Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

La importancia de la estrategia de ciberseguridad para la industria

Fecha de publicación 22/08/2019
Autor
INCIBE (INCIBE)
Estrategia Ciberseguridad

Durante las últimas décadas, se ha producido un proceso de digitalización de la sociedad sin precedentes, tanto a nivel laboral como personal. Todas las empresas estaban interesadas en obtener los últimos equipos para facilitar las tareas y aumentar su productividad. Este proceso implicó consecuencias a nivel de seguridad, puesto que los nuevos requerimientos y necesidades de comunicación implicaban mayor exposición de la información. Se entendió que era necesario tomarse la seguridad muy en serio y aplicar políticas que permitiesen un uso seguro y responsable de la tecnología.

¿Qué es una política de ciberseguridad?

Se trata de un documento derivado de las regulaciones, estándares y guías de buenas prácticas, donde se recogen los planes, procedimientos y procesos que dictaminan cómo ha de proteger una compañía su información y sus activos. Dada su naturaleza, se le suele considerar como un documento vivo, lo que significa que está en constante cambio y ampliación a medida que la tecnología avanza, la compañía crece y se añaden las lecciones aprendidas en las respuestas dadas a incidentes recientes. Este documento tiene como objetivo principal preservar la confidencialidad e integridad de la información, así como la disponibilidad de los sistemas, incluyendo ahora también a los SCI. Debería contemplar, principalmente, la manera con la que los empleados de la compañía interactúan con las otras políticas de la empresa e informarles sobre sus responsabilidades, de cara a proteger los activos y la información propiedad de la compañía.
La política de ciberseguridad de la empresa suele ser un documento bastante genérico que se apoya en el resto de políticas, entre las que destacan:

  • Control de acceso.
  • Clasificación y manejo de la información.
  • Seguridad física y ambiental.
  • Uso adecuado de activos.
  • Transferencia de información.
  • Dispositivos móviles.
  • Restricciones del uso e instalación de software.
  • Copias de respaldo.
  • Protección ante software malicioso.
  • Gestión de vulnerabilidades.
  • Relaciones con proveedores.
  • Gestión de incidentes de ciberseguridad.
  • Plan de continuidad del negocio.
  • Formación y concienciación en ciberseguridad.
  • Seguridad de las operaciones.

Dichas políticas pueden ser aplicables tanto a sistemas TO, como TI, por lo que es necesario particularizarlas a SCI y al tipo de proceso de cada industria, teniendo en cuenta sus características particulares. Por ejemplo, en la política de seguridad física deberán incluirse aquellas situaciones en las que existan estaciones remotas en el proceso, como en un parque eólico, donde éstas podrían ser accesibles para cualquier persona ajena a la empresa.

¿Por qué debo disponer de una estrategia de ciberseguridad en mi industria?

Hay muchos aspectos que determinan la necesidad de disponer de una estrategia clara en ciberseguridad en una industria, ya que hay varios aspectos que las hacen cada vez más similares a las organizaciones TI tradicionales. Entre las más destacables se encuentran:

  • La dependencia de las industrias a la infraestructura de red en sus procesos productivos.
  • El software malicioso como una amenaza de primer nivel.
  • Cualquier negocio puede ser atacado por estas vías.
  • La existencia de casos conocidos  específicos para sistemas de control.
  • El cibercrimen se ha convertido en un gran negocio muy lucrativo, sobre todo a raíz del auge del esquema de negocio cybercrime-as-a-service.
  • El cibercrimen como servicio, facilitando actividades ilegales en la red mediante el provisionamiento de servicios.

Para apoyar esta necesidad, se estima que el coste del cibercrimen aumentará hasta los 6 billones de dólares en 2021. El cibercrimen se ha convertido en un asunto de gran relevancia, más aún si tenemos en cuenta el peligro añadido que conlleva una disrupción en los sistemas pertenecientes a infraestructuras críticas.

Además de proteger una compañía contra las ciberamenazas y disponer de una política de seguridad, tiene, entre otros, estos beneficios:

  • Contribuye a los fines de la compañía. Juega un papel muy importante en las decisiones de una compañía y la ayuda a conseguir sus objetivos.
  • Ayuda a que la compañía cumpla con estándares de calidad más exigentes y con las guías de buenas prácticas.
  • Permite a los empleados que trabajan en entornos SCI e infraestructuras críticas sentirse seguros en su espacio de trabajo.
  • Ayuda a proteger la productividad del negocio.
  • Inspira confianza en los clientes, puesto que tener una buena política de ciberseguridad es un claro signo de que sus datos y pedidos serán guardados y operados de la manera más segura posible. Este punto también supone la evasión de posibles demandas legales a causa de una pérdida de información clasificada, por ejemplo.

Claves de una buena estrategia de ciberseguridad

A continuación, se detallan algunas claves para ayudar en el desarrollo de una correcta estrategia de ciberseguridad:

  • Elaborar políticas y procedimientos adecuados a la industria: en primer lugar, se deberían identificar los elementos más importantes para el proceso productivo, así como la manera con la que los empleados interactúan con ellos. En este punto, se debería establecer una definición de ciberseguridad; sus objetivos, basados en la identificación previa de los activos a proteger; y su importancia en la misma. Estas políticas se pueden dividir, principalmente, en tres ramas:
    • Prevención: para un buen control de ciberseguridad. Por ejemplo, control de acceso, identificación y autenticación, seguridad de las comunicaciones, etc.
    • Detección: identificar las desviaciones que se produzcan, violaciones o intentos de violación de la seguridad.
    • Recuperación: una vez detectado un incidente de ciberseguridad, se aplicará esta medida para restaurar el funcionamiento normal. Por ejemplo, la continuidad del negocio.

proceso de inclusión de políticas

- Proceso de inclusión de una nueva política -

  • Organización de la seguridad: en todas las empresas se realizan una infinidad de tareas muy diferentes, algunas relacionadas con la línea del negocio principal que se desarrolla y otras más enfocadas al mantenimiento, propiamente dicho, de la compañía y sus instalaciones. Por ello, es importante estructurar una red de personal responsable de la ciberseguridad en sus respectivos campos. Éstos deberían ser designados por los directores de cada departamento y serán los encargados de proveer a sus subordinados directrices claras sobre cómo llevar la ciberseguridad a su respectivo departamento. También serán las personas que responderán ante la dirección de la empresa en el caso de que su departamento sufra un incidente de ciberseguridad. Además, es muy importante que tanto los responsables, como la dirección muestren compromiso con las políticas de ciberseguridad establecidas, con el fin de dar ejemplo e incentivar a sus empleados a seguirlas.
  • Establecer una cultura de ciberseguridad: es vital para el mantenimiento y cumplimiento de las políticas. En esta medida se contemplan, entre otras, las siguientes actuaciones:
    • Aplicar y mejorar las políticas acordes a los cambios de la compañía, así como en base a los incidentes que hayan ocurrido, porque de los errores se aprende más que de los aciertos.
    • Elaborar un plan de formación eficaz para los empleados, donde se les enseñe conceptos básicos sobre seguridad informática, herramientas y buenos usos, como aplicar los controles de seguridad física (accesos autorizados, acompañamiento de visitas, etc.), la protección adecuada del equipo personal, los riesgos, el uso de dispositivos móviles y los métodos para reconocer ataques de ingeniería social.  La formación debe ser acorde a sus funciones, es decir, la formación que se le dé a un administrativo será diferente a la que se le dé a un técnico que trabaja con SCI.
    • Se debe realizar un plan de concienciación continuo mediante acciones divulgativas y píldoras de información. Se busca la motivación de los empleados para cumplir con las políticas, puesto que nunca se debe olvidar que el empleado es el eslabón más importante en la cadena de seguridad de la empresa.
    • El responsable de cada departamento se encargará de la implantación y supervisión de las políticas, de realizar auditorías internas regulares, de monitorizar los recursos y sistemas utilizados frecuentemente y de informar a sus empleados sobre los métodos de monitorización empleados por la empresa.
  • Disponer de un plan de continuidad del negocio: debe ser obligatorio en las empresas que manejan Sistemas de Control Industrial o designadas como infraestructuras críticas, donde mantener la disponibilidad de los sistemas es vital. En este plan se deben recoger y especificar los objetivos de recuperación en caso de disrupción del servicio, donde se incluya una evaluación detallada de la criticidad de cada elemento que compone el sistema productivo, con el fin de establecer un orden de recuperación del proceso. También se debe hacer un análisis del impacto y de las consecuencias asociadas a un incidente en cada sistema. Tal y como se ha comentado anteriormente, debe existir un equipo designado de ciberseguridad que asegure la continuidad del negocio, donde se debe asignar la prioridad a los sistemas SCI con el fin de reestablecer las operaciones.

Conclusión

Como hemos podido ver en este artículo, la ciberseguridad debe ser un asunto prioritario para todas las industrias, sin importar el tipo de sector en el que operen. El coste de sufrir un ciberataque es cada vez mayor, ya que son cada vez más sofisticados y destructivos. Por ello, es necesario tomar medidas al respecto, y disponer de una estrategia de ciberseguridad clara, acorde con el negocio productivo y comprensible para poder ser aplicada a todo el sistema de control.