PREGUNTAS FRECUENTES SOBRE CIBERSEGURIDAD

¿Cómo evaluar, calcular y priorizar los riesgos cibernéticos en OT?

Preguntas frecuentes sobre ciberseguridad

¿Cómo evaluar, calcular y priorizar los riesgos cibernéticos en OT?

Comprendiendo los riesgos específicos asociados a los entornos OT e implantando las medidas de seguridad adecuadas, las organizaciones pueden reducir significativamente la probabilidad y el impacto tanto de los ciberataques como de las interrupciones operativas.

La gestión de riesgos es mucho más compleja que la gestión de vulnerabilidades. Especialmente en los entornos OT , donde los parches a menudo deben retrasarse hasta la siguiente ventana de mantenimiento -suponiendo que existan-, es fundamental comprender la relación entre exposición, riesgo y tolerancia. Esto implica saber primero qué activos son vulnerables y luego sopesar la probabilidad de que una amenaza conocida los explote frente al impacto de un exploit y la tolerancia de la organización a ese riesgo. Un suceso de alto impacto con una probabilidad ínfima de ocurrir puede considerarse menos crítico que un suceso de menor impacto que se sabe que ocurre varias veces a la semana. Utilizando esta fórmula, es fácil priorizar la mitigación de los activos que son vulnerables a los eventos de alto impacto que es probable que ocurran.

Evaluación de riesgos de TI frente a evaluación de riesgos de OT

Este enfoque general del riesgo se aplica a todos los ciberriesgos, pero estas son las principales diferencias entre cómo se evalúa el riesgo en entornos de TI frente a entornos OT .

1. Riesgos cibernéticos y operativos

Quizás la mayor diferencia es que en OT debemos tener en cuenta tanto el riesgo cibernético como el operativo, incluido el riesgo de proceso, porque las anomalías operativas no relacionadas con una amenaza cibernética son mucho más comunes. Desde el punto de vista informático, si el servidor de correo de una empresa se cae, el impacto para el negocio es mínimo. Algunos empleados pueden incluso alegrarse de la interrupción. Pero si un servidor crítico se cae en un entorno operativo, el riesgo puede ser enorme. Colonial Pipeline es un buen ejemplo. Cuando los piratas informáticos de DarkSide rescataron datos de su red de TI, el ataque hizo caer los sistemas de facturación y contabilidad, lo que sin duda iba a crear un costoso lío. Pero la razón por la que la empresa cerró el oleoducto fue que perdieron el acceso a una herramienta de supervisión de la seguridad y no pudieron ver si el propio oleoducto había sido vulnerado, un riesgo enorme que obviamente no podían tolerar.

2. Basado en las consecuencias

En OT, la evaluación de riesgos se centra por completo en consecuencias como la seguridad física, el medio ambiente y la continuidad de las operaciones. Tanto si se evalúa el riesgo en una instalación de procesamiento postal, una planta de envasado de carne, un buque de carga o un almacén, con OT siempre se planifica para el peor día. ¿Qué cosa catastrófica podría suceder que podría afectar a miles de personas?

3. Riesgo de interconexión

Cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Todo está conectado y tiene consecuencias. En un centro de datos, probablemente se podría reiniciar cualquier otro servidor sin ningún impacto. En OT, si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella. A partir de ahí, ¿cuáles son las consecuencias de una parada de emergencia? En una refinería de petróleo, si alguien pulsa el botón de parada de emergencia, se pierden millones de dólares en un instante y se tarda varios meses en volver a poner en marcha la planta.

4. Sólo vulnerabilidades frente a multidimensionalidad

EnTI, el riesgo de los dispositivos se basa únicamente en las vulnerabilidades, y prácticamente se puede eliminar el riesgo con la aplicación de parches. En OT, es multicapa. La plataforma Nozomi Networks calcula el riesgo de los activos basándose en cinco factores: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios. Los clientes pueden utilizar estas puntuaciones listas para usar, o pueden ajustar el peso de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización, por lo que resulta útil.

