Comprender la ciberseguridad industrial no siempre es sencillo, incluso a los ingenieros les cuesta entender que existe una diferencia entre la ciberseguridad de oficinas o “IT” y la ciberseguridad de operaciones “OT”. Razón por la cual te presentamos esta guía práctica gerencial para la ciberseguridad industrial y des el primer paso hacia un ambiente más productivo y seguro.
Tomar Consciencia
Es el primer paso y en el cual se invierte más tiempo en el plan de ciberseguridad. Tú como gerente o responsable de la producción serás el patrocinador de una cultura responsable de ciberseguridad industrial, si tú no estás convencido, la ciberseguridad será inexistente, dando como resultado caídas en la producción y pérdida de información sensible de tus procesos de producción. Posteriormente, ya como sponsor de la ciberseguridad industrial, deberás permear hacia los demás puestos por toda la planta, sin olvidar involucrar a los responsables de sistemas IT.
Elegir un estándar internacional para OT
Segundo paso es elegir un estándar internacional para ciberseguridad industrial, no elijas un estándar para oficina o genérico como puede ser “ISO270001”, lo podrás usar como complemento, pero no como estándar pivote, si lo elijes estarás solamente protegido un 20% como máximo. Te recomendamos el estándar ISA99/IEC62443. Con el estándar elegido, podrás iniciar con el plan de ciberseguridad industrial; designando un responsable del diseño e implementación de dicho plan. No esperes que el responsable sea quien más conozca el estándar, el perfil deberá ser enfocado a que se diseñe e implemente el plan; técnicamente podrás contratar un consultor externo certificado en el estándar para ahorrar tiempo y recursos por falta de experiencia.
Pon el marcha tu plan de ciberseguridad industrial
Con tu equipo de trabajo elegido, tu colaborador responsable y el consultor externo, deberán implementar el plan lo antes posible. Recuerda que el plan en diseño e implementación ronda entre 3 y 12 meses, dependiendo de la cantidad de activos (equipos a proteger) y del nivel de seguridad que deseas tener una vez implementado el plan.
Audita el estado de implementación de tu plan
Una primer auditoría es esencial para conocer el nivel de ciberseguridad industrial, así podrás estar seguro que la implementación se realizó conforme al diseño y cumple con tus objetivos marcados desde un inicio, es decir, aumentar el nivel de productividad y disminuir riesgos de fallas o ataques a tu ciberseguridad. Deberás programar auditorias frecuentes, ya que psicológicamente los empleados tienden a relajar las medidas de ciberseguridad. Las auditorías recomendadas son cada 3 y 6 meses para nivel de seguridad alto, o entre cada 6 y 12 meses para niveles de seguridad bajos.
¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?
Contáctanos para cualquier duda o ayuda que requieras.
Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn
ISA99 / IEC62443
