1 56 Table of Contents 58 124

Segurilatam 019

artículo técnico Ciberseguridad en infraestructuras críticas Principio 4: Establecer los roles de ter- cera línea como la auditoría interna. Este principio también sirve para ase- sorar a los demás órganos para asegu- rarse del cumplimiento de los objetivos. Principio 5: La auditoría interna es in- dependiente de las responsabilidades de la dirección para ser totalmente ob- jetiva y creíble. Principio 6: Creación y protección del valor. Todas las funciones trabajan colectivamente con el objetivo de ali- nearse y lograr los intereses de todas las partes involucradas. Niveles organizativos Estos principios podrían adoptarse en los niveles organizativos que se exponen a continuación: El Nivel Directivo define el compromiso y aprueba recursos. El Nivel Estratégico es el formado por un comité de seguridad con respon- sables del negocio y de la operación que definen el alcance, planifican, controlan y verifican las acciones de ciberseguridad. El Nivel Táctico, liderado por el coor- dinador de ciberseguridad, coordi- na, gestiona, reporta y establece directrices. El Nivel Operativo, constituido por es- pecialista IT y OT, se encargaría de ad- ministrar sistemas, redes y aplicacio- nes, pero con dos equipos esenciales: el equipo de instrumentación y control, que debería mantener los sistemas de control formando la primera línea de defensa, y el equipo de “supervisión de procesos”, que en ocasiones se denomina “ingeniería del proceso” o “control avanzado” y sería el que po- dría asumir la revisión de los modelos de control y asegurar que los controles de ciberseguridad son efectivos como segunda línea de defensa. La tercera línea de defensa estaría formada por Auditoría de Sistemas IT y OT, constituyendo parte de Audito- ría de Sistemas, si es que esta última existe; y si no es así, se debería crear. Este equipo reportaría al Nivel Direc- tivo y tendría que estar formado en técnicas de control industrial para que pueda hacerse cargo de la ejecución de las auditorías periódicas sobre los modelos de control implantados, ase- gurando de forma independiente la efectividad del control interno y de la gestión de riesgos realizados tanto por la primera línea de defensa como por la segunda. El Nivel Directivo necesita este ase- soramiento al respecto para identificar carencias y riesgos no asumibles. El pro- blema es que hasta ahora esta asesoría ha sido realizada por personal directivo de las mismas áreas afectadas, áreas IT y OT, lo que conlleva un riesgo en sí mismo debido a que no existe una visión imparcial o no comprometida con accio- nes realizadas o en curso. Es por lo que un área de Auditoría, más concretamente el área de Au- ditoría de Sistemas, debería ofrecer una visión independiente y de alto ni- vel sobre el grado de madurez de los procesos informáticos de IT y de OT, el nivel de cobertura de los riesgos y su posible impacto en la sostenibilidad de la compañía. Tercer cuatrimestre 2021 / 57

RkJQdWJsaXNoZXIy ODM4MTc1