Segurilatam 019

/ Tercer cuatrimestre 2021 56 artículo técnico Ciberseguridad en infraestructuras críticas C uando analizamos la si- tuación de un operador de infraestructuras críticas res- pecto de la ciberseguridad OT (Tecnología informática en Operacio- nes Industriales), lo primero que se debe- ría considerar es la organización que se ha establecido para gestionar ese riesgo. Debido al nivel de interconexión que existe entre todos los departamentos de una organización, la ciberseguridad afecta tanto al área de informática cor- porativa (IT) como a la industrial (OT). Y por ello es imprescindible realizar este análisis contemplando en paralelo las áreas de IT y OT. En una organización que opera infraes- tructuras críticas, el CISO (responsable de ciberseguridad IT) es una figura que normalmente existe. Pero suele estar en el nivel 3 (o más probablemente 4) de la jerarquía de la organización, lo que difi- culta extraordinariamente que sus preo- cupaciones y necesidades lleguen a la alta dirección, como se señala en la guía Modelo del Control Interno en la Digitali- zación Industrial publicada por el Centro de Ciberseguridad Industrial (CCI). En ella se señala que el área de OT es reacia a considerar a los “informáticos” como interlocutores, debido a su escaso cono- cimiento de la automatización de los pro- cesos industriales y existe una aversión histórica para trabajar conjuntamente. Acercamiento Esta situación está mejorando en los últimos años. Especialmente en secto- res como los de la energía, el agua y el transporte, es cada vez más común que se hayan realizado proyectos conjuntos para mejorar la ciberseguridad OT de las infraestructuras críticas. Pero el problema no se ha terminado de arreglar, básica- mente porque IT sigue sin tener nociones de procesos industriales. Es decir, en rea- lidad el acercamiento se ha producido desde OT hacia IT. Además, a esta situa- ción hay que sumar que la digitalización industrial de algunas de estas infraestruc- turas críticas incrementa notablemente la exposición y la probabilidad de que se materialicen las crecientes amenazas. Tres líneas de defensa Realmente, la ciberseguridad debe ser gestionada en un operador de infraes- tructuras críticas como un riesgo de ne- gocio, con una estructura interna o ex- terna, pero siempre se deberá colaborar, cooperar y coordinarse entre las distin- tas áreas. Debería adoptarse un modelo basado en las tres líneas de defensa, que ya siguen algunas organizaciones que operan infraestructuras críticas. Este nuevo modelo se organiza en torno a va- rios principios: Principio 1: Estructurar el gobierno de la organización para rendir cuentas, definir acciones, asegurar y asesorar. Principio 2: Establecer los roles den- tro del órgano de gobierno para que funcione de forma eficaz. Es necesario alinear los objetivos y actividades a los intereses de cada parte. Principio 3: Definir responsabilidades para alcanzar objetivos tanto en pri- mera como segunda línea. Las fun- ciones de la primera línea están direc- tamente alineadas con la entrega del producto o servicio. La segunda línea se encarga de la asistencia en la ges- tión de riesgos. ¿Cómo un operador de infraestructuras críticas debería gestionar la ciberseguridad OT? J osé V aliente D irector del C entro de C iberseguridad I ndustrial (CCI) La digitalización industrial de algunas infraestructuras críticas incrementa su exposición a las ciberamenazas