Esta mentalidad autónoma estaba bien en el antiguo mundo de la OT, cuando los sistemas de control industrial no estaban conectados a Internet o a la TI de la empresa. Pero hoy en día, la creciente conectividad de la OT significa que está sujeta a amenazas cibernéticas similares a las de la TI. Sin embargo, en muchos casos el enfoque de la gobernanza de la ciberseguridad no ha seguido el ritmo.
¿El resultado? Una necesidad cada vez mayor de ampliar las competencias del CISO en materia de ciberseguridad a la OT. Lo que se necesita es gente sentada en el espacio de OT que informe directamente al CISO, y que garantice que la ciberseguridad se gestiona adecuadamente en los entornos de OT, al tiempo que colabora estrechamente con el personal de OT y sirve como los ojos y las manos del CISO sobre el terreno.
Hay dos obstáculos principales para conseguirlo. Uno es que, dado que el equipo de OT no ha participado en las decisiones sobre las medidas de ciberseguridad que deben aplicarse en OT, a menudo desconfían o incluso se resisten a los cambios propuestos. El otro es que los conjuntos de habilidades requeridos por los especialistas en ciberseguridad de OT son escasos, ya que han comenzado a enseñarse muy recientemente en las universidades. Además, la mayoría de los talentos existentes en el espacio de la seguridad OT son personas muy experimentadas que han desarrollado estas habilidades en el curso de su trabajo. En consecuencia, este talento es escaso y caro.
Pasos para superar los retos
¿Cómo superar estos obstáculos? Si bien la creación e integración de una nueva estructura de gobierno llevará algún tiempo, hay una serie de pasos que las empresas y sus CISO pueden dar inmediatamente para empezar a poner los cimientos.
El primer paso, el más importante, es dar al CISO un asiento en la mesa principal. En muchas empresas, el CISO se sitúa por debajo del CTO o del CIO, lo que le aleja de las operaciones. El jefe de operaciones siempre informará directamente al director general. Para tener el nivel necesario de visibilidad e influencia en toda la empresa, el CISO debería reportar a un nivel similar.
Otra medida positiva es establecer un órgano de gobierno formal que reúna a todas las partes implicadas en la seguridad de la OT -incluida la ciberseguridad, la TI, el riesgo corporativo y la OT- para debatir los posibles ángulos e implicaciones de la ciberseguridad en la OT. Esta agrupación podría denominarse "comité de dirección" para la ciberseguridad, con objetivos como:
- Lograr la alineación de los objetivos, la estrategia, las iniciativas y la inversión en ciberseguridad en OT.
- Proporcionar supervisión y visibilidad de la ciberseguridad y los riesgos en toda la empresa.
- Dirigir, apoyar y respaldar las decisiones en materia de ciberseguridad.
- Supervisar el desarrollo y la adaptación de la capacidad de ciberseguridad para cumplir con los requisitos corporativos.
Al implicar a las operaciones en las decisiones relacionadas con la ciberseguridad de OT, este órgano de gobierno puede reducir el rechazo que a veces se produce por parte de los equipos de OT. Al mismo tiempo, un paso más valioso es crear una comunidad de práctica para la ciberseguridad de OT, una agrupación más informal que proporcione una plataforma para debatir los problemas de ciberseguridad de OT a diferentes niveles, identificar las tendencias y las acciones necesarias, debatir los enfoques de los problemas y desenterrar el "talento oculto" en ciberseguridad de OT dentro de la empresa.
¿Por qué es necesario desenterrar este talento? Actualmente, las personas con cualificaciones formales en ciberseguridad OT son escasas. Sin embargo, ocultos dentro de los equipos operativos de la mayoría de las empresas industriales, habrá un puñado de personal de OT que se interesan personalmente por la seguridad de los sistemas que gestionan, y lo combinan con un profundo conocimiento de las operaciones de la empresa.
Estos espontáneos y autodesignados "campeones de ciberseguridad OT" a menudo han actuado por iniciativa propia para desarrollar sus habilidades de ciberseguridad. Esto les confiere un perfil de habilidades único que los convierte en un recurso enormemente valioso para - y un ajuste perfecto para poblar la estructura organizativa para ampliar la ciberseguridad a OT.
Para ayudar a guiar el viaje, las empresas también pueden querer contratar a una empresa asesora de ciberseguridad independiente y de confianza que pueda trabajar en todas las áreas de TI y OT y que hable el idioma de la gente de OT. Este asesor puede ayudar con todos los aspectos de los cambios necesarios, desde proporcionar conocimientos de ciberseguridad hasta aclarar las responsabilidades y facilitar el diálogo entre los diferentes equipos.
No hay tiempo que perder
Estos pasos ayudarán a su empresa industrial a empezar a reinventar su gobernanza de la ciberseguridad para el mundo de la OT conectada. ¿Y cuándo emprender el viaje? Con las ciberamenazas en continuo crecimiento, no hay tiempo que perder.
Fuente: https://www.accenture.com/ae-en/insights/cybersecurity/cybersecurity-industrial-business