Por Claudio Ordóñez, Líder de Ciberseguridad de Accenture Chile
Hoy más que nunca, las organizaciones deben alcanzar un equilibrio entre los riesgos en sus ambientes IT y OT para minimizar la exposición de los sistemas. Lo principal es enfocarse en lo básico, para minimizar la superficie de ataque y reducir el riesgo. Para esto, hay 10 elementos esenciales a impulsar dentro de las empresas.
Comprender su negocio y la operación. ¿Cómo funciona su proceso? ¿cuáles son sus activos críticos? ¿cuáles son los KPI de su negocio y operaciones? Debe comprender cómo, tanto la IT como la OT, aportan en sus procesos empresariales para poder gestionar eficazmente el riesgo. En segundo lugar, sea objetivo en la gestión de riesgos. Al menos, elimine la subjetividad, si es posible, de los cálculos de riesgo. Por ejemplo, la probabilidad suele ser un parámetro muy subjetivo, cuya racionalidad puede ser cuestionada por la falta de datos históricos, de conjuntos de datos completos, etc. Piense cómo ser lo más objetivo posible.
Tercero, priorizar los esfuerzos en función del riesgo. Abandone el uso de los requisitos de cumplimiento o los niveles de madurez de la seguridad para priorizar los esfuerzos de seguridad. El cumplimiento debe ser la línea base de un roadmap, no el final. La madurez no le dirá todo lo que debe saber. Por ejemplo, un proceso o lugar puede estar en el nivel de madurez 1 (menos maduro) y ser de bajo riesgo. En otro ámbito, puede ser de nivel 3 (más maduro) y tener su proceso o ubicación altamente vulnerable, dependiendo de su criticidad y requisitos específicos.
Cuarto, comprenda las necesidades de riesgo de sus stakeholders, tanto del negocio como de la operación. Al colaborar estrechamente con las líneas de negocio y la empresa en general, se puede llegar a un consenso sobre cómo se define, mide, controla y mitiga el riesgo. La colaboración también ayuda a reducir la duplicación de esfuerzos. En quinto lugar, aplique buenas prácticas de forma inteligente. El tiempo del equipo es valioso, ahorre tiempo siguiendo las normas de gestión de riesgos, las mejores prácticas y las metodologías ampliamente adoptadas por la industria.
Sexto, impulsar la resiliencia. A medida que aumenta el número de ataques, concéntrese en los esfuerzos de ciberseguridad que apoyan el tiempo de actividad, la recuperación y la resiliencia operativa para ayudarle a rendir mejor bajo un evento. El ransomware, en particular, es una amenaza creciente para la mayoría de los sectores. Se ha demostrado que la adopción de prácticas proactivas mejora los tiempos de respuesta cuando se producen los ataques.
Séptimo, promueva una cultura de riesgos de seguridad. Sus esfuerzos deben ir más allá de las medidas de ciberdefensa. En cualquier sistema, los humanos son siempre la fuga más común. Por lo tanto, para gestionar adecuadamente el riesgo, empiece por inculcar la noción de que la seguridad es responsabilidad de todos en la organización.
Octavo, sea selectivo en lo que confía. No dé por sentado que algo es digno de confianza sólo porque otros lo utilicen o porque digan que confíe en ello. Esto incluye sistemas, personas o procesos en los que simplemente se asume la confianza como un punto de conveniencia y, en particular, cuando soluciones de IT deben o pueden ser implementadas en OT. Cuestione siempre: ¿es correcto y suficiente lo que estamos haciendo?Noