Son muchas las dificultades que encuentran los proveedores al armar sus ofertas. Partiendo de esta situación, desde el CCI han conversado con algunos de ellos, con el fin de analizar y tratar de entender por qué les cuesta tanto implementar ciberseguridad industrial en los nuevos proyectos.
Todos los requisitos de ciberseguridad descriptos en la IEC-62443 pueden traducirse en capacidades que los proveedores deben desarrollar para cubrir dichos requisitos. En el CCI han desarrollado una plataforma que permite identificar qué requisitos están cubiertos por determinadas capacidades, y a su vez qué proveedores cubren dichas capacidades con sus servicios y soluciones.
En general, los proveedores intentan desarrollar todos los aspectos que les permitan cubrir la mayor cantidad de requisitos. Sin embargo, cuando se implementa una solución ya aceptada por el cliente, la mayoría se convierten en proyectos complejos con demoras que obligan a tener discusiones con este.
Retos y recomendaciones de ciberseguridad industrial
Reto 1: Requisitos poco claros o sin detalles. Los responsables de ciberseguridad de las organizaciones industriales realizan una serie de requisitos de seguridad demasiado abiertos o cerrados, que no permiten interpretar el objetivo a resolver. Esto genera que muchos de los requisitos solicitados generen consultas en el proceso de oferta.
Desde el lado de las organizaciones, el CCI recomienda ser precisos y claros con los requisitos que se quieran cubrir. De esta manera los proveedores podrán contestarlos de la mejor manera posible. Desde el lado del proveedor, creen que lo mejor es generar una oferta que asegure una buena relación con el cliente.
Reto 2: Copiar y pegar. Los proveedores utilizan a veces «Ctrl C-Ctrl V» intentando evitar la pérdida de tiempo a la hora de escribir un pliego para una licitación. Esta situación suele traer dificultades en la muestra de la solución, porque es donde aparecen los problemas al no haber considerado la particularidad de cada organización, ni de cada red OT.
La recomendación del CCI en este caso es que las cosas se deben hacer despacio, ya que hacerlas bien importa más que hacerlas.
Reto 3: Información de partida insuficiente o equivocada. En ocasiones, la infraestructura presentada, los protocolos mencionados, las tecnologías declaradas o los procesos indicados en el proceso de identificación previo, no son comparables con el escenario que se encuentran los proveedores.
En ocasiones, el responsable de ciberseguridad de la organización no quiere entregar la información necesaria por seguridad. Pero según el CCI, debería hacerlo para evitar que el proceso no lleve el doble o el triple de tiempo, ni que se vea abandonado o alterado por no poderse cumplir.
Archivado en: