Red Seguridad 089
Ejemplo de riesgos en la digitalización de la cadena de suministro industrial. ta, persiguiendo una efectiva gestión de amenazas y vulnerabilidades que permitan/faciliten una respuesta rápi- da ante posibles incidentes. Algunos informes vaticinan que los ataques que pretendan comprometer la cade- na de suministro serán tendencia a lo largo de los próximos años. Por tanto, no solo han de establecerse políticas preventivas, sino además incorporar la ciberseguridad en el diseño de cualquier elemento que intervenga en dicho proceso. Hemos de ser proac- tivos en la protección de la cadena de valor y no reaccionar cuando sea demasiado tarde. Desde el CCI llevamos a cabo múlti- ples actividades para ayudar al encar- gado de la ciberseguridad industrial en su tarea. Un ecosistema internacional que le permitirá el networking profesio- nal y empresarial, continuas jornadas de concienciación, formación, noticias, contenido específico y guías, hacen del CCI un aliado clave para abordar la ciberseguridad en la cadena de valor de la digitalización industrial. Aunque existe cada vez más sensi- bilización, aún falta mucho para avan- zar y mejorar. Especialmente, es necesario alcanzar un mayor compro- miso por parte de la alta dirección, la cual tiene la capacidad de asignar los recursos necesarios para acometer las tareas identificadas; pero también fomentar la capacitación de nuevos perfiles y profesionales en materia de ciberseguridad industrial, de manera que permita hacer frente a los nuevos desafíos y riesgos tecnológicos. Recibir información relativa sobre cambios e intervenciones progra- madas, así como personal involu- crado en las mismas (tanto interno como externo). Participar en los nuevos proyectos de automatización y digitalización industrial para incorporar requisitos de ciberseguridad. Análisis de incidentes potenciales y su impacto sobre personas, activi- dad y efecto sobre la organización. A partir del punto anterior, colaborar en el establecimiento de un plan de escalado que permita responder de manera efectiva ante tales inci- dentes. Establecer planes de continuidad de negocio y recuperación ante desastres que comprometan las diferentes tecnologías que compo- nen la organización. Documentar lecciones aprendidas y mejoras introducidas. Establecer mecanismos de res- puesta ante incidentes de ciberse- guridad en la organización. Poner en conocimiento a secto- res afectados de nuevos riesgos, según escenarios y actividades. Rápida respuesta Todas estas tareas permitirán reducir, mitigar, transferir o aceptar los riesgos a los que la organización está expues- catálogo asequible de requisitos que contemple regulaciones y normativas como IEC-62443, basada en una aproximación de zonas y conductos para agrupar los componentes tec- nológicos. Además de implementar requisitos de ciberseguridad en el diseño de la tecnología y su integración, será necesario un coordinador de ciberse- guridad en cada uno de los actores de la cadena de suministro que se encargue de gestionar: La relación con el negocio para comprender los riesgos que afronta la organización y su tratamiento. Evaluación periódica de vulnerabili- dades y las medidas de seguridad implementadas en los sistemas y aplicaciones de la cadena de sumi- nistro. Actualización constante con medi- das de protección y detección de amenazas, incidentes y vulnerabili- dades reportadas a partir de fuen- tes de información fiables y con- trastadas. Comprender las necesidades nor- mativas actuales, nacionales como internacionales, y estar al tanto de cambios y definición de los proce- sos necesarios para su cumplimien- to y evaluación de las consecuen- cias que puedan surgir debido a dichos cambios normativos. Establecer reuniones periódicas con representantes de áreas de IT y OT con el fin de trasladar necesi- dades que puedan estar sujetas a las políticas de seguridad. Definición de requisitos a cumplir por empresas proveedoras en el ejercicio de sus funciones o servi- cios contratados. Estos proveedo- res deberían establecer un interlo- cutor de ciberseguridad válido que les represente. Fomentar la formación y concien- ciación en ciberseguridad dentro de la organización a todos los niveles y por extensión a los proveedores esenciales. Informar a la dirección o comité ejecutivo acerca del riesgo tecno- lógico y su impacto potencial sobre la actividad de negocio, para la asignación de nuevos recursos u optimización de los existentes. especial 72 red seguridad segundo trimestre 2020 cadena de suministro opinión
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1