Ciberseguridad industrial: la norma SEC-ICSF:2021

Ciberseguridad industrial: la norma SEC-ICSF:2021

Existen múltiples motivaciones por las que cualquiera se puede convertir en una ciberamenaza: hactivismo, ciberdelincuencia, ciberterrorismo, ciberespionaje o ciberguerra. El número de ataques ha aumentado de manera exponencial y las amenazas que más han crecido son aquellas dirigidas a infraestructuras. Especialmente, han afectado sectores como la energía, el agua, el acero, el petróleo y el automóvil. Por todo ello, la ciberseguridad es una de las principales preocupaciones de las empresas. El impacto de un ataque en la disponibilidad de los sistemas de producción industrial puede ser muy elevado, ocasionando tiempos de inactividad que ponen en peligro el negocio.

Situación actual de los entornos industriales

Francisco Valencia, director general de Secure&IT destaca los factores que generan la mayoría de problemas en seguridad de la información: “Son, fundamentalmente, tres: la falta de valoración de activos, la falta de comunicación entre los departamentos y la escasa formación y concienciación de los usuarios”.

El ransomware en industria se ha multiplicado por 10 en un año y las consecuencias para las compañías pueden ser catastróficas.  Este tipo de ataque no solo genera un problema de falta de acceso a los datos, también un grave problema de reputación.

En cuanto al impacto económico, las cifras hablan por sí solas. El coste medio de un ciberataque son 2 millones de euros. Si hablamos de OT, esta cifra se eleva hasta los 10.

La intercomunicación con OT abre muchos huecos en ciberseguridad y los ciberatacantes se han dado cuenta de que pueden hacer mucha presión en este tipo de entornos.

Los retos de la ciberseguridad industrial

Los ciberdelincuentes “solo” son culpables de un 23% de los ciberataques. ¿A qué corresponde el resto?  Errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas, formación insuficiente, etc.

A esto se suma que los retos en los entornos industriales son complejos:

  • No hay un conocimiento exhaustivo de los elementos conectados a las redes de planta y no es posible proteger algo de lo que se desconoce su existencia.
  • Muchas de las instalaciones no se han actualizado desde su puesta en producción (en tiempos en los que la ciberseguridad no era un requisito en el diseño).
  • No hay posibilidad de parada. La disponibilidad desbanca a la confidencialidad, en cuanto a las dimensiones de seguridad prioritarias. Por tanto, las ventanas de actuación son muy limitadas.
  • No hay un control previo de los equipos, que minimice la posibilidad de un incidente en los accesos de terceros.

En resumen, nos encontramos en un escenario de aumento de las ciberamenazas; un entorno con arquitecturas de red heredadas; desconocimiento “de lo que hay”; una seguridad OT gestionada desde IT; carencia de conocimientos para la protección de ICS y, en muchos casos, escasez de medios y recursos. Por tanto, el elevado nivel de riesgo es un factor determinante en OT.

La normativa en OT: SEC-ICSF:2021

El panorama normativo en ciberseguridad industrial es complejo e, incluso, ambiguo. Nos encontramos ante diferentes estándares, normas sectoriales, requisitos específicos de los clientes, etc.

Por este motivo, como explica Hugo Llanos, director del área de Ciberseguridad Industrial, “en Secure&IT nos planteamos la necesidad de definir un conjunto de controles de ciberseguridad para el entorno industrial, que se ajustaran a un nivel de seguridad adecuado. Aquí surge la norma SEC-ICSF:2021”.

SEC-ICSF:2021 proporciona un marco normativo de ciberseguridad industrial factible. Está orientada a todo tipo de empresas. Permite alcanzar un nivel de riesgo adecuado con un número de controles mínimo, y obtener una certificación por una entidad reconocida (OCA Global).

 Principales características de la norma SEC-ICSF:2021

  • Ofrece seguridad para sistemas de control industrial.
  • Cuenta con un marco de controles fundamentales.
  • Existe un reconocimiento de la adecuada aplicación de la norma.
  • Ofrece controles industriales complementarios para la ampliación del SGSI basado en 27001.

SEC-ICSF:2021 cuenta con un conjunto de 50 controles (v1.0) divididos en 9 dominios de seguridad. Están alineados con determinados SR de las normas 62443, ISO27002 y el Centro de Ciberseguridad Industrial (CCI).

Existen dos posibilidades para la implantación: como un marco independiente (adecuado para empresas que no cuentan con un Sistema de Gestión de Seguridad de la Información basado en ISO 27001), o como un conjunto de controles que amplían el alcance de un SGSI con el entorno puramente industrial (Sistema de Gestión de Ciberseguridad Industrial).

En definitiva, SEC-ICSF:2021 es una norma privada desarrollada por Secure&IT, reconocida y certificable en exclusiva por la empresa OCA Global. Permite obtener una certificación a tres niveles (alto, medio y bajo), en función de la puntuación total obtenida conforme al grado de implantación de cada uno de los controles de seguridad.

 

5/5 (1 Review)
Facebooktwitterpinterestlinkedinby feather