4 abr. 2016

Riesgos y Guía para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial (SGCI)

El Centro de Ciberseguridad Industrial (CCI) ha publicado la primera Guía "práctica" para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial.

Un equipo de expertos han trabajado durante dos años. Esta guía  permite cubrir la escasez de referencias normativas que tratan, de manera particular, la gestión de la ciberseguridad en los sistemas de automatización y control industrial. En 2015 fue publicada una edición previa con los tres primeros dominios que fueron evaluados en un taller y aplicados por más de una docena de profesionales.

Ahora se han desarrollado nuevas directrices específicas, y diferenciadas, para un tratamiento eficaz, eficiente y continuado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones y de la información gestionadas por tales sistemas, en línea con las necesidades estratégicas de la organización. Para ello la guía se ha estructurado en 6 dominios:
  1. Definición de una estrategia de Ciberseguridad Industrial
  2. Gestión de los riesgos para la Ciberseguridad Industrial
  3. Promoción de una cultura de Ciberseguridad Industrial
  4. Establecimiento de normativas de Ciberprotección de Ciberseguridad Industrial
  5. Garantía de resiliencia y continuidad de Sistemas de Operación 
  6. Gestión, Revisión, Mejora y Sostenibilidad del SGCI
La "Guía para la construcción de un SGCI (Sistema de Gestión de la Ciberseguridad Industrial)" se puede descargar con costo.

Por su parte, el CCN-CERT publicó el informe de amenazas y análisis de riesgos en Sistemas de Control Industrial (CCN-CERT IA-04/16) que ha sido elaborado de manera conjunta por el propio CCN y S2 Grupo. El objetivo de este informe es establecer un catálogo realista de amenazas o escenarios de riesgo al que están expuestos los sistemas de control industrial en la actualidad.

El documento está dirigido a dos tipos de perfiles:
  • El experto en seguridad sin conocimiento de procesos industriales
  • El experto en explotación de procesos industriales sin conocimientos en seguridad de la información
Por esta razón, se trata de un documento que, sin dejar de ser completo y detallado, pretende ser comprensible sin necesidad de que el lector cuente con elevados conocimientos técnicos en una u otra área. De este modo, trata de ser una guía práctica y útil para personal de organizaciones que cuentan con sistemas de control industrial.

El documento está estructurado en 3 bloques principales. En el primer bloque (del punto 1 al punto 3 del documento) se incluye una pequeña introducción, se definen los objetivos y se explica la metodología seguida en la elaboración del informe. Es importante destacar que es en esta parte en la que se lleva a cabo una clasificación en cuatro grupos de los diferentes sectores estratégicos de nuestro país. Dicha clasificación se hace en base al modo en dichos sectores hacen uso de los sistemas de control industrial y la criticidad de éstos para sus procesos.
  • Grupo 1
    – Sistema financiero y tributario
    – Instalaciones de investigación
    – Administración
    – Tecnologías de la Información y las Comunicaciones
  • Grupo 2
    – Transporte
    – Agua
    – Energía
  • Grupo 3
    – Alimentación
    – Manufactura
    – Salud
    – Servicios
  • Grupo 4
    – Industria Química
    – Industria Nuclear
Fuente: Security Art Work | CCI-ES

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!