Sistema de Gestión de Ciberseguridad Industrial (SGCI)

¿Qué es un Sistema de Gestión de la Ciberseguridad Industrial?

Es necesario establecer una política de seguridad adaptada a la industria para protegerla de las amenazas digitales. El objetivo de implantar un Sistema de Gestión de la Ciberseguridad Industrial (SGCI) es poner a disposición de la organización (en todas sus áreas) los recursos necesarios para gestionar de una manera eficiente los riesgos de ciberseguridad asociados a los sistemas de control industrial.

Como marcos de referencia tomaremos:

& ISO 27001: describe cómo gestionar la seguridad de la información en una organización.

& ISO 27002: es una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información.

& IEC62443/ ISA99: serie de estándares, informes técnicos e información que definen los procedimientos para implementar la automatización industrial y los sistemas de control de seguridad.

Con el SGCI, podemos ayudarte a llevar a cabo un tratamiento eficaz, eficiente, continuo y alineado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones y de la información de los ICS.

 

Para la construcción del SGCI se deben tener en cuenta los siguientes aspectos:

& Definición de una estrategia de Ciberseguridad Industrial

Integrada dentro de la estrategia corporativa y que permitirá identificar y delimitar el alcance del SGCI y definir la política de ciberseguridad industrial

& Gestión de los riesgos para la Ciberseguridad Industrial

Aplicando una metodología de análisis de riesgo, se identificarán los activos; se elaborará un listado de vulnerabilidades, así como, el correspondiente a las amenazas en el ámbito industrial.

& Promoción de una cultura de la Ciberseguridad Industrial

Formación y concienciación del personal en materia de ciberseguridad en el contexto industrial.

& Establecimiento de normativas de ciberprotección en instalaciones industriales

Desarrollo de la política general de ciberseguridad y definición de las normativas de seguridad específicas aplicables, como la de personal; clasificación de activos y datos de control de proceso; control de acceso lógico a los sistemas de automatización industrial; seguridad física y del entorno; protección de las redes de comunicaciones; protección del software de control industrial, o protección de las relaciones con terceros.

& Garantía de resiliencia y continuidad de los Sistemas de Operación

Desarrollo de mecanismos que permitan mejorar la resiliencia de los sistemas de automatización y control industrial frente a incidentes que puedan poner en peligro la continuidad del proceso productivo.

& Gestión, revisión, mejora y sostenibilidad del SGCI

Desarrollo y mantenimiento del SGCI y de su repositorio documental. Proceso de supervisión y revisión, mediante auditoria interna y revisión por la dirección, así como, el procedimiento de mejora.