Solicita aquí una propuesta de servicios para tu empresa. Solicitar
Durante mucho tiempo hemos hecho campañas en la Firma de la importancia de la información que contienen nuestros clientes, el deber y requisito de protegerla, ya que hemos analizado mucho tiempo los riesgos e impactos que esta tiene si fuera vulnerada. Al hablar de la seguridad de la información también hablamos de los sistemas y programas que la procesan y que a su vez también la protegen.
Entonces, ya sabemos la importancia de la información en nuestra vida y procesos cotidianos pero ¿qué pasa con las operaciones y actividades programadas u automatizadas que también día a día mejoran, ayuda a nuestras vidas?
Imaginemos como sería la vida sin semáforos, alimentos producidos en masa, motores disponibles o simplemente la energía que llega de un lugar a otro solo con apretar un botón, o mejor aun con rutinas programadas con nuestros dispositivos inteligentes que están tanto de moda (asistente de Google o Alexa), todos estos dispositivos o medios de interacción les llamamos tecnología operativa (OT) por sus siglas en ingles y bueno sería el complemento de IT (tecnologías de información).
También es importante pensar en su seguridad y procesamiento, su revisión y monitoreo.
La OT se define como la tecnología que interactúa con el mundo físico e incluye los Sistemas de Control Industrial (ICS), el Control de Supervisión y Adquisición de Datos (SCADA) y los Sistemas de Control Distribuido (DCS).
La ciberseguridad para TI se ha ocupado tradicionalmente de la confidencialidad, integridad y disponibilidad de la información, las prioridades de OT suelen ser la seguridad, la fiabilidad y la disponibilidad, ya que existen claramente peligros físicos asociados a los fallos de OT.
Muchas empresas se esfuerzan por mejorar la eficiencia y la fiabilidad de los procesos de OT para sus clientes, lo que a menudo se traduce en una mayor conectividad a las tecnologías empresariales e Internet (o internet de las cosas “IoT”). Esta convergencia tiene el potencial de aumentar las vulnerabilidades del sistema, pero puede abordarse mediante la adopción de principios sólidos de gestión de riesgos, que son los mismos independientemente del tipo de sistema subyacente.
Ahora que hemos abordado este tema y sabemos más de las OT, podemos empezar a pensar cuantos de estos forman parte de la infraestructura de nuestro gobierno, empresas, escuelas, hospitales e incluso nuestras casas. Al igual que una computadora, un hacker puede tener acceso a estos dispersivos o un virus (ransomware) y modificar, alterar o parar el proceso de dichos dispositivos, que pueden afectar algo mas que la información, pensemos en compuertas o mezcladoras de alimentos, medicinas que puedan causar enfermedades o alergias, luces de tráfico que pudieran causar accidentes o sensores o chips de reactores nucleares con impactos más catastróficos.
Pero entonces ¿cómo vamos a cuidar nuestra infraestructura OT? Al igual que la IT, lo primordial es definir seguridad, políticas, procedimientos para su manejo, actualización y acceso. Después identificar los riesgos que afecten directamente a los dispositivos, estos riesgos deben ser bien clasificados para diseñar e implementar controles que ayuden a mitigarlos y proveer la fiabilidad del dispositivo.
Para los riesgos identificados siempre es importante tener planes de continuidad de negocio, y estar atentos y alertas a posibles ataques, sobre todo tener en cuenta las actividades, personas y procesos a seguir para que caso de tener una contingencia poder seguir laborando y tener la disponibilidad requerida.
Al igual que la seguridad de IT existen guías y procesos definidos como mejores prácticas para poder revisar las OTs.
En Salles Sainz Gran Thornton, hemos optado por utilizar las guías propuestas por National Cyber Security Centre del Reino Unido, que ayudan siempre a recomendar actividades de mejores prácticas profesionales, que además combinadas con nuestras certificaciones en ISO 31000 de gestión de riesgos, ISO 22301 para la gestión y continuidad del negocio, ISO 27001 para la gestión de la ciberseguridad y COBIT como marco de referencia de mejores practicas en el desarrollo e implementación de tecnología, todo estos marcos nos ayudan a ver cada cliente usuario como un ente único y necesidades específicas, buscando dar la seguridad que se necesita en el 360 grados ya sea para temas de Información (IT) o temas operativos (OT).
Fuente: Operational Technology (OT) - NCSC.GOV.UK
Artículo por: Fidel Delgado Ramos, Gerente Coordinador de Business Advisory Services