Tips

El costo de la ciberseguridad industrial OT

costo de ciberseguridad industrial

Sin duda en Latino-América, uno de los motivos de la mala forma de abordar la ciberseguridad industrial es por el tema de dinero. El costo de la ciberseguridad industrial ha sido mal calculado y con un enfoque erróneo; en ocasiones por la falta de conocimiento de los encargados de desarrollar estos proyectos, en otras ocasiones por la falta de convencimiento de altos niveles directivos de la importancia de este tema.

Por lo anterior quiero exponer ante ustedes lo que en mi experiencia he detectado a la hora de la toma de decisión en implementar la ciberseguridad industrial.    

 

 

Cultura o consciencia de ciberseguridad industrial

Existen organizaciones que consideran la ciberseguridad industrial como innecesaria, que lo más importante es proteger los servidores de la red de IT. Otras organizaciones consideran que con solo bloquear el acceso a internet de la red de OT se logra protegerla. Otras simplemente no le dan la importancia debida, postergando cualquier mejora en la reducción de riesgos de la red industrial OT. Y aquellas menos informadas, opinan que el costo de la ciberseguridad industrial es muy alto.

Cualquiera que sea su argumento, o excusa, no resulta válida en términos de toma de decisión a nivel directivo. Hablando de manufactura, la producción es lo más importante, el costo de sus productos producidos es directamente proporcional al tiempo de producción de los mismos, donde, si existen paros de línea, el costo aumenta.

Se ha comprobado que aislar las redes OT en la práctica no funciona, tanto por desempeño como por ciberseguridad; los ingenieros de producción requieren realizar actualizaciones o soporte por proveedores externos, estas conexiones que en ocasiones son efectuadas bajo el radar, aumenta los riesgos de ataques.

Recordemos que aproximadamente un 80% de los ataques son efectuados desde dentro de la organización, ya sea por empleados o exempleados disgustados, trampas con memorias USB, correos o ingeniería social.

Sea cual sea su supuesto argumento, está demostrado que el costo de la ciberseguridad industrial es bajo a comparación de las consecuencias que suceden en la vida real.    

 

 

Protegerse de forma inadecuada.

Para luchar contra un enemigo hace falta conocerlo. Los ciber ataques, en sus diferentes variantes (ransomware, malware, phishing, DDoS, etc) emplean diferentes métodos para lograr sus objetivos, por lo anterior, las herramientas para protegerse de ellas son variada.

He presenciado redes industriales que consideran estar protegidas por tener un firewall entre ellos y la red de IT. No está de más colocar un firewall a ese nivel, sin embargo, no lo configuran de acuerdo a las necesidades de la red OT, generalmente copian políticas y filtros de un firewall de IT y lo pegan en los firewalls hacia OT, es absurdo y no sirve de mucho, ya que los equipos de OT rara vez tienen el comportamiento de un equipo de IT.

Existen herramientas y medidas de protección para redes industriales y sus dispositivos como son IACS o ICS, Scada, HMI’s, PLC’s, etc; equipos que entienden los protocolos industriales, que es la forma en que estos equipos se comunican.    

 

 

 

¿Entonces cuál es el costo de la ciberseguridad industrial OT?

Antes de contestar esta pregunta hace falta fijar el objetivo. El objetivo de la ciberseguridad industrial es minimizar los riesgos de ciber incidentes; se debe fijar un nivel de ciberseguridad tolerable o aceptable y eliminar los riesgos inadmisibles (consultar término británico ALARP o la norma IEC62443). Esto se logra con una matriz de vulnerabilidades y un análisis de vulnerabilidades. Una vez que la empresa define el nivel de seguridad se podrá conocer el costo de la implementación de un plan de ciberseguridad industrial.

El plan de ciberseguridad industrial, es un conjunto de procedimientos y herramientas para garantizar que los ciber incidentes que puedan llegar a ocurrir estarán por abajo del nivel permisible de nivel de seguridad objetivo. Dependiendo del nivel de ciberseguridad serán los esfuerzos e inversión al plan de ciberseguridad, donde, seguramente el mayor esfuerzo será en la redacción e implementación de los procesos y procedimientos, siendo la inversión de equipos y herramientas los menos costosos.

Finalmente, para contestar la pregunta; el costo de la ciberseguridad industrial OT debe ser menor al precio que se paga por un ciber incidente, este cálculo se realiza en alguna moneda utilizada en la fábrica y sistema de costeo, y deberá considerar varios datos como el costo hora por la línea parada, costo por penalizaciones de cliente, el valor de mala reputación en el mercado, entre otras.  

 

Con esta información espero haber brindado un panorama más amplio sobre el costo de la ciberseguridad industrial y que lo utilicen como una herramienta interna para convencer a aquellos que aun no están convencidos sobre la importancia de implementar un plan de ciberseguridad industrial.        

 

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

 

 

Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

Back to list