A medida que el mundo se conecta cada vez más, el crecimiento inteligente y sostenible depende de la capacidad de adaptarse a las necesidades cambiantes de los clientes, rápida y eficientemente. Las empresas pueden lograrlo de forma inteligente con innovaciones adecuadas, como las herramientas digitales.
Plant Security Touch – Enfoque de la Seguridad en Plantas Industriales
Para garantizar el éxito de las innovaciones técnicas, las empresas deben centrarse en las personas y en la seguridad de la planta como prioridad principal a partir de ahora. ¡No hay otra alternativa!
Como veníamos diciendo…
La seguridad de la planta debe estar firmemente integrada en la cultura corporativa como parte de la actividad diaria.
Chee Hoe Lee, Director General de Negocio Estratégico Global IA Cyber Security Evangelist, Yokogawa Engineering Asia Pte Ltd, respondió en una entrevista a preguntas acerca de este tema:
Sr. Lee, en el mundo inteligente de hoy, ¿siguen sus operaciones comerciales ciertas máximas?
Chee Hoe Lee: Sí, definitivamente. Focalizarse en las personas. La máxima es la siguiente: tenemos que tener un entendimiento básico compartido y desarrollar una estrategia que establezca dónde estamos, cuáles son nuestros fundamentos, qué cultura corporativa observamos y cómo queremos que evolucione.
En lo que respecta a la resiliencia cibernética, las empresas se encuentran bajo una fuerte presión para aumentar permanentemente la concienciación de sus empleados sobre la ciberdelincuencia. Se debe informar a las personas de los métodos y procedimientos utilizados por los ciberdelincuentes (lo que llamamos ingeniería social.) De esta manera, estarán mejor equipados para reconocer los intentos de estafa y reaccionar en consecuencia.
La Seguridad de las Plantas Industriales es un elemento clave, junto con el factor humano, para la implementación exitosa de tecnologías innovadoras. ¿Por qué?
Lee: La seguridad de la planta es un factor importante para el uso de tecnologías innovadoras, ya que la ampliación de las conectividades y la interacción de los procesos de fabricación hacen que sean imprescindibles las líneas de comunicación seguras y resistentes, por así decirlo, como escudos, para evitar el peligro de la empresa. A medida que la producción en red digital sigue avanzando, aumenta el riesgo de ciberataques y, con ello, la necesidad de proteger los sistemas de control industrial (SICI) de las consecuencias de amenazas financieras y de reputación debidas a los tiempos de inactividad de producción, los daños al equipamiento, el robo de patentes o la extorsión cibernética.
¿Qué aspectos de la Seguridad Industrial son actualmente los más candentes para las empresas?
Lee: Con el fin de descartar riesgos para suavizar los procesos de negocio, la dirección debe sopesar todos los factores cuidadosamente. Un análisis del impacto en el negocio (AIN) y un análisis de riesgo se ejecutan normalmente de forma simultánea y concertada, con el fin de obtener resultados sólidos. Sólo entonces podrán evaluarse plenamente las repercusiones de las interrupciones en las operaciones comerciales debidas a los riesgos de seguridad cibernética y a la probabilidad de que se produzcan.
Un Análisis de Impacto en el Negocio (AIN) y un análisis de riesgo deberían incluir idealmente los siguientes puntos:
Inventario de activos
El inventario de activos es una parte importante de la estrategia empresarial para la Seguridad de la Planta. Se recopila información detallada sobre todos los activos de hardware y software, tales como DCS/PLC, sensores, válvulas, transmisores, cortafuegos, enrutadores de red, conmutadores, ordenadores, servidores e impresoras, incluido el estado actual. Este inventario sirve como punto de partida para la toma de decisiones básicas para el desarrollo de proyectos esenciales de infraestructura de seguridad. Sólo se puede proteger algo eficazmente si se sabe lo que se está protegiendo.
Diagrama de Pajarita (Bow-tie)
El Diagrama de Pajarita es un instrumento de visualización gráfica de riesgos complejos, es decir, para aclarar las situaciones de riesgo. Ofrece una estructura valiosa para adoptar medidas de control y evitar incidentes que comprometan la seguridad. Mediante esta clara visualización de riesgos se pone de manifiesto la importancia de un proceso de OT/IT para las empresas. Es fácil de entender, no solamente por los empleados de seguridad, también por todos los demás empleados de la empresa.
En resumen, el uso del Diagrama de Pajarita en la seguridad crea un enorme potencial, que puede aprovecharse para vigilar de cerca los controles de la propiedad intelectual, los activos, las cuotas de mercado, los ingresos y la reputación de la empresa.
Además, el Diagrama de Pajarita también se puede aplicar a la evaluación de riesgos de Seguridad. Dado que ambas (Safety & Security) están estrechamente interrelacionadas, pueden ayudar a armonizar el enfoque.
Modelado de Amenazas (Threat Modeling)
Es una representación estructurada de amenazas con el que se identifican, enumeran y priorizan amenazas potenciales tales como vulnerabilidades estructurales desde la perspectiva de hipotéticos ciber-ataques. Apoya el establecimiento de una arquitectura de seguridad completa con un nivel de seguridad adecuado y ayuda a minimizar la superficie de ataque del sistema que se está evaluando.
Gráfica: Políticas y buenas prácticas de seguridad cibernética
El actual estudio de ENISA (European Union Agency For Network and Information Security; es decir la Agencia Europea de Seguridad de las Redes y de la Información) deja claro que la gestión de activos, la gestión de riesgos y amenazas y la formación y sensibilización son medidas de ciber-seguridad adecuadas y probadas.
Fuente: European Union Agency For Network and Information Security, Good Practices for Security of Internet of Things in the context of Smart Manufacturing; Noviembre de 2018
Soluciones de sistemas analíticos: ¡Comer sin tener que cocinar!
