PREGUNTAS FRECUENTES SOBRE CIBERSEGURIDAD

¿Quién es responsable de la ciberseguridad OT ?

Preguntas frecuentes sobre ciberseguridad

¿Quién es responsable de la ciberseguridad OT ?

Los recientes cambios normativos implican que ahora se espera que los CISO asuman la responsabilidad del riesgo de ciberseguridad de la empresa. Para las organizaciones industriales, esto incluye el riesgo de los dispositivos y redes OT . Con las líneas entre las redes de TI, IoT y OT más borrosas que nunca, hace tiempo que se necesita una supervisión integral del riesgo. El cambio hacia un enfoque empresarial del riesgo es positivo, pero plantea preguntas sobre quién debe encargarse de la compra, el despliegue y el mantenimiento de soluciones de ciberseguridad para entornos ciberfísicos desconocidos (para los departamentos de TI). Y en esta fase del cambio, las respuestas no están claras.

La norma IEC62443 Parte 2-1 esboza los requisitos para establecer un sistema de gestión de la ciberseguridad para los sistemas de automatización y control industrial. La guía es indispensable, pero sigue dependiendo de cada organización identificar a las personas adecuadas para aplicarla. Por ejemplo, a menudo no existen políticas de ciberseguridad para ingenieros, técnicos, operadores de procesos y operadores de salas de OT . ¿Quién redactará las políticas y quién formará a las personas afectadas? Del mismo modo, ¿quién creará los planes de respuesta a incidentes, ya que normalmente pueden ser muy diferentes en OT debido a las consecuencias para la seguridad física?

Los CISO pueden ser propietarios del riesgo empresarial, pero normalmente saben lo suficiente sobre seguridad OT como para saber que está fuera de su ámbito. Dado que tienen una amplia influencia sobre las decisiones técnicas y empresariales, son los más indicados para ser los patrocinadores ejecutivos del proyecto. Esto incluye proporcionar dirección estratégica, asegurar los recursos necesarios, gestionar las escaladas y comunicar los progresos a los ejecutivos y al consejo. Y lo que es más importante, deben contratar a las personas adecuadas para evaluar las soluciones de seguridad OT , implantarlas y supervisarlas de forma continua.

El equipo de seguridad OT ideal incluye directores de planta, ingenieros y operarios que entienden los sistemas de control industrial por dentro y por fuera, aunque puedan estar inseguros o ser escépticos respecto a la ciberseguridad. Por lo que respecta a la ciberseguridad, conviene contratar a gestores, analistas y administradores de seguridad y redes, aunque algunos de ellos no hayan pisado nunca la planta. Para las empresas sujetas a normativas de ciberseguridad, querrá incluir a un experto en cumplimiento de normativas para asegurarse de que las soluciones que instala cubren los requisitos clave, incluida la elaboración de informes.  

Si falta alguna de estas funciones, es posible que tome una decisión de compra informada, pero es probable que surjan problemas internos y se produzcan retrasos. Por ejemplo, si no hay nadie del equipo de redes en la mesa, cuando intente implementar la supervisión del tráfico SPAN, es posible que necesiten más persuasión o que tengan una idea totalmente diferente que le obligue a volver a la mesa de dibujo. Si no se invita a las partes interesadas clave OT a participar en la decisión de compra de tecnología, es probable que se produzcan retrasos o que se impida la instalación. 

Entre estos miembros del equipo debe identificar al líder adecuado para supervisar los proyectos diarios. Introducir la seguridad OT en el taller significa introducir un comportamiento muy diferente. Habrá nuevas políticas, configuraciones y controles, como una gestión de accesos más estricta, que cambiarán la forma en que los operarios realizan su trabajo diario. Muchos de estos cambios no serán populares. ¿Puede esta persona defender los cambios no sólo como necesarios, sino también en interés de todos? Como patrocinador ejecutivo, el CISO también dirigirá esta tarea, pero usted querrá un colega de confianza que responda a preguntas detalladas y se gane a los detractores. Para cuando aparezca el proveedor de seguridad o el integrador de sistemas, querrá empleados formados que sepan qué esperar y estén preparados.

La fase posterior a la implantación requiere aún más cooperación interfuncional. Para permitir la gestión de riesgos empresariales, los datos de su entorno OT deben introducirse en su sistema de gestión de eventos de información de seguridad (SIEM) o integrarse de otro modo con su plataforma de seguridad de TI existente para que el centro de operaciones de seguridad (SOC) o el proveedor de servicios de seguridad gestionados (MSSP) puedan identificar los problemas. Es fundamental que los expertos en OT (idealmente los expertosen seguridad OT ) sigan educando a estos grupos sobre la sensibilidad de las redes OT y por qué los esfuerzos de reparación deben implicar a personal que conozca bien sus procesos industriales y su red.  

 En resumen, docenas de personas de toda la organización deben apropiarse conjuntamente de la ciberseguridad OT para que su programa tenga éxito. Nozomi Networks ha desplegado soluciones de seguridad OT en miles de entornos en todos los sectores industriales y de infraestructuras críticas. Hemos visto proyectos ejecutarse sin problemas, y los hemos visto estancarse en cada paso. Como parte de cada inicio de implementación, revisamos los desafíos culturales comunes OT y ofrecemos formas de superarlos que sabemos que funcionan.

