Declaraciones erroneas sobre un plan de ciberseguridad industrial

El sector industrial en México da poca importancia al tener un plan de ciberseguridad industrial. Frecuentemente se escudan con declaraciones que no tienen sustento en la vida real. El encargado de ciberseguridad en planta puede tener diversos motivos para no implementar el plan de ciberseguridad, entre los que se encuentran bajo presupuesto, alta carga de trabajo, o no saber suficiente sobre el tema.

Sin embargo, si tú eres el responsable de ciberseguridad en tu planta te recomiendo hacer un poco de tiempo en tu agenda para presentar la propuesta de un plan, te llevará solo algunas horas, pero lo más importante, estarás respaldado al haber presentado dicha propuesta, y en caso de algún incidente lo mejor es que tengas el respaldo que ya habías presentado la propuesta del plan con anterioridad.

Presentes o no preentes la propuesta de tu plan de ciberseguridad, debes evitar que en las juntas con tus directivos hagas declaraciones erroneas con la finalidad de no echarte al alacrán encima o de evadir responsabilidades de las cuales no tienes tiempo de encargarte por el momento. Aquí te presento algunas declaraciones que podrían ser peligrosas para tu puesto.

#1 "No hay de qué preocuparse"

Expresar confianza sin sustento para mantener el liderazgo es muy ariesgado cuando se trata de ciberseguridad, pretender que no hay riesgos es irresponsable. Siempre existirá el riesgo, y todo lider necesita entender y tomar decisiones sobre implementar políticas y procedimientos.

#2 "Nuestros sistemas no son vulnerables"

Una persona neófita en sistemas de control podrá ser convencido de que los PLC's, SCADA o HMI's son sistemas complejos que los atacantes no entienden. Pero como he mencionado en otros artículos, las herramientas para conseguir acceso a sistemas de control ICS son cada vez más accesibles y las vulnerabilidades de los fabricantes son publicadas frecuentemente. Tú, como lider, deberás reconocer e informar sobre las vulnerabilidades, sin importar el grado de ellas.

#3 "La persona con mayor conocimiento en ciberseguridad ya no trabaja con nosotros"

Si bien es cierto que el talento en ciberseguridad industrial es escaso en nuestro país, no necesariamente tiene que ser empleado en tu empresa o formar parte de tu equipo de trabajo. Se puede resolver subcontratando consultoría especializada, reduciendo tu costo fijo y asegurando que estarán actualizado en conocomientos y certificaciones.

#4 "No hay presupuesto para un plan de ciberseguridad industrial"

Existen encuestas que demuestran que en el sector industrial las inversiones en ciberseguridad son mínimas en comparación con el nivel de riesgo al que se enfrentan. Para demostrarlo, pregúntate si en tu fábrica o planta ya realizaron un análisis de riesgo y lo pasaron a una matriz de vulnerabilidades, con la finalidad de definir un nivel de seguridad deseado. ¿lo has hecho?

#5 "Tenemos un firewall de última generación que divide oficinas de la fábrica (IT de OT)"

Si bién, planta debe tener un control de tráfico con un firewall de oficinas, ¿donde queda la ciberseguridad de la planta en sí? . ¿Ya tienes aislados tus procesos críticos? , ¿tienes un plan de monitoreo y actualización de firmware? , ¿tienes políticas de control de acceso remoto? , ¿tienes políticas para equipos de contratistas que entran a tu piso de producción?

#6 "Implementamos las políticas de IT en planta"

Error, puedes implementar ciertas políticas de IT, pero solo te protegeran un 10% del riesgo que tu red de planta corre. Debes complementar estas políticas y procedimientos con un plan de ciberseguridad enfocado a industria. Yo te recomiendo que te bases en las guias o frameworks ISA99/IEC62443 y la NIST 800-82, ambos frameworks están dirigidos al sector industrial.

#7 "Estamos un paso adelante de los atacantes"

Mentira, los atacantes están siempre adelantados por meses y en caso años a tus esfuerzos de protección. Esto no quiere decir que debamos resignarnos a un ataque, por el contrario, si implementamos la política de "Defense-in-Depth" y creamos varias barreras de protección en nuestra planta, crearemos un ambiente disuasorio (RAE), y el posible atacante preferirá ir a otra planta menos protegida que la tuya.

Cualquier duda quedo a la orden: