Riesgos y Guía para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial (SGCI)
El Centro de Ciberseguridad Industrial (CCI) ha publicado la primera Guía "práctica" para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial.
Un equipo de expertos han trabajado durante dos años. Esta guía permite cubrir la escasez de referencias normativas que tratan, de manera particular, la gestión de la ciberseguridad en los sistemas de automatización y control industrial. En 2015 fue publicada una edición previa con los tres primeros dominios que fueron evaluados en un taller y aplicados por más de una docena de profesionales.
Ahora se han desarrollado nuevas directrices específicas, y diferenciadas, para un tratamiento eficaz, eficiente y continuado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones y de la información gestionadas por tales sistemas, en línea con las necesidades estratégicas de la organización. Para ello la guía se ha estructurado en 6 dominios:
Por su parte, el CCN-CERT publicó el informe de amenazas y análisis de riesgos en Sistemas de Control Industrial (CCN-CERT IA-04/16) que ha sido elaborado de manera conjunta por el propio CCN y S2 Grupo. El objetivo de este informe es establecer un catálogo realista de amenazas o escenarios de riesgo al que están expuestos los sistemas de control industrial en la actualidad.
El documento está dirigido a dos tipos de perfiles:
El documento está estructurado en 3 bloques principales. En el primer bloque (del punto 1 al punto 3 del documento) se incluye una pequeña introducción, se definen los objetivos y se explica la metodología seguida en la elaboración del informe. Es importante destacar que es en esta parte en la que se lleva a cabo una clasificación en cuatro grupos de los diferentes sectores estratégicos de nuestro país. Dicha clasificación se hace en base al modo en dichos sectores hacen uso de los sistemas de control industrial y la criticidad de éstos para sus procesos.
Un equipo de expertos han trabajado durante dos años. Esta guía permite cubrir la escasez de referencias normativas que tratan, de manera particular, la gestión de la ciberseguridad en los sistemas de automatización y control industrial. En 2015 fue publicada una edición previa con los tres primeros dominios que fueron evaluados en un taller y aplicados por más de una docena de profesionales.
Ahora se han desarrollado nuevas directrices específicas, y diferenciadas, para un tratamiento eficaz, eficiente y continuado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones y de la información gestionadas por tales sistemas, en línea con las necesidades estratégicas de la organización. Para ello la guía se ha estructurado en 6 dominios:
- Definición de una estrategia de Ciberseguridad Industrial
- Gestión de los riesgos para la Ciberseguridad Industrial
- Promoción de una cultura de Ciberseguridad Industrial
- Establecimiento de normativas de Ciberprotección de Ciberseguridad Industrial
- Garantía de resiliencia y continuidad de Sistemas de Operación
- Gestión, Revisión, Mejora y Sostenibilidad del SGCI
Por su parte, el CCN-CERT publicó el informe de amenazas y análisis de riesgos en Sistemas de Control Industrial (CCN-CERT IA-04/16) que ha sido elaborado de manera conjunta por el propio CCN y S2 Grupo. El objetivo de este informe es establecer un catálogo realista de amenazas o escenarios de riesgo al que están expuestos los sistemas de control industrial en la actualidad.
El documento está dirigido a dos tipos de perfiles:
- El experto en seguridad sin conocimiento de procesos industriales
- El experto en explotación de procesos industriales sin conocimientos en seguridad de la información
El documento está estructurado en 3 bloques principales. En el primer bloque (del punto 1 al punto 3 del documento) se incluye una pequeña introducción, se definen los objetivos y se explica la metodología seguida en la elaboración del informe. Es importante destacar que es en esta parte en la que se lleva a cabo una clasificación en cuatro grupos de los diferentes sectores estratégicos de nuestro país. Dicha clasificación se hace en base al modo en dichos sectores hacen uso de los sistemas de control industrial y la criticidad de éstos para sus procesos.
- Grupo 1
– Sistema financiero y tributario
– Instalaciones de investigación
– Administración
– Tecnologías de la Información y las Comunicaciones - Grupo 2
– Transporte
– Agua
– Energía - Grupo 3
– Alimentación
– Manufactura
– Salud
– Servicios - Grupo 4
– Industria Química
– Industria Nuclear
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!