5. Puntuación frente a tendencia

Especialmente a nivel de planta y director, las partes interesadas en OT tienen poco uso para las puntuaciones numéricas de riesgo. Nuestros clientes nos dicen a menudo: "No necesito un número; sólo necesito mostrar a mi jefe un gráfico con una línea descendente que indique que nuestro riesgo está disminuyendo con el tiempo, lo que significa que nuestro programa cibernético está funcionando." No existe una escala de Richter para el riesgo OT en la que un 5,1 signifique lo mismo de una región a otra o incluso de una planta a otra.‍

6. Mayor tolerancia al riesgo

Dado que hay que evitar el tiempo de inactividad industrial, fuera de las cuestiones de seguridad las partes interesadas industriales tienen una tolerancia al riesgo mucho mayor. Supongamos que un dispositivo está expuesto a Telnet, pero en el nivel 2 de Purdue tiene cortafuegos por encima y por debajo, y nada puede hablar por ese puerto. Es un escenario común debido a la naturaleza de los sistemas OT . El propietario del activo puede optar por silenciar una alerta que se está disparando porque el dispositivo está expuesto a Telnet (o al menos reducir el riesgo de vulnerabilidad en la regla de alerta), mientras que un analista de TI vería la alerta y querría parchear el dispositivo inmediatamente, algo que usted no puede ni necesita hacer.

Cálculo del riesgo OT

Cualquier evaluación de riesgos empieza por realizar un análisis del impacto en el negocio para identificar las joyas de la corona y priorizar su protección. En los entornos industriales, es más complejo porque no sólo se analiza el riesgo de los activos; también hay que identificar los procesos más críticos y cómo protegerlos. Una cinta transportadora dentro de la planta que lleva el mineral de hierro al horno es más arriesgada que una cinta transportadora que lleva el correo del edificio principal al almacén. Puede que utilicen la misma tecnología y los mismos protocolos, pero los niveles de riesgo son muy distintos.

Varios proveedores ofrecen puntuaciones de riesgo calculadas para ayudarle a comprender el riesgo de los activos. Pueden parecer impresionantes en un POC, pero ¿en qué medida le ayudan a controlar y reducir el riesgo en el día a día? Si no reflejan la forma en que su organización calcula el riesgo, probablemente no les haga caso.

La plataformaNozomi Networks asigna puntuaciones de riesgo a cada uno de sus activos para ayudarle a priorizar los esfuerzos de seguridad, abordar primero los riesgos más críticos y tomar las medidas correctas para mitigar eficazmente las amenazas potenciales. Calcula el riesgo de los activos en función de cinco factores: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios. Puede utilizar nuestras puntuaciones listas para usar o personalizar completamente el peso de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización. Incluso puede aplicar sus reglas de ajuste por zonas.

Cómo la plataforma Nozomi Networks le ayuda a comprender y minimizar los riesgos OT

Al analizar el riesgo de sus activos OT , debe ser capaz de ver de un vistazo qué activos son más arriesgados por zona, emplazamiento, proveedor y cualquier otra forma en que desee clasificarlos. Y tiene que ser capaz de profundizar para entender qué los hace peligrosos y qué puede hacer al respecto. También es importante ver cómo las puntuaciones de riesgo individuales contribuyen a la puntuación de riesgo de nivel superior del centro o zona a la que pertenece el activo y, en última instancia, a la puntuación de riesgo de toda la empresa. Incluso con todo este contexto, las puntuaciones de riesgo de activos individuales aportan poco valor. Para una gestión de riesgos adecuada, es necesario comprender los cambios en las puntuaciones de riesgo a lo largo del tiempo.

El panel de control de Nozomi Networks muestra sus puntuaciones de riesgo actuales por zona, centro y otras categorías que seleccione. Si su riesgo tiende en la dirección equivocada, puede desglosarlo para ver por qué y dónde necesita añadir los controles adecuados. Tal vez necesite bloquear sus protocolos inseguros o reforzar su segmentación. Decida lo que decida hacer, su puntuación de riesgo reflejará el grado de impacto de sus acciones, utilizando sus propios supuestos de riesgo. Si su puntuación de riesgo comenzó en 70 globalmente y bajó a 52, ahora tiene un ROI duro para justificar su inversión. 

La función de riesgo de activos ofrece una visión completa del riesgo asociado a sus activos IoT , con información clara, personalizable y procesable sobre la postura de seguridad de activos individuales, zonas, sitios, sensores y en todo el entorno. Los usuarios pueden comparar su rendimiento de seguridad y realizar un seguimiento de las mejoras a lo largo del tiempo, lo que la convierte en una herramienta fundamental para mantener y mejorar la resistencia operativa.