Los recientes cambios normativos implican que ahora se espera que los CISO asuman la responsabilidad del riesgo de ciberseguridad de la empresa. Para las organizaciones industriales, esto incluye el riesgo de los dispositivos y redes OT . Con las líneas entre las redes de TI, IoT y OT más borrosas que nunca, hace tiempo que se necesita una supervisión integral del riesgo. El cambio hacia un enfoque empresarial del riesgo es positivo, pero plantea preguntas sobre quién debe encargarse de la compra, el despliegue y el mantenimiento de soluciones de ciberseguridad para entornos ciberfísicos desconocidos (para los departamentos de TI). Y en esta fase del cambio, las respuestas no están claras.

La norma IEC62443 Parte 2-1 esboza los requisitos para establecer un sistema de gestión de la ciberseguridad para los sistemas de automatización y control industrial. La guía es indispensable, pero sigue dependiendo de cada organización identificar a las personas adecuadas para aplicarla. Por ejemplo, a menudo no existen políticas de ciberseguridad para ingenieros, técnicos, operadores de procesos y operadores de salas de OT . ¿Quién redactará las políticas y quién formará a las personas afectadas? Del mismo modo, ¿quién creará los planes de respuesta a incidentes, ya que normalmente pueden ser muy diferentes en OT debido a las consecuencias para la seguridad física?

Los CISO pueden ser propietarios del riesgo empresarial, pero normalmente saben lo suficiente sobre seguridad OT como para saber que está fuera de su ámbito. Dado que tienen una amplia influencia sobre las decisiones técnicas y empresariales, son los más indicados para ser los patrocinadores ejecutivos del proyecto. Esto incluye proporcionar dirección estratégica, asegurar los recursos necesarios, gestionar las escaladas y comunicar los progresos a los ejecutivos y al consejo. Y lo que es más importante, deben contratar a las personas adecuadas para evaluar las soluciones de seguridad OT , implantarlas y supervisarlas de forma continua.

El equipo de seguridad OT ideal incluye directores de planta, ingenieros y operarios que entienden los sistemas de control industrial por dentro y por fuera, aunque puedan estar inseguros o ser escépticos respecto a la ciberseguridad. Por lo que respecta a la ciberseguridad, conviene contratar a gestores, analistas y administradores de seguridad y redes, aunque algunos de ellos no hayan pisado nunca la planta. Para las empresas sujetas a normativas de ciberseguridad, querrá incluir a un experto en cumplimiento de normativas para asegurarse de que las soluciones que instala cubren los requisitos clave, incluida la elaboración de informes.  

Si falta alguna de estas funciones, es posible que tome una decisión de compra informada, pero es probable que surjan problemas internos y se produzcan retrasos. Por ejemplo, si no hay nadie del equipo de redes en la mesa, cuando intente implementar la supervisión del tráfico SPAN, es posible que necesiten más persuasión o que tengan una idea totalmente diferente que le obligue a volver a la mesa de dibujo. Si no se invita a las partes interesadas clave OT a participar en la decisión de compra de tecnología, es probable que se produzcan retrasos o que se impida la instalación. 

Entre estos miembros del equipo debe identificar al líder adecuado para supervisar los proyectos diarios. Introducir la seguridad OT en el taller significa introducir un comportamiento muy diferente. Habrá nuevas políticas, configuraciones y controles, como una gestión de accesos más estricta, que cambiarán la forma en que los operarios realizan su trabajo diario. Muchos de estos cambios no serán populares. ¿Puede esta persona defender los cambios no sólo como necesarios, sino también en interés de todos? Como patrocinador ejecutivo, el CISO también dirigirá esta tarea, pero usted querrá un colega de confianza que responda a preguntas detalladas y se gane a los detractores. Para cuando aparezca el proveedor de seguridad o el integrador de sistemas, querrá empleados formados que sepan qué esperar y estén preparados.

La fase posterior a la implantación requiere aún más cooperación interfuncional. Para permitir la gestión de riesgos empresariales, los datos de su entorno OT deben introducirse en su sistema de gestión de eventos de información de seguridad (SIEM) o integrarse de otro modo con su plataforma de seguridad de TI existente para que el centro de operaciones de seguridad (SOC) o el proveedor de servicios de seguridad gestionados (MSSP) puedan identificar los problemas. Es fundamental que los expertos en OT (idealmente los expertosen seguridad OT ) sigan educando a estos grupos sobre la sensibilidad de las redes OT y por qué los esfuerzos de reparación deben implicar a personal que conozca bien sus procesos industriales y su red.  

 En resumen, docenas de personas de toda la organización deben apropiarse conjuntamente de la ciberseguridad OT para que su programa tenga éxito. Nozomi Networks ha desplegado soluciones de seguridad OT en miles de entornos en todos los sectores industriales y de infraestructuras críticas. Hemos visto proyectos ejecutarse sin problemas, y los hemos visto estancarse en cada paso. Como parte de cada inicio de implementación, revisamos los desafíos culturales comunes OT y ofrecemos formas de superarlos que sabemos que funcionan.

Volver a Preguntas frecuentes