Proteger para prosperar: hacemos frente a la creciente amenaza de la ciberseguridad
Por Michael T. Lester
Los fabricantes, las empresas de servicios generales y los operadores de infraestructura crítica se enfrentan a las amenazas de ciberseguridad cada vez más sofisticadas. Los ataques están evolucionando de manera constante, ya que las tecnologías avanzadas y el malware proporcionan nuevas capacidades de ataque que permiten amenazar a los actores.
La principal motivación de los ciberataques sigue siendo el beneficio económico, pero los agentes del Estado están cada vez más implicados y cada vez hay más ataques orientados al espacio de control industrial por parte de varios actores de amenaza.
La ciberseguridad eficaz requiere estar al día de las últimas amenazas, realizar un inventario de los activos en tiempo real, mejorar la capacidad de detección de amenazas, garantizar que los equipos y dispositivos cuenten con las últimas medidas de defensa, revisar y actualizar los sistemas, y mejorar las capacidades de respuesta ante incidentes. Además, las políticas, los procedimientos y la capacitación periódica de la fuerza laboral son aspectos clave de ciberseguridad que deben implementarse para proteger los sistemas críticos siguiendo un enfoque basado en el riesgo.
Para los fabricantes que buscan liberar el potencial de la Internet industrial de las cosas (IIoT), la ciberseguridad es una preocupación importante La necesidad de una ciberseguridad eficaz es conocida, pero no hay una gran comprensión de la materia en la industria. El diseño e implementación de la tecnología IIoT requieren nuevas habilidades y experiencia en ciberseguridad. Las nuevas soluciones pueden introducir nuevos vectores de amenaza si no se implementan y se mantienen de manera segura.
Identificamos las vulnerabilidades
En la fabricación, las soluciones de ingeniería con mayores costos de capital generan reticencias a la hora de actualizar los sistemas y un ritmo de cambio lento. Los sistemas obsoletos, no actualizados o protegidos con un enfoque de defensa en profundidad, son los más vulnerables.
Para los fabricantes que buscan liberar el potencial de la Internet industrial de las cosas (IIoT), la ciberseguridad es una preocupación importante
Los usuarios deben priorizar las acciones que llevarán a cabo en respuesta a las amenazas y los ataques identificados y elaborar un plan para esas acciones. Esto incluye la implementación y la prueba periódica de la respuesta a incidentes, así como los planes de respaldo o recuperación para todas las personas, procesos y tecnologías de su organización a lo largo de su ciclo de vida. Incluso algo sencillo, como la administración de las cuentas de usuario, debe abarcar el ciclo de vida útil de cada usuario, desde que se le autoriza por primera vez hasta que abandona la organización.
Existe una creciente necesidad de colaboración entre las partes interesadas de la tecnología de la información (TI) y de la tecnología operativa (TO) para implementar nuevos sistemas y servicios que contribuyan a la transformación digital de la organización. En el desarrollo de una estrategia de ciberseguridad, las partes interesadas de TI y TO deben comprender las fortalezas de cada uno y cómo lograr los objetivos comerciales mientras se mantienen los niveles más altos de seguridad.
Cada experiencia aporta algo diferente: la TI ofrece un proceso muy estandarizado, mientras que la TO ofrece una solución más diseñada. Los objetivos de ambas partes interesadas deben revisarse y cumplirse con los requisitos establecidos para evitar vacíos y riesgos para las operaciones. Los proveedores de automatización pueden lograr una implementación segura de los sistemas con mayor éxito al proporcionar una gama de controles de seguridad, procedimientos y servicios que mejoran la seguridad del sistema y ayudan a los usuarios finales a priorizar las evaluaciones de ciberseguridad.
Las organizaciones deben considerar la ciberseguridad en la ingeniería y el diseño de un proyecto de sistema de control. Con demasiada frecuencia, las defensas de ciberseguridad se incorporan más adelante, lo que resulta más costoso y casi nunca es tan efectivo como incorporarlas desde el inicio del proyecto. Esto se conoce como el concepto “Desplazamiento a la izquierda” (Shift Left). La seguridad por diseño, combinada con un análisis adecuado de los riesgos cibernéticos, debe incluir una revisión de las características y los controles para garantizar su efectividad ante el creciente panorama de las ciberamenazas.
Para respaldar la justificación comercial de una iniciativa de ciberseguridad, las evaluaciones pueden utilizarse como métrica de reducción de riesgos que muestre el progreso de las iniciativas cibernéticas implementadas hasta el momento y la protección potencial que ofrecen las implementaciones adicionales de protecciones cibernéticas. Una buena manera de justificar las capacidades de ciberseguridad puede hacerlo mediante el concepto “Desplazamiento a la izquierda”, según el cual cada euro invertido en seguridad proactiva equivale a más de 60 euros en seguridad reactiva.
Si se produce un ataque, la mejor manera de resolverlo es contar con un plan de respuesta a incidentes bien documentado y practicado. En pocas palabras, no resulta bien resolver un ataque sin elementos de ciberseguridad, controles y un plan bien diseñado.
Un problema cultural
Cuando la ciberseguridad no forma parte de la cultura de una organización, su personal genera un riesgo significativo en el ciberespacio mediante acciones accidentales que producen vulnerabilidades. Una cultura de ciberseguridad generalizada reduce el riesgo de amenazas externas e internas. Capacitar al personal en nuevas tecnologías y en ciberseguridad relacionada ayuda a crear una cultura de ciberseguridad.
En pocas palabras, resolver un ataque no resulta bien sin elementos de ciberseguridad, controles y un plan bien diseñado
Es fundamental crear oportunidades de capacitación para que los empleados fortalezcan sus competencias en tecnología y ciberseguridad. El perfeccionamiento puede llevar mucho tiempo, pero educar al personal para que asuma de manera consciente la responsabilidad de la ciberseguridad es un buen primer paso. Si la ciberseguridad ya no es responsabilidad de otros, las personas harán naturalmente muchas más preguntas y trabajarán con los expertos para evitar consecuencias involuntarias.
La ciberseguridad requiere más que solo tecnología. La ciberseguridad requiere un cambio de comportamiento y de cultura. Una comprensión profunda, en toda la organización, del “porqué” y del “cómo” de la ciberseguridad es fundamental para impulsar un cambio de comportamiento significativo. Por lo tanto, es importante construir una cultura de ciberseguridad que abarque a las personas, los procesos y la tecnología.
