Plan de ciberseguridad industrial, Tips, Vulnerabilidad

Sacar provecho a un análisis de vulnerabilidades

analisis de vulnerabilidades

Estoy seguro que han escuchado el término “Análisis de Vulnerabilidades”, pero sin entrar en tanto término técnico, quiero realizar una explicación de ello.  

 

Primeramente, Vulnerabilidad en términos de ciberseguridad es “Flaquesa o debilidad del diseño de un sistema, así como su implementación u operación que puede dar como resultado la violación de la integridad de un sistema o una política de seguridad”    

 

El análisis de vulnerabilidades nos brinda una radiografía de donde se encuentra la empresa con riesgo a ciber-incidentes. Nos sirve para implementar una serie de medidas de control de mitigación de riesgos (la medida en que una vulnerabilidad sea explotada).  

 

 

Pasos a seguir:

 

1.-Visibilidad de activos. No se puede medir los riesgos y vulnerabilidades si no se sabe que se quiere proteger. Muchas empresas no tienen un inventario de activos, ya sea por falta de tiempo, tamaño de los activos, por que simplemente está fuera de su control. Existen varias herramientas que nos ayudan a obtener un inventario inicial de activos y de mantener actualizado en tiempo real dicho inventario.  

 

2.-Implementar medidas de control de riesgos. Conociendo los activos y teniendo un análisis de vulnerabilidades, se deben establecer procesos y controles para mitigar los riesgos. Utilizar un framework especializado en OT como el ISA99 / IEC62443 te ayudarán a guiarte en este proceso.  

 

 

Frecuencia de análisis de vulnerabilidades

Si tu inventario de activos es pequeño y los cambios en tu inventario es pequeño, lo recomendable es realizar un análisis de vulnerabilidades cada mes. Si tu inventario es amplio, deberás contar con un análisis en tiempo real de ser posible. Recuerda, a mayor cantidad de activos, tu riesgo aumenta.  

 

 

¿Quién debe ejecutar el análisis de vulnerabilidades?

Definitivamente un experto deber planear, ejecutar e informar. Me refiero a experto, algún ente con amplia experiencia en redes, ciberseguridad y certificado en la norma ISA99 / IEC62443    

 

 

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

 

 

  Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

Back to list