Un cuadro de mandos de ciberriesgos para OT

Comprendiendo los riesgos específicos asociados a los entornos OT e implantando las medidas de seguridad adecuadas, las organizaciones pueden reducir significativamente la probabilidad y el impacto tanto de los ciberataques como de las interrupciones operativas.

La gestión de riesgos es mucho más compleja que la gestión de vulnerabilidades. Especialmente en los entornos OT , donde los parches a menudo deben retrasarse hasta la siguiente ventana de mantenimiento -suponiendo que existan-, es fundamental comprender la relación entre exposición, riesgo y tolerancia. Esto implica saber primero qué activos son vulnerables y luego sopesar la probabilidad de que una amenaza conocida los explote frente al impacto de un exploit y la tolerancia de la organización a ese riesgo. Un suceso de alto impacto con una probabilidad ínfima de ocurrir puede considerarse menos crítico que un suceso de menor impacto que se sabe que ocurre varias veces a la semana. Utilizando esta fórmula, es fácil priorizar la mitigación de los activos que son vulnerables a los eventos de alto impacto que es probable que ocurran.

Evaluación de riesgos de TI frente a evaluación de riesgos de OT

Este enfoque general del riesgo se aplica a todos los ciberriesgos, pero estas son las principales diferencias entre cómo se evalúa el riesgo en entornos de TI frente a entornos OT .

1. Riesgos cibernéticos y operativos

Quizás la mayor diferencia es que en OT debemos tener en cuenta tanto el riesgo cibernético como el operativo, incluido el riesgo de proceso, porque las anomalías operativas no relacionadas con una amenaza cibernética son mucho más comunes. Desde el punto de vista informático, si el servidor de correo de una empresa se cae, el impacto para el negocio es mínimo. Algunos empleados pueden incluso alegrarse de la interrupción. Pero si un servidor crítico se cae en un entorno operativo, el riesgo puede ser enorme. Colonial Pipeline es un buen ejemplo. Cuando los piratas informáticos de DarkSide rescataron datos de su red de TI, el ataque hizo caer los sistemas de facturación y contabilidad, lo que sin duda iba a crear un costoso lío. Pero la razón por la que la empresa cerró el oleoducto fue que perdieron el acceso a una herramienta de supervisión de la seguridad y no pudieron ver si el propio oleoducto había sido vulnerado, un riesgo enorme que obviamente no podían tolerar.

2. Basado en las consecuencias

En OT, la evaluación de riesgos se centra por completo en consecuencias como la seguridad física, el medio ambiente y la continuidad de las operaciones. Tanto si se evalúa el riesgo en una instalación de procesamiento postal, una planta de envasado de carne, un buque de carga o un almacén, con OT siempre se planifica para el peor día. ¿Qué cosa catastrófica podría suceder que podría afectar a miles de personas?

3. Riesgo de interconexión

Cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Todo está conectado y tiene consecuencias. En un centro de datos, probablemente se podría reiniciar cualquier otro servidor sin ningún impacto. En OT, si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella. A partir de ahí, ¿cuáles son las consecuencias de una parada de emergencia? En una refinería de petróleo, si alguien pulsa el botón de parada de emergencia, se pierden millones de dólares en un instante y se tarda varios meses en volver a poner en marcha la planta.

4. Sólo vulnerabilidades frente a multidimensionalidad

EnTI, el riesgo de los dispositivos se basa únicamente en las vulnerabilidades, y prácticamente se puede eliminar el riesgo con la aplicación de parches. En OT, es multicapa. La plataforma Nozomi Networks calcula el riesgo de los activos basándose en cinco factores: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios. Los clientes pueden utilizar estas puntuaciones listas para usar, o pueden ajustar el peso de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización, por lo que resulta útil.

