplia, detallada y enfocada en cómo gestionar la ciberseguridad industrial en la organización, en todos sus niveles, es obligada para que un responsable de OT pueda llevar a cabo la aplicación de un SGCI.
Con el T04. Taller de Aplicación de un Sistema de Gestión de la Ciberseguridad industrial, los participantes adquirirán los conocimientos necesarios, recorriendo los distintos dominios de que se compone la guía, proporcionando la metodología que les permita promover la aplicación de un SGCI en sus organizaciones.
- T04. Taller de Aplicación de un Sistema de Gestión de la Ciberseguridad industrial. – Más info aquí. [https://www.cci-es.org/t04-taller-aplicacion-sistema-gestion-ciberseguridad-industrial/]
AUTOR:
Antonio Rodriguez Usallán
Experto Ciberseguridad Industrial
Ecosistema para avanzar juntos en Ciberseguridad Industrial
Networking | Conocimiento | Experiencias
