Publicación de la primera Guía "Práctica" para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial

Publicación de la primera Guía 30 de Marzo de 2016

Publicamos la primera Guía "práctica" para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial. Hemos trabajado, durante dos años, un equipo de expertos, y el ecosistema del CCI revisando cinco borradores, de los que hemos recibido más de trescientas aportaciones y comentarios. En 2015 fue publicada una edición previa con los tres primeros dominios que fueron evaluados en un taller y aplicados por más de una docena de profesionales.

Esta guía  permite cubrir la escasez de referencias normativas que tratan, de manera particular, la gestión de la ciberseguridad en los sistemas de automatización y control industrial.

Portada

En ella se han desarrollado nuevas directrices específicas, y diferenciadas, para un tratamiento eficaz, eficiente y continuado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones y de la información gestionadas por tales sistemas, en línea con las necesidades estratégicas de la organización. Para ello la guía se ha estructurado en 6 dominios:

Dominios

Asimismo, y a fin de favorecer la aplicación práctica de las citadas directrices, nada mejor que dotarlas de un carácter formal -por ejemplo, bajo el formato de lo que podría dar en llamarse un "sistema de gestión de la ciberseguridad industrial"- que tenga en cuenta las siguientes premisas:

  • Independencia e integración. Todo sistema de gestión [de la ciberseguridad industrial] que se proponga, aun siendo compatible con otros sistemas de gestión ya existentes en la organización, gozará de una cierta autonomía desde el punto de vista de su implantación. De ese modo, se facilitará su puesta en marcha cuando la madurez, en ciberseguridad industrial, de otros departamentos de la organización resulte insuficiente; e, incluso, cuando el objetivo último de la integración de los diferentes sistemas de gestión esté presente.
  • Agilidad y operatividad. Todo sistema de gestión [de la ciberseguridad industrial] que se proponga deberá, igualmente, primar la operatividad, al menos inicialmente, potenciando la adopción de medidas que cubran requisitos de ciberprotección básicos sobre los sistemas de automatización y control industrial; requisitos que podrán ir ampliándose, posteriormente.

El Centro de Ciberseguridad Industrial (CCI), consciente de la conveniencia de disponer de una especificación que contemple la implantación de sistemas de gestión de la ciberseguridad en las empresas del sector industrial, ha abordado la elaboración de la presente "Guía para la construcción de un SGCI (Sistema de Gestión de la Ciberseguridad Industrial)" que puede descargar en el siguiente enlace: SGCI