<Podemos_ayudarte/>

¿Qué estás buscando?

<Good_things_happen/> Welcome to Conference
>CNIP >Un nuevo ecosistema de ciberseguridad para la industria

Un nuevo ecosistema de ciberseguridad para la industria

Miles de empresas de todo el mundo tienen ante sí el reto de la transformación digital. La llamada Industria 4.0 requiere la conjunción de las tecnologías de operación (OT) e Internet de las Cosas (IoT).  La generalización y el uso extensivo de la conectividad móvil, redes sociales, Big Data, etc. ha supuesto un despliegue de las tecnologías conocidas como SMAC (Social-Mobility-Analytics-Cloud) que, junto con el desarrollo de la mencionada Industria 4.0, implica nuevos riesgos y amenazas. Por ello, es fundamental dotar de ciberseguridad a las nuevas tecnologías implicadas en la transformación digital.

La ciberseguridad se podría definir como la seguridad en un mundo digital-virtual para prevenir los ciberataques cuyo origen está en nuevas amenazas y riesgos ya sea en entornos de gestión empresarial (SMAC) o en entornos industriales (OT).

Los ciberataques a los sistemas industriales (centrales térmicas, fábricas de automóviles/textiles/alimentarias, laboratorios químicos/farmacéuticos, etc.) y concretamente a sus sistemas de control y supervisión de procesos (SCADA, por sus siglas en inglés), constituyen hoy día una amenaza real.

Tradicionalmente el control de los OT se realizaba mediante sistemas propietarios y aislados de los sistemas de información empresarial (TIC). Sin embargo en el momento actual ambos mundos comparten tecnologías de información, introduciendo numerosas amenazas, vulnerabilidades y riesgos de los sistemas de TIC a los sistemas OT.

En este escenario y tomando como base el sistema de gestión de seguridad de la información descrito en la norma internacional ISO/IEC 27001, y de acuerdo al análisis de riesgos sobre los procesos industriales, se aplican controles propios para estos entornos industriales como son la familia de normas ISA 99 o IEC 62443.

El Ecosistema de Ciberseguridad y Privacidad nace después de más de 10 años de implantación del Modelo de Gobierno y Gestión de las TIC de AENOR. Éste surgió como una solución pragmática para los CIO ante los riesgos para las áreas de Desarrollo y Operaciones de un Centro de Proceso de Datos (CPD), ya sea en modo on-premise (interno) o en outsourcing (externalizado).

Modelo Dinámico de Gobierno y Gestión de las TIC en ISO - AENOR

 

Se diseñó como un modelo bottom-up (de abajo arriba) utilizando los estándares con sistema de gestión orientados a TIC basados en el ciclo de mejora continua (PDCA, por sus siglas en inglés). Éstos son:

  • ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información (seguridad de la Información orientada a objetivos de negocio)
  • ISO/IEC 20000–1–Sistema de Gestión de Servicios de TI (calidad y seguridad en los servicios de TI)
  • SPICE-ISO 33000/12207 – Modelo de Madurez para los procesos de Ingeniería del Software (Calidad en el Desarrollo del Software)
  • ISO 25000 – Requisitos y Evaluación de Calidad de Productos de Software (Calidad en el Producto Software)
  • ISO 22301 – Sistema de Gestión de Continuidad de Negocio. (Continuidad y Resiliencia en los procesos y servicios críticos de la organización)

Y en la cumbre del Modelo se encuentra el estándar ISO 38500 – Buen Gobierno de TI, que se basa en la correcta implantación de los estándares anteriores y donde el CIO toma decisiones alineando el plan estratégico de TIC al plan estratégico de la organización, considerando los riesgos de TIC de la organización, IT Compliance y la Ciberseguridad.

Además, se ha incorporado legislación nacional certificable, el RD 3/2010 Esquema Nacional de Seguridad –de obligado cumplimiento para las AA.PP y proveedores privados para las AA.PP– o Reglamentos Europeos como es el UE 910/2014 Reglamento para los Prestadores de Servicios Cualificados de Confianza, de obligado cumplimiento para aquellas organizaciones que presten servicios cualificados de Firma Electrónica, Sello de Tiempo, etc.

Boris Delgado es Gerente TIC en AENOR

Carlos Manuel Fernández es Asesor estratégico TI en AENOR