Descripción del proyecto
La ciberseguridad en entornos industriales es un aspecto que, lamentablemente y hasta el momento, no se ha tomado en consideración de forma habitual en gran parte de las empresas.
Esta situación no es casual, y se encuentra condicionada por una serie de aspectos comunes a toda la industria:
- La no consideración de la ciberseguridad desde el diseño, lo que implica la inexistencia de controles y medidas de seguridad.
- La falta de conocimiento detallado de la arquitectura y componentes de los sistemas de control industrial existentes, que en muchas ocasiones reside exclusivamente en empresas proveedoras.
- La antigüedad del parque de elementos conectados a las redes industriales, en muchas ocasiones fuera del periodo de soporte de los fabricantes y con numerosas vulnerabilidades de seguridad conocidas, lo que supone un riesgo directamente proporcional a su exposición al resto de elementos de la red.
- La inexistencia de arquitecturas de red adecuadas conforme a criterios de seguridad aceptables.
- La imposibilidad de disponer de ventanas de intervención adecuadas para la puesta en marcha de determinadas medidas de seguridad, condicionadas por producciones 24x7 o periodos de mantenimientos programados.
Por lo tanto, y antes de comenzar con la puesta en marcha de medidas concretas, y que puede que no sean ni las más prioritarias ni las más adecuadas, las actividades lógicas para definir esta “hoja de ruta” de la ciberseguridad industrial son:
- Conocer el estado actual de la empresa en materia de ciberseguridad industrial, mediante un diagnóstico que permita identificar los puntos débiles y fuertes, valorando el riesgo en relación a escenarios de posibles amenazas y determinando las actividades que es necesario llevar a cabo para que la organización alcance un nivel de riesgo aceptable (y conocido).
- Establecer un plan, en el marco de un periodo temporal y de asignación de recursos (personas, económico) asumible por la organización, que permita acometer, de forma estructurada y priorizada, los proyectos de ciberseguridad que se hayan definido.
La determinación del nivel de riesgo se lleva a cabo a través de la realización de un análisis de riesgos. Esta actividad se puede llevar a cabo mediante diversas metodologías, basadas tanto en estándares de mercado (Magerit, etc.) como aquellas de factura propia que permitan alcanzar resultados similares. Las fuentes u orígenes de información que se pueden emplear para que el análisis abarque el máximo de ámbitos a me posible, pueden ser las siguientes:
- Contraste con marcos normativos o estándares de seguridad como la ISA/IEC 62443, ISO27002, NIST, etc.
- Ejecución de tests de intrusión en sus diferentes modalidades, incluyendo el análisis de comunicaciones inalámbricas en planta.
- Realización de análisis para la identificación de vulnerabilidades.
La relación de actividades que se identifiquen como consecuencia de la realización del análisis de riesgos permitirá establecer el correspondiente plan de acción.
Objetivos
Los objetivos que persigue este proyecto son los siguientes:
- Identificar, cuantificar y poner de manifiesto el nivel de riesgo que presenta la organización en materia de ciberseguridad industrial.
- Determinar las actividades que mitigan, transfieren o eliminan los riesgos identificados.
- Establecer un calendario de ejecución de proyectos que recoja las actividades del punto anterior que la organización ha decidido llevar a cabo, en base a su apetito de riesgo.
- Hacer partícipe a la Alta Dirección de la empresa mediante la presentación, validación, respaldo y seguimiento del plan de proyectos.
Beneficios
Los beneficios que se alcanzarían con la puesta en marcha de este proyecto serían los siguientes:
- Conocer el nivel de riesgo y las actividades que son necesarias para llevarlo a límites aceptables por la organización, con el objetivo de contribuir a asegurar la continuidad del negocio.
- Disponer de un calendario de costes e inversiones que permita planificar la función financiera en relación a los proyectos de seguridad a acometer en un periodo de tiempo acordado y abordable.
- Hacer partícipe a la Alta Dirección de la empresa de la necesidad de actuar frente a escenarios de riesgo que pueden causar interrupciones no esperados que produzcan impactos no asumibles por el negocio.
Dimensiones de la ciberseguridad que mejora la ejecución del proyecto
Tiempos estimados de ejecución
Los tiempos estimados de ejecución de este tipo de proyectos se indican únicamente a modo orientativo.
Requerimientos de dedicación de recursos de las empresas solicitantes
Buenas prácticas durante su ejecución
Para llevar a cabo de forma correcta este tipo de proyectos, hay que considerar las siguientes cuestiones:
- Apoyo de la Alta Dirección: si la Alta Dirección no participa en esta iniciativa, existe la posibilidad de que el proyecto no avance más allá de la fase del diseño del plan. Es importante asegurar este apoyo y, sobre todo, buscar la validación formal del Plan.
- Confianza y transparencia: en ocasiones, y en función de quien sea el promotor del proyecto, es posible que se produzcan reticencias en el momento de proporcionar cierta información o que no se transmita de forma fehaciente y ajustada a la realidad. Hay que considerar que poner de relevancia los aspectos menos consolidados de la ciberseguridad en la organización supone una oportunidad de mejora de los mismos a través de este plan.
Servicios relacionados
- Servicios de consultoría.
Otros proyectos relacionados
- Inventario de los diferentes elementos en un sistema crítico industrial.
- Realización de un test de intrusión industrial.
- Auditorias de las comunicaciones inalámbricas industriales.
Área de proyecto subvencionable en el programa de ayudas de ciberseguridad industrial
- Diagnóstico de situación actual de la industria en materia de ciberseguridad industrial y elaboración de su plan de acción para la mejora de la Ciberseguridad. Análisis de riesgo industrial y de vulnerabilidad industrial. Inventario de los diferentes elementos en un sistema crítico industrial. Realización de un test de intrusión industrial. Análisis de vulnerabilidades en aplicaciones web. Auditorias de las comunicaciones inalámbricas industriales.
Perfil de empresa suministradora de servicios o productos
Las empresas que cuentan con la capacidad de prestación de los servicios incluidos en este tipo de proyectos, y que se encuentran registradas en el “Libro blanco de la Ciberseguridad en Euskadi” son aquellas que se encuentran encuadradas en la siguiente categorización:
CAPACIDAD | CATEGORÍA DE LA SOLUCIÓN | GRUPO DE PRODUCTO/SERVICIO |
---|---|---|
IDENTIFICAR | Entorno del negocio | Análisis de impacto en el negocio |
Gobernanza y gestión del riesgo | Cumplimiento, riesgo y gobernanza | |
Análisis del riesgo | - | |
Estrategia de gestión del riego | - | |
Gestión del riesgo en la cadena de suministro | - |