¿Cómo se debería realizar la ciberseguridad industrial?
El primer paso, después de que las organizaciones se den cuenta de que tiene que aplicar ciberseguridad industrial en su negocio, debería ser definir una organización industrial con las diferentes funciones y responsabilidades que deberán encajar en la estructura de la organización existente.
Este equipo debería empezar por definir el ciclo de vida para la implantación de los procesos relativos a ciberseguridad de Sistemas de Control Industrial.
Debe ser un proceso circular, no es un ciclo lineal, en función de la fase en la que se esté, se realizarán unas acciones u otras. Debe ser secuencial y continuo, en el momento en que se inicie independientemente de la fase en la que se encuentre el proyecto. El ciclo se divide en tres fases:
- Evaluación
- Diseño e Implementación
- Fase mantenimiento
En la fase de Evaluación: se deberá identificar el sistema que se evaluará, se identificarán activo, arquitecturas y se realizará una evaluación de riesgos
En la fase de Diseño e Implementación: el enfoque de esta fase es el diseño de un esquema de protección que incluye medidas técnicas y organizativas que tengan el potencial de cumplir con el riesgo definido como aceptable. Las medidas de seguridad que se diseñarán podrán ser técnicas u organizativas. Una vez realizado el diseño se pasará a su implementación y después a su verificación y validación tanto en fábrica como en campo.
En la fase de mantenimiento: se centrarán en asegurar que las medidas de seguridad incluidas en el esquema de protección holística se lleven a cabo al operar los sistemas de control. Dado que la fase suele durar muchos años, es necesario asegurar que la eficiencia del esquema de protección holística se mantenga a lo largo del tiempo. Durante esta fase se debe comprobar periódicamente que lo diseñado e implementado cumple los requerimientos establecidos. En el caso de que se produzca una degradación y dejen de cumplirse, se debería volver a las fases anteriores para implementar medidas, tanto técnicas como procedimentales, para poder seguir manteniendo los niveles de riesgo establecidos.
No se debe de olvidar que los activos involucrados cuando sean retirados del servicio no pueden ser usados indebidamente para la violación intencional o no intencional. Se debe realizar una purga activa de toda la información sensible almacenada en los activos fuera de servicio.
¿Qué es lo que nos encontramos hoy en día?
Muchos CEOS, CIOS, CISOS siguen viendo la ciberseguridad industrial como un problema, porque “si funciona para que tocarlo” y sin el apoyo de la gerencia no se asignan recursos.
Principalmente también porque no hay entendimiento entre la gente de planta y la gente de IT cada uno habla su “idioma”. La gente de IT suele estar a cargo de la parte industrial y suelen pedir cumplir con ciertos estándares que, muchas veces, no aplican al mundo industrial; como por ejemplo cumplir ISO27001 y 27002, cuando son estándares profundamente del mundo IT, que en muchos casos no aplicaría
Conclusión
Dado que esta estructura será nueva, este nuevo equipo deberá comenzar, de forma reducida, con un responsable que deberá reportar directamente al CIO.
La ciberseguridad industrial no debe recaer solamente sobre el propietario del activo, debe ser una responsabilidad compartida con suministrador de los sistemas, así como de los suministradores de los componentes, siempre teniendo en cuenta que no es un proceso circular que no finaliza hasta el desmantelamiento del sistema, con lo que la coordinación entre todos los implicados deber ser fundamental para llegar a buen puerto.
Las industrias españolas deben tomarse en serio la Ciberseguridad Industrial para no verse afectadas por ciberataques, que los hay, y casi todas las semanas algo aparece en prensa, ya que el día que las aseguradoras empiecen a requerir cumplimento específicos para los entornos industriales, al igual que están haciendo en el mundo IT, puede ser tarde.