Diseño Estrategias de Ciberseguridad en entornos industriales

Toda estrategia de ciberseguridad industrial se apoya en cuatro pilares:

& Los fundamentos del negocio: su objetivo es determinar qué necesidades tiene la organización en materia de ciberseguridad. Definen una estrategia acorde a los requisitos del negocio y permiten establecer las necesidades de seguridad y los riesgos que la organización está dispuesta a asumir.

Beneficios:

Tener alineados los fundamentos de negocio con el SGCI permite disminuir los riesgos que afronta la organización.

& Identificar el riesgo que la empresa u organización está dispuesta a asumir.

& Establecer la forma de alinear el SGCI con los objetivos de la organización.

& Considerar los impactos en las cadenas de suministro y tomar las medidas adecuadas para minimizarlos y garantizar la continuidad de los procesos.

& Reducir los costes en caso de incidentes.

& Demostrar que se actúa con diligencia.

& Mejora de la fiabilidad y disponibilidad de los sistemas más críticos para la organización.

& Mejora de las condiciones de trabajo para los empleados.

& Capacitación de personal en materia de ciberseguridad, para aquellos sistemas que estén dentro del alcance.

& Cumplimiento de los requisitos legales.

& Garantizar la continuidad de negocio.

& Disminución de la responsabilidad civil.

& Mejora de la reputación de la compañía y, como consecuencia, incremento de la confianza de los inversores y clientes.

& El alcance del Sistema de Gestión de Ciberseguridad Industrial: identifica el ámbito de aplicación del SGCI, según los requisitos del negocio.

Después de establecer los fundamentos del negocio, así como los requisitos de la organización en cuanto a ciberseguridad (siempre contando con el compromiso de la Dirección), hay que establecer el alcance del SGCI. Aquí se detalla, sin lugar a interpretación, qué componentes de la organización están afectados por el SGCI.

Es recomendable buscar el equilibrio entre el valor que aporta la protección de los elementos incluidos en el alcance y la dificultad de construir un SGCI sobre el alcance seleccionado.

& La política de ciberseguridad industrial: concreta los requisitos de seguridad que se deben aplicar sobre el alcance definido y los impulsa, estableciendo las responsabilidades generales para su consecución. Su objetivo es establecer las líneas de gestión y el apoyo de ciberseguridad, acorde a los requisitos de negocio y a las leyes que aplican.

Es una herramienta fundamental para:

& Plasmar el compromiso de Dirección con la ciberseguridad industrial.

& Alienar la ciberseguridad industrial con las exigencias del negocio y el cumplimiento de la normativa que le aplica.

& Concienciar a la organización en esta materia.

& La organización para la ciberseguridad: recoge todas aquellas unidades, personas o roles que cuentan, dentro del alcance del SGCI, con las responsabilidades generales establecidas en la política de ciberseguridad industrial.