5. Puntuación frente a tendencia

Especialmente a nivel de planta y director, las partes interesadas en OT tienen poco uso para las puntuaciones numéricas de riesgo. Nuestros clientes nos dicen a menudo: "No necesito un número; sólo necesito mostrar a mi jefe un gráfico con una línea descendente que indique que nuestro riesgo está disminuyendo con el tiempo, lo que significa que nuestro programa cibernético está funcionando." No existe una escala de Richter para el riesgo OT en la que un 5,1 signifique lo mismo de una región a otra o incluso de una planta a otra.‍

6. Mayor tolerancia al riesgo

Dado que hay que evitar el tiempo de inactividad industrial, fuera de las cuestiones de seguridad las partes interesadas industriales tienen una tolerancia al riesgo mucho mayor. Supongamos que un dispositivo está expuesto a Telnet, pero en el nivel 2 de Purdue tiene cortafuegos por encima y por debajo, y nada puede hablar por ese puerto. Es un escenario común debido a la naturaleza de los sistemas OT . El propietario del activo puede optar por silenciar una alerta que se está disparando porque el dispositivo está expuesto a Telnet (o al menos reducir el riesgo de vulnerabilidad en la regla de alerta), mientras que un analista de TI vería la alerta y querría parchear el dispositivo inmediatamente, algo que usted no puede ni necesita hacer.

Cálculo del riesgo OT

Cualquier evaluación de riesgos empieza por realizar un análisis del impacto en el negocio para identificar las joyas de la corona y priorizar su protección. En los entornos industriales, es más complejo porque no sólo se analiza el riesgo de los activos; también hay que identificar los procesos más críticos y cómo protegerlos. Una cinta transportadora dentro de la planta que lleva el mineral de hierro al horno es más arriesgada que una cinta transportadora que lleva el correo del edificio principal al almacén. Puede que utilicen la misma tecnología y los mismos protocolos, pero los niveles de riesgo son muy distintos.

Varios proveedores ofrecen puntuaciones de riesgo calculadas para ayudarle a comprender el riesgo de los activos. Pueden parecer impresionantes en un POC, pero ¿en qué medida le ayudan a controlar y reducir el riesgo en el día a día? Si no reflejan la forma en que su organización calcula el riesgo, probablemente no les haga caso.

La plataformaNozomi Networks asigna puntuaciones de riesgo a cada uno de sus activos para ayudarle a priorizar los esfuerzos de seguridad, abordar primero los riesgos más críticos y tomar las medidas correctas para mitigar eficazmente las amenazas potenciales. Calcula el riesgo de los activos en función de cinco factores: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios. Puede utilizar nuestras puntuaciones listas para usar o personalizar completamente el peso de cada variable hasta que el cálculo refleje con precisión cómo asigna el riesgo su organización. Incluso puede aplicar sus reglas de ajuste por zonas.

Cómo la plataforma Nozomi Networks le ayuda a comprender y minimizar los riesgos OT

Al analizar el riesgo de sus activos OT , debe ser capaz de ver de un vistazo qué activos son más arriesgados por zona, emplazamiento, proveedor y cualquier otra forma en que desee clasificarlos. Y tiene que ser capaz de profundizar para entender qué los hace peligrosos y qué puede hacer al respecto. También es importante ver cómo las puntuaciones de riesgo individuales contribuyen a la puntuación de riesgo de nivel superior del centro o zona a la que pertenece el activo y, en última instancia, a la puntuación de riesgo de toda la empresa. Incluso con todo este contexto, las puntuaciones de riesgo de activos individuales aportan poco valor. Para una gestión de riesgos adecuada, es necesario comprender los cambios en las puntuaciones de riesgo a lo largo del tiempo.

El panel de control de Nozomi Networks muestra sus puntuaciones de riesgo actuales por zona, centro y otras categorías que seleccione. Si su riesgo tiende en la dirección equivocada, puede desglosarlo para ver por qué y dónde necesita añadir los controles adecuados. Tal vez necesite bloquear sus protocolos inseguros o reforzar su segmentación. Decida lo que decida hacer, su puntuación de riesgo reflejará el grado de impacto de sus acciones, utilizando sus propios supuestos de riesgo. Si su puntuación de riesgo comenzó en 70 globalmente y bajó a 52, ahora tiene un ROI duro para justificar su inversión. 

La función de riesgo de activos ofrece una visión completa del riesgo asociado a sus activos IoT , con información clara, personalizable y procesable sobre la postura de seguridad de activos individuales, zonas, sitios, sensores y en todo el entorno. Los usuarios pueden comparar su rendimiento de seguridad y realizar un seguimiento de las mejoras a lo largo del tiempo, lo que la convierte en una herramienta fundamental para mantener y mejorar la resistencia operativa.

Un cuadro de mandos de ciberriesgos para OT
Volver a Preguntas frecuentes