Gestión de ciberriesgo y amenazas: retorno a los principios fundacionales

Cada día hay noticias de otro ciberataque. A principios de este año se hizo el hackeo de SolarWinds que afectó a compañías grandes, incluyendo Microsoft, Intel y Cisco; el ataque al oleoducto colonial que interrumpió el suministro de petróleo y gas debido a una parada operativa de precaución; y los ataques de ransomware de LockBit más recientemente, que afectaron a la consultora global Accenture, y la lista continúa. Las revelaciones de hacking de organizaciones criminales independientes y grupos patrocinados por el estado están causando niveles cada vez mayores de preocupación dentro de las juntas directivas de las empresas, las direcciones gubernamentales y los órganos legislativos.

Estos ciberataques no usan necesariamente nuevas técnicas de ataque y, lamentablemente, se están volviendo más graves y frecuentes. Si bien ninguna organización de fabricación puede garantizar que nunca tendrá el impacto de uno de estos, existen acciones fundamentales que los líderes empresariales y de ciberseguridad pueden hacer para eliminar los silos, operar de manera holística e implementar las mejores prácticas para reducir el riesgo de este tipo de amenazas.

Sabemos que estas preocupaciones son muy importantes para la industria y trabajamos con los clientes todos los días para ayudar a crear una base sólida y minimizar los riesgos. Presentamos la guía básica que con más frecuencia recomendamos implementar a nuestros clientes de fabricación.

Participar en la asignación de operaciones comerciales
Los fabricantes deben asignar sus sistemas comerciales y de fabricación según cada función, fuente de ingresos o misión. Esto ayudará a comprender y hacerse responsable de cada proceso para lograr objetivos de continuidad del negocio y resiliencia en torno a los ciberataques, al igual que los escenarios de gestión de crisis comerciales. Por lo general, la asignación de las operaciones de la empresa requiere el patrocinio ejecutivo de las partes interesadas multifuncionales, incluyendo las operaciones de fabricación, la ciberseguridad de la planta, la seguridad de TI, los sistemas de fabricación y los sistemas empresariales, para que participen. Esto puede ser una tarea pesada, así que prepárese para aprender mucho y busque orientación para ayudar a implementar el enfoque de un marco de trabajo.

Analice las amenazas concienzudamente
Los fabricantes también deben hacer un análisis exhaustivo de las amenazas. Como parte de este proceso, es una práctica recomendada revisar las matrices MITRE ATT&CK matrices, específicamente la matriz MITRE ICS ATT&CK, cuyo fundamento es una base de conocimiento global de tácticas y técnicas adversas que se usan en los ataques de la vida real.

Evalúe la protección de ciberseguridad
Es importante determinar y evaluar las operaciones y los controles de ciberseguridad que existen actualmente mediante una evaluación o auditoría de ciberseguridad. Esto debería incluir la evaluación de los tres pilares principales: personas, procesos y tecnología, con un enfoque en las personas y la mejora de nuevas tecnologías y procesos. La tecnología funciona, pero la gente impulsa el éxito. Para la evaluación, es mejor trabajar con un proveedor de automatización, como Emerson, que tiene experiencia en el área y está familiarizado con las operaciones y los sistemas de control industrial.

Desarrolle una estrategia de defensa
Con la información obtenida en el análisis de amenazas y la evaluación de ciberseguridad, las compañías deben desarrollar una estrategia de defensa en profundidad para abordar los puntos débiles y mitigar los riesgos en todas las operaciones que pudieran verse afectadas por ciberataques directos, ciberataques indirectos o pérdida de capacidades operativas. Esta estrategia debe incluir una priorización basada en el riesgo de cualquier brecha o amenaza, con el fin de garantizar que se traten primero los riesgos más altos y garantizar así la resiliencia de los controles.

Al evaluar los mismos tres pilares de personas, procesos y tecnología, con frecuencia observamos que los clientes encuentran valor al buscar recursos externos, capacitar o mejorar el liderazgo de su personal, o cambiar ciertos procesos, controles tecnológicos, sistemas o arquitecturas para garantizar una defensa sólida. El plan de acción también debe estar alineado con los planes de continuidad del negocio y de recuperación ante desastres de la organización, al igual que una interrupción operativa de sistemas erróneos o hardware con fallas, los planes de respuesta a los ciberataques necesitan procesos activos definidos con objetivos enfocados en los objetivos de tiempo de contención y recuperación.

Esta estrategia defensiva debe incluir la planificación de peores escenarios. Para una planta de fabricación, por ejemplo, tener un plan de respaldo claro para las fallas de los sistemas informáticos, además de copias impresas de pedidos, etiquetas y contactos, puede ser vital para mantener las operaciones manuales en caso de que las computadoras dejen de funcionar. Puede que esto no sea posible en todos los escenarios, pero tener planes de respaldo y continuidad revisados con frecuencia pondrá a las empresas en la mejor posición para permanecer operativas incluso en caso de un ciberataque.

Revisión y actualización periódicas de eficacia
Una vez que se implementa la estrategia de defensa en profundidad, se debe probar y revisar metódica, a propósito y regularmente para garantizar que sea efectiva y no ponga en peligro las operaciones en curso ni introduzca otros riesgos. Las funciones, las responsabilidades y la capacitación de los empleados se deben actualizar cuando se implemente alguna práctica o tecnología nueva.

Los fabricantes deben tomar medidas ahora para comprender la magnitud y los tipos de ciberamenazas a las que se enfrentan las empresas. Las amenazas y los ciberataques son reales y están creciendo a un ritmo significativo. La ciberseguridad debe ser una prioridad para los fabricantes y todas las empresas para garantizar que se implementen operaciones y controles de ciberseguridad proactivos y defensivos apropiados para proteger datos, procesos y operaciones comerciales importantes. Los líderes empresariales se deben comunicar con sus líderes de ciberseguridad para averiguar qué es lo que realmente necesitan para tener éxito y luego establecer la urgencia y el apoyo del nivel de la junta directiva para evaluar, comprender y gestionar estos riesgos.