En cuanto a cómo se puede crear un programa de concienciación sobre ciberseguridad industrial, Tomlinson narró que se debe tratar una hoja de ruta, es decir, saber qué significa conciencia sobre ciberseguridad; por qué es importante; hechos reales y sus efectos; y pasos para cambiar comportamiento. Seguidamente, crear un consejo consultivo, conectar con la dirección: reunir a un grupo de personas de muchos departamentos; buscar aportaciones e ideas; conectar con la dirección de la empresa y obtener apoyo.
Además, informarse sobre la normativa ya que cada país tiene sus propias normas y, lo más importante, es que si estás cumpliendo con las normas no significa éxito. Por ello, es imprescindible conocer los riesgos para tu empresa, descubrir las tendencias de ataque para tu industria; recopilar información sobre los problemas de seguridad de tu empresa.
Asimismo, identificar conductas de riesgos, es decir, establecer un orden de prioridad de los mismos; identificar qué comportamientos los provocan y decidir si puedes marcar la diferencia; puedes reemplazar el comportamiento negativo con un comportamiento positivo que mejora la seguridad. También debes conocer a tu público, evaluando la cultura y el estilo de comunicación de tu empresa; conociendo la cultura y el estilo de aprendizaje de cada departamento. Esto se puede llevar a cabo a través de un consejo asesor o preguntar directamente a los empleados de los departamentos.
De igual forma, crear tu campaña para abordar los comportamientos de riesgo y fomentar un comportamiento diferente para reducir el riesgo. Se recomienda hacer un calendario que muestra las herramientas que vas a utilizar y las maneras de comunicar. Medir el comportamiento, crear una línea de base o punto de partida para crear éxito y realizar ajustes necesarios.
Del mismo modo, poner en marcha y evaluar, pedir retroalimentación, ya que queremos cambiar la empresa y necesitamos saber para poder ajustar. Puede haber un problema técnico que impida que parte del plan tenga éxito, de ahí que se deba reportar. Por último, consejos y estrategias. Debes hacerlo personal, hacer que sea comprensible e incluso agradable; dar tiempo y presupuesto; hacerlo industrial.
Retos para gestionar riesgos de ciberseguridad industrial
“Hay una mayor falta de visibilidad, con esto estas expuesto y no lo sabes. Para resolver ese problema aparecen las soluciones de monitorización y están ampliando su alcance con gran rapidez, el principal beneficio es hacer un levantamiento de lo que hay. Nosotros estamos analizando distintas tecnologías”, ha señalado Vicente Segura, responsable de Seguridad de IoT de Telefónica.
“El resumen de todo esto es que va a haber una convergencia o una integración de soluciones que abarquen todas las partes. Estas soluciones son muy útiles para realizar evaluaciones de seguridad de entornos OT. Es esencial las herramientas de monitorización y es esencial tener visibilidad”, remarcó Segura.
De cara a los aspectos relevantes de estos retos, se encuentran desplegar las soluciones; adaptación y ajuste a las a las características y condiciones del entorno operativo; tratamiento de los incidentes; supervisión de salud del servicio; y la dificultad que supone encontrar persona que realice tareas de implantación, configuración y explotación.
Desde TCCT, Telefónica Tech, se ofrece el servicio para la seguridad y visibilidad de OT e IoT. Se entrega como un servicio gestionado que aprovecha capacidades: visibilidad de lo que hay en la red y cómo se comporta; detección de ataques, anomalías y malas prácticas; servicio llevado a cabo por especializados.
“El objetivo es mitigar los riesgos que ocurran en la organización. Tras el número de incidentes que aprovechan vulnerabilidades en infraestructuras criticas e industriales sigue creciendo de forma alarmante y es previsible que la tendencia continua gracias a la industrialización del malware. Para mitigar estos riesgos es clave tener visibilidad”, ha indicado el responsable de Telefónica.
Necesidades del sector industrial
“No debemos cometer los errores que se cometieron en AIT comprando DLP sin saber para que los teníamos. La tecnología es necesaria, pero no es lo único”, indicó Alejandro Villar, director de Ciberseguridad Entelgy Innotec.
Así, Villar puso el ejemplo de la situación que ve Gartner en el mercado: ser conscientes del problema que tenemos; la tecnología, modelo digital de nuestras plantas y aparecen las pruebas de conceptos para entender la situación en la que estamos; al hacer lo anterior descubrimos que no están asignadas responsabilidad o cosas en planta que ya no se utilizan; muchas empresas se quedan en la fase cuatro porque no tienen el tamaño, ni la capacidad para pasar a la siguiente fase; integración; y optimización, no solo sacarle valor desde el punto de vista de ciberseguridad, sino desde el punto de vista operativo. “Estas son las fases que una personal que quiere impulsar la seguridad industrial debería pasar”, incidió el director de Innotec.
Desde Entelgy Innotec no ven sostenible tener un servicio de OT exclusivo. Tienen una seria de procesos para ayudar a las compañías tales como assesment entorno OT/IoT; diseño del plan estratégico; despliegue e implementación; operación y gestión; auditorias y mejora continua. “Para hacer todo esto se necesita un liderazgo y la seguridad OT avanzaría mucho más rápido con un liderazgo. Se necesita liderar para aunar intereses y conocimiento para llevar a adelante un programa de seguridad industrial”, destacó Villar.
Finalmente, Javier García Tomillo, gerente de Ciberseguridad en Insud Pharma, concluyó con que lo que se espera es “una reorganización de la red industrial de comunicaciones; seguir incrementando controles sobre la red industrial; ejercicios de RedTeam; extrapolación de los servicios y sistemas a otras plantas; y continuación del Roadmap definido”.
