redseguridad 079

red seguridad cuarto cuatrimestre 2017 21 700.000 hogares en Ucrania en 2015. Para intentar hacer frente a este pano- rama una herramienta importante es la norma ISA 62443-2-1 de Sistemas de Gestión de Ciberseguridad para entornos industriales. No es intención de dicha norma especificar un proce- so secuencial concreto a llevar a cabo para identificar y tratar los riesgos de estos entornos, pero sí marca unas pautas y estructura para ello. Así, se alude a la necesidad de identificar, clasificar y evaluar el riesgo, además de identificar las necesidades úni- cas de una organización en materia de ciberseguridad de sus sistemas de control y automatización indus- trial. Para ello lo óptimo es emplear casos de negocio, donde se justifique el beneficio financiero de invertir en ciberseguridad. Es decir, se tiene que priorizar los impactos en negocio, identificar las amenazas más perjudi- ciales, estimar el impacto anual sobre el negocio y evaluar los costes de las contramedidas. De igual modo, es importante con- siderar las dimensiones de salud, seguridad, ambiente y fiabilidad ope- rativa, además de las clásicas y ya mentadas confidencialidad, integri- dad y disponibilidad. Por otro lado, se indica la importancia de desarro- llar políticas de ciberseguridad, iden- tificar un alcance oportuno, tener un plan de continuidad de negocio, mantener al personal concienciado y formado, así como contar con una estructura organizativa en lo referido a la ciberseguridad. Este último punto es sumamente importante y en pocas ocasiones se implanta con efectividad, siendo imprescindible contar para ello con el apoyo de la alta dirección, trasladar la responsabilidad compartida en materia de ciberseguridad entre los principales miembros de los equipos de negocio, fabricación, TI y gestión de riesgos. Además, las áreas de negocio deben estar convencidas de que los costes del programa serán menores a los impactos de las ame- nazas sobre sus áreas. Por otro lado, hay que implantar las necesarias medidas de protec- ción, donde entran en juego la segu- ridad del personal, la seguridad física y del entorno, el control de accesos y la segmentación de red. En cuanto al control de accesos, hablamos a nivel de gestión de cuentas, auten- ticación y autorización. Finalmente, se deberá contar con un plan de respuesta a incidentes, un mante- nimiento periódico de la seguridad, evaluando si las medidas implantas son o no eficaces, además de contar con información documentada junto con los pertinentes registros y evi- dencias necesarias. En definitiva, hablamos de una herramienta que puede ayudarnos a centrar los esfuerzos en materia de ciberseguridad en estos entornos, para lo cual también pueden ser de utilidad otras herramientas como la IEC 62443-1-3, sobre métricas de cumplimiento para la seguridad en los sistemas de control y automatización industrial, o el IEC TR 62443-3-1, donde se ofrece una descripción de las tecnologías existentes para la pro- tección de redes y sistemas industria- les, exponiendo sus ventajas y limita- ciones. Sin duda proteger tales entor- nos es una labor muy ardua, que requiere de un continuo perfecciona- miento y seguimiento, pero si conta- mos con una sistemática de trabajo los resultados obtenidos serán mucho más satisfactorios. PIC monográfico Para intentar hacer frente al panorama actual de ciberamenazas, una herramienta importante es la norma ISA 62443-2-1 de Sistemas de Gestión de Ciberseguridad para entornos industriales Además de identificar amenazas, es importante considerar las dimensiones de salud, seguridad, ambiente y fiabilidad operativa.