Por qué la ciberseguridad debe ser parte de su plan de seguridad

Son muy bien conocidos los peligros que representan las amenazas cibernéticas para la propiedad intelectual, los registros de clientes y la productividad. Pero menos conocidas son las repercusiones de seguridad de dichas amenazas. Un ciberataque a su sistema de control industrial (ICS) puede perjudicar los activos físicos, alterar recetas, lesionar al personal o producir daños ambientales muy graves.

Si se encuentra en una travesía hacia la transformación digital, ya sea un proceso gestionado o una evolución lenta, la gestión de los riesgos inherentes de seguridad y protección debe ser una parte fundamental del proceso.

Un enfoque de seguridad adecuado mejorará la recolección, el análisis y la entrega de información. Además, minimizará las interrupciones y trastornos relacionados con la seguridad. Y ayudará a proteger a su empresa.

Conozca los riesgos

Actualmente las normas de protección y seguridad ya reconocen el vínculo entre los riesgos de protección y seguridad.

La norma de ciberseguridad ISA/IEC 62443-1-1 señala que las violaciones de seguridad pueden acarrear repercusiones que van más allá de la puesta en riesgo de la información. La norma establece lo siguiente: “La pérdida potencial de vidas o producción, el daño ambiental, la violación de las normas y la puesta en riesgo de la seguridad operativa son consecuencias mucho más graves. Estos pueden tener repercusiones más allá de la organización objetivo; pueden dañar gravemente la infraestructura de la región o la nación anfitriona”.

La norma de seguridad funcional IEC 61508-1 especifica que los peligros asociados con el equipo y los sistemas de control deben ser identificados bajo todas las circunstancias razonablemente previsibles. La norma señala: “Esto incluirá todos los problemas relevantes del factor humano y prestará especial atención a los modos de funcionamiento anormales o poco frecuentes del EUC. Si el análisis de peligros identifica que una acción malévola o no autorizada, que constituye una amenaza a la seguridad, es razonablemente previsible, entonces se debe realizar un análisis de amenazas a la seguridad”.

La seguridad, como la protección, se enfoca en los problemas con base en la gestión de riesgos, el aprovechamiento de la evaluación continua y el establecimiento de líneas base para garantizar que se esté manteniendo dentro del umbral de riesgo. Su nivel de riesgo aceptable varía según la industria y los posibles resultados.

Puesto que en la mayor parte de los ataques a la ciberseguridad se trata de un atacante que descubre un objetivo vulnerable, en vez de un ataque orientado a una industria o área específica, un ataque a la ciberseguridad constituye una circunstancia previsible en casi todas las industrias. La evaluación de sus riesgos de ciberseguridad, la determinación de su nivel de riesgo aceptable y la mitigación de riesgos identificados según un nivel aceptable ahora son pasos básicos “razonables” para ayudar a proteger a las personas frente al uso indebido y acciones malévolas o no autorizadas previsibles.

Al igual que la protección, no hacer caso de la ciberseguridad y los riesgos asociados representa la creencia errónea de que “si no estoy consciente del riesgo, no puedo ser responsabilizado por las consecuencias”. Esta es una actitud inaceptable, tanto desde el punto de vista ético como de conformidad, en especial cuando hay vidas en juego.

El abordaje conjunto de los riesgos

Algunas personas han utilizado los riesgos producidos por las tecnologías conectadas como argumento para refutar la modernización. Pero es importante señalar que no hacer nada no es una solución. El mantenimiento de sistemas anticuados no solo le priva de información importante y de otros beneficios de IIoT, sino que estos sistemas a menudo carecen de las medidas de seguridad de los sistemas contemporáneos, lo cual significa que son cada vez más vulnerables.

El mejor enfoque consiste en sacar máximo partido de la transformación digital a la vez que ayuda a garantizar la protección y la seguridad como parte del proceso. Para ello, tenga en mente algunos aspectos claves.

Por ejemplo, muchas prácticas de seguridad han sido utilizadas desde hace mucho tiempo por IT, pero representan una novedad para OT. Además, si bien muchos de los pasos de mitigación son parecidos cuando se comparan, la manera en que se aplican en la oficina es muy diferente a la manera en que se implementan en la planta.

En un ambiente de fabricación, los riesgos a la ciberseguridad y a la seguridad deben formar parte de la gestión de riesgos y parte del proceso de gestión de cambios (MOC). Y los profesionales de EHS deben participar en la gestión de procesos y en la conformidad con las normas y leyes.

Es una nueva era en la industria. Las ventajas de Industria 4.0 compensan indudablemente el aumento de los riesgos. Y entender los riesgos y mitigarlos como parte de sus iniciativas digitales le permitirá aumentar las posibilidades de mejorar la seguridad de sus operaciones a la vez que le ayudará a proteger lo que es más importante para usted.

Para obtener más información sobre la seguridad industrial, haga clic aquí.

Steve Ludwig es el gerente de programas comerciales de seguridad de Rockwell Automation, la compañía más grande del mundo dedicada a la automatización e información industrial. Rockwell Automation es miembro fundador de ISA Global Cybersecurity Alliance y ha recibido numerosas certificaciones ISA/IEC 62443.