Gestión de riesgos y amenazas de ciberseguridad: retorno a los principios fundacionales
Por Mike Lester
Todos los días hay noticias de otro ciberataque. Se hizo el hackeo de SolarWinds que afectó a compañías grandes, incluyendo Microsoft, Intel y Cisco; el ataque al oleoducto Colonial que interrumpió el suministro de petróleo y gas debido a una parada operativa de precaución; y los ataques de ransomware de LockBit más recientemente, que afectaron a la consultora global Accenture, y la lista continúa. Las revelaciones de hackeos de organizaciones criminales independientes y de grupos patrocinados por el Estado están provocando niveles cada vez mayores de preocupación entre las juntas directivas de las empresas, las direcciones gubernamentales y los órganos legislativos.
Estos ciberataques no necesariamente emplean nuevas técnicas de ataque y, lamentablemente, se están volviendo más graves y frecuentes. Si bien ninguna organización de fabricación puede garantizar que nunca se verá afectada por este tipo de amenazas, existen acciones fundamentales que los líderes empresariales y de ciberseguridad pueden realizar para eliminar los silos, operar de manera holística e implementar las prácticas recomendadas para reducir el riesgo de estas amenazas.
Sabemos que estas preocupaciones son muy importantes para la industria y trabajamos con los clientes todos los días para ayudar a crear una base sólida y minimizar los riesgos. Presentamos la guía básica que más frecuentemente recomendamos implementar a nuestros clientes de fabricación.
Participar en la asignación de operaciones comerciales
Los fabricantes deben asignar sus sistemas comerciales y de fabricación según cada función, fuente de ingresos o misión. Esto ayudará a comprender y a hacerse responsable de cada proceso para lograr objetivos de continuidad del negocio y de resiliencia ante ciberataques, así como de los escenarios de gestión de crisis comerciales. Por lo general, la asignación de las operaciones de la empresa requiere el patrocinio ejecutivo de las partes interesadas interdisciplinarias, incluyendo las operaciones de fabricación, la ciberseguridad de la planta, la seguridad de TI, los sistemas de fabricación y los sistemas empresariales, para que participen. Esto puede ser una tarea pesada, así que prepárese para aprender mucho y busque orientación para ayudar a implementar el enfoque de un marco de trabajo.
Analice las amenazas concienzudamente
Los fabricantes también deben hacer un análisis exhaustivo de las amenazas. Como parte de este proceso, es una práctica recomendada revisar las matrices MITRE ATT&CK , específicamente la matriz MITRE ICS ATT&CK, cuyo fundamento es una base de conocimiento global de tácticas y técnicas adversas que se usan en los ataques de la vida real.
Evalúe la protección de la ciberseguridad
Es importante determinar y evaluar las operaciones y los controles de ciberseguridad que existen actualmente mediante una evaluación o auditoría de ciberseguridad. Esto debería incluir la evaluación de los tres pilares principales: personas, procesos y tecnología, con un enfoque en las personas y en la mejora de las nuevas tecnologías y los procesos. La tecnología funciona, pero la gente impulsa el éxito. Para la evaluación, es mejor trabajar con un proveedor de automatización, como Emerson, que cuenta con experiencia en el área y está familiarizado con las operaciones y los sistemas de control industrial.
Desarrolle una estrategia de defensa
Con la información obtenida en el análisis de amenazas y la evaluación de ciberseguridad, las compañías deben desarrollar una estrategia de defensa en profundidad para abordar los puntos débiles y mitigar los riesgos en todas las operaciones que podrían verse afectadas por ciberataques directos o indirectos o por la pérdida de capacidades operativas. Esta estrategia debe incluir una priorización basada en el riesgo de cualquier brecha o amenaza, con el fin de garantizar que se traten primero los riesgos más altos y así asegurar la resiliencia de los controles.
Al evaluar los tres pilares de personas, procesos y tecnología, con frecuencia observamos que los clientes encuentran valor en buscar recursos externos, capacitar o mejorar el liderazgo de su personal, o en cambiar ciertos procesos, controles tecnológicos, sistemas o arquitecturas para garantizar una defensa sólida. El plan de acción también debe estar alineado con los planes de continuidad del negocio y de recuperación de desastres de la organización, así como con los planes para una interrupción operativa por sistemas erróneos o hardware con fallos. Los planes de respuesta a los ciberataques necesitan procesos activos definidos con objetivos enfocados en los objetivos de tiempo de contención y recuperación.
Esta estrategia defensiva debe incluir la planificación de peores escenarios. Para una planta de fabricación, por ejemplo, tener un plan de respaldo claro ante fallos de los sistemas informáticos, además de copias impresas de pedidos, etiquetas y contactos, puede ser vital para mantener las operaciones manuales en caso de que las computadoras dejen de funcionar. Puede que esto no sea posible en todos los escenarios, pero contar con planes de respaldo y continuidad revisados con frecuencia pondrá a las empresas en la mejor posición para permanecer operativas incluso ante un ciberataque.
Revisión y actualización periódicas de eficacia
Una vez implementada la estrategia de defensa en profundidad, se debe probar y revisar metódicamente, a propósito y con regularidad, para garantizar que sea efectiva y no ponga en peligro las operaciones en curso ni introduzca otros riesgos. Las funciones, las responsabilidades y la capacitación de los empleados deben actualizarse cuando se implemente alguna práctica o tecnología nueva.
Los fabricantes deben tomar medidas ahora para comprender la magnitud y los tipos de ciberamenazas a las que se enfrentan las empresas. Las amenazas y los ciberataques son reales y están creciendo a un ritmo significativo. La ciberseguridad debe ser una prioridad para los fabricantes y todas las empresas para garantizar que se implementen operaciones y controles de ciberseguridad proactivos y defensivos apropiados para proteger datos, procesos y operaciones comerciales importantes. Los líderes empresariales deben comunicarse con sus líderes de ciberseguridad para determinar qué necesitan realmente para tener éxito y, posteriormente, establecer la urgencia y el apoyo del nivel de la junta directiva para evaluar, comprender y gestionar estos riesgos.
