Recomendado para usted
El viaje de cada compañía para ser más segura es único. Los factores que pueden tener un impacto en su perfil de seguridad objetivo incluyen el riesgo operativo, los flujos de trabajo operativos únicos, las políticas, los procedimientos, la tolerancia ante riesgos, etc.
Lamentablemente, es imposible llegar a estar 100 por ciento libre de riesgos. El objetivo debe ser establecer un nivel de riesgo tolerable en función de sus entornos operativos únicos.
El viaje para mejorar su resistencia de seguridad industrial, o postura, puede parecer complejo, y hay una buena razón para ello. Con tantas metodologías, estándares industriales y tecnologías disponibles en el mercado, el camino a seguir puede no ser claro. Quizás se pregunte: “¿Por dónde empiezo?”
Una forma de iniciar este viaje es mediante el uso de evaluaciones de la protección. En su forma más simple, una evaluación de la protección es una medición estructurada de la postura de seguridad de un sistema u una organización.
Cuando se utilizan correctamente, las evaluaciones pueden ser un método extremadamente eficaz deevaluar su postura de seguridad actual, identificar el vacío entre su estado actual y el estado objetivo ideal, y establecer pasos claros para alcanzar su postura de seguridad objetivo.
Tipos de evaluaciones
La frase “evaluación de la protección” puede significar muchas cosas diferentes, por lo que es importante que el alcance de la evaluación tenga como base la intención de la iniciativa. Cada uno de los tipos más comunes de evaluaciones puede arrojar diferentes resultados que pueden tener un impacto sobre las medidas que se tomen en el programa de protección.
- Evaluación de la vulnerabilidad: identifica las vulnerabilidades conocidas que existen en un ambiente, en un esfuerzo por poner en marcha un plan de acción para corregirlas.
- Análisis de vacíos: identifica el vacío entre la postura de protección existente de una organización y el estado ideal de su postura de protección. Los análisis de vacíos suelen tener en cuenta un estándar corporativo o industrial y pretenden definir claramente los pasos necesarios para alcanzar la postura de protección deseada.
- Evaluación de riesgos: proporciona una visión más holística de la postura de protección de una organización. Una evaluación de riesgos combina elementos de una evaluación de vulnerabilidades y una evaluación de vacíos para identificar y evaluar los riesgos conocidos frente a la tolerancia ante riesgos de la organización y su postura de protección ideal.
- Auditoría de protección: este servicio basado en la evaluación audita la postura y las prácticas de protección de una organización con respecto a un determinado organismo de estándares o requisitos del sector, normalmente para ayudar a garantizar la conformidad, como CIP de NERC u otros estándares.
Tenga en cuenta que, si bien los que anteceden son tipos comunes de evaluaciones de la protección, es importante comenzar con una comprensión del objetivo previsto antes de elegir uno. Esto será fundamental para ayudar a garantizar que se alineen y cumplan las expectativas adecuadas, y que se seleccione la evaluación más eficaz para hacer avanzar su programa de ciberseguridad.
Sea realista
Cuando considere qué tipo de evaluación es el adecuado para su organización, recuerde que una evaluación es una copia dinámica de un punto en el tiempo. No debe considerarse como la única solución para el programa de protección de una organización. Más bien, es como un control regular para confirmar que el mantenimiento, la gestión y los controles técnicos son adecuados para la tolerancia ante riesgos que se pretende.
Si tiene que lidiar con provisiones restringidas y recursos limitados y no puede realizar una evaluación en toda la organización, quizás le convenga adoptar un enfoque de “muestra representativa”, el cual reduce el alcance de la evaluación a una parte de su organización que ofrecerá una línea base.
Hora de aunar criterios
Las evaluaciones de la protección pueden ser herramientas efectivas para evaluar su postura de protección actual, pero deben seleccionarse adecuadamente, tener un alcance definido y estar acompañadas de una hoja de ruta útil que establezca medidas claras y procesables para alcanzar su perfil de seguridad objetivo. El proveedor adecuado puede ayudarle con las evaluaciones y la creación de un programa de protección robusto.
Publicado 29 de abril de 2019