Ciberseguridad en ambientes complejos
Las infraestructuras y los servicios críticos afrontan un gran reto en materia de ciberseguridad, por ello pensar en su protección requiere el rediseño de métodos técnicos y principalmente de gestión, para una administración segura en nuestro nuevo mundo cibernético y sus amenazas. Transporte, energía, salud, telecomunicaciones son algunas de las infraestructuras críticas altamente susceptibles a los ciberataques, que principalmente se ven amenazadas por las nuevas problemáticas que nos depara la innovación en la Industria 4.0.
Desde nuestra visión, denominamos ‘ambientes complejos’ a aquellos entornos de negocios determinados por distintas áreas de especialidades técnicas, cuyos procesos de gestión o control se automatizan mediante el uso de tecnología, y esto es mucho más notable en las infraestructuras críticas industriales en donde se generan ‘diferentes áreas de tecnología’.
¿Cómo nos preparamos frente a esta imagen? ¿Sabemos cuáles son las consecuencias a mediano y largo plazo de esta situación, que se presenta como algo natural en este tipo de organizaciones? Las tres principales amenazas a las cuales nos enfrentamos, y deberíamos de incluir dentro de nuestra gestión de riesgos, son la falta de gobernabilidad sobre la tecnología y la información, la falta de estandarización técnica y operativa, y la visión incompleta sobre las necesidades y alcances de ciberseguridad principalmente por la falta de coordinación sobre este tema entre las diferentes áreas de la compañía
Este último punto es el principio a los problemas de gobernabilidad de la tecnología e información, ya que habitualmente desde las áreas de especialidades técnicas como las de informática médica, RPA y OT, consideran que, si bien usan tecnología, están muy alejados de ser un área de TI, y nada menos cierto que esto. La construcción de redes por monitoreo, comunicación, operación y control afecta desde empresas de salud hasta de energía, en donde empiezan a interactuar con activos que antiguamente eran mecánicos en forma digital y los que generan datos que se convierten en información tanto operativa como relacionada con su gestión, integrando estos datos en información necesaria para el cumplimiento regulatorio de sus operaciones.
Datos sensibles, personales, de generación productiva, de fallas en redes de protección, de trazabilidad alimentaria, etc., no son simplemente para conocer estadísticas relacionadas con la producción o el negocio de las infraestructuras críticas, son principalmente el foco de atención para leyes y entes regulatorios que desde los últimos años han madurado muchísimo utilizando estándares de calidad y seguridad/ciberseguridad aplicables a diferentes industrias para establecer un nivel adecuado de cumplimiento, principalmente con el objetivo de proteger a las personas y asegurarles calidad y disponibilidad de los servicios críticos.
Este ambiente aún se complejiza más frente a las nuevas metodologías en la gestión de proyectos tecnológicos que proponen formas más rápidas de dar respuesta al negocio debido a que el objetivo principal buscado es ‘información disponible y de rápido procesamiento’, pero estas metodologías los alejan del cumplimiento y de los controles necesarios para el aseguramiento de los datos que se procesan o transmiten mediante los diferentes sistemas que dan soporte al negocio. Esto refuerza la idea que los nuevos proyectos que requieren de la tecnología como servicio, son aquellos que están más fácilmente a merced de los errores de ‘visión’ dependiendo del perfil de quién los lidere y de quienes funcionalmente compongan el equipo de proyecto.
Por ello, la visión frente a esta complejidad debe estar asociada a una definición estratégica por parte de la Alta Conducción de la organización de la política de ciberseguridad y seguridad de la información de la compañía, y su articulación en la implementación para toda la compañía a través de un comité de seguridad y tecnología conformado principalmente por representantes de las áreas de especialidades técnicas, Tecnología y Seguridad de la Información.
Este comité es quien revisa las propuestas normativas y procedimentales del responsable de seguridad de la información (CISO), a través de las cuales se establecen las bases generales para el abordaje mediante normas y procedimientos asociados a la ciberseguridad y gestión de la tecnología, quedando en manos de las áreas de especialidades técnicas los procedimientos específicos para la gestión de sus propias plataformas (SCADA, Historia Clínica Electrónica, Sistemas Industriales, etc.), pero bajo una línea base de gobierno de la tecnología y la ciberseguridad.
Para llegar a este punto de confluencia, tanto desde las áreas operativas técnicas como la alta conducción deben considerar la ciberseguridad y el gobierno de la tecnología como parte necesaria y crítica para el negocio, cuyas prácticas le ayudaran a mejorar la calidad y cumplimiento, pero principalmente aunar esfuerzos para optimizar y cumplir con los objetivos de su negocio. Las áreas operativas técnicas como las áreas de TI, tienen más puntos en común de los que piensan, no solo en la gestión de la tecnología sino también en las amenazas.
Una vez más, pensar corporativamente es el principio de la solución para alcanzar un nivel aceptable de mitigación de riesgos para el negocio, sin hacerlo disruptivo, pero si asegurando sus resultados, y en el caso de las infraestructuras críticas con el fin principal de asegurar calidad y continuidad de servicios a la comunidad con el resguardo adecuado de los datos e información de sus consumidores, clientes, pacientes, etc. Desde BDO entendemos esta problemática, y aportamos soluciones consultivas basadas en metodologías y estándares internacionales que brindan a este tipo de organizaciones la cobertura necesaria a sus necesidades control de riesgos en el gobierno de la tecnología y ciberseguridad ya que contamos con un amplio conocimiento e integramos nuestros equipos de trabajo con las diferentes ‘visiones’ necesarias para llevar adelante proyectos que asocian los objetivos de negocio, el cumplimiento y la tecnología.