Quién puede ser responsable de seguridad industrial
- Actualidad
Con la transformación digital, los sistemas de control industrial han salido de su tradicional aislamiento y se han sumado al mundo conectado. Son muchas las ventajas pero también están más expuestos a los ataques. En una de sus últimas publicaciones, el blog de INCIBE-Cert reflexiona sobre qué perfiles pueden asumir la responsabilidad de la ciberseguridad industrial en la empresa.
También puedes leer... |
Los ciberataques contra ordenadores industriales se consideran una amenaza altamente peligrosa por las importantes pérdidas de información y por el tiempo de inactividad del sistema, y no es algo que ocurra de vez en cuando. Sin ir más lejos, la semana pasada un estudio de Kaspersky Lab confirmaba que el 41,21% de los sistemas de control industrial que protegen sus soluciones, fueron atacados en los primeros seis meses del año al menos una vez.
Por tanto, es necesario que alguien se responsabilice de la protección de estos sistemas, gestione e informe de los riesgos: es el responsable de ciberseguridad industrial, al que INCIBE-Cert le dedica uno de sus últimos posts.
Según esta publicación, si la empresa ya dispone de un sistema de gestión de seguridad de la información, tendrá un director o responsable de seguridad de la información o CISO, que sería el primer candidato, “de manera que se convertiría en el director o responsable de seguridad de la información y la operación, pasando a ser el CIOSO (Chief information and operation security officer)”, indica.
No obstante, son posibles candidatos a ocupar este puesto, los responsables de calidad, de seguridad corporativa (CSO), de tecnologías de operación (OT) y de tecnologías de la información (CIO).
Sea cual sea la opción elegida por una empresa, delegar la responsabilidad en responsables ya existentes o crear la función específica de responsable de ciberseguridad industrial, hay una serie de tareas que tienen que ser asumidas, entre ellas informar al comité de seguridad (en caso de haberlo) o a la dirección todos los aspectos derivados del cumplimiento normativo y procedimental que aplica o asegurarse del correcto funcionamiento del sistema de gestión de riesgos, realizando análisis periódicos.
Entre sus cometidos figuran también la definición de estrategias de ciberseguridad que vayan asociadas con el proceso de operación, la identificación de los objetivos de protección y sus métricas, y la implantación de una política en esta materia. Además, tendrá que desarrollar las normas, procedimientos y directivas necesarias para el mantenimiento continuo de la seguridad, así como aprobar la instalación de nuevos sistemas y asegurarse que cumplen con la política definida.
En su rol también tendrá que concienciar sobre la relevancia de esta cuestión a todos los operadores y empleados, además de subcontratas, fabricantes y empresas de mantenimiento; planificar y probar la respuesta a incidentes posibles, investigar vulnerabilidades que hayan afectado al sistema o puedan afectarle, evaluar y coordinar la implementación de controles de ciberseguridad específicos para los sistemas etc..
Éstas serán algunas de sus principales responsabilidades que, obviamente, exigen estar muy al día en cuestiones de seguridad, por lo que deberá ser un “trabajador altamente cualificado”, apunta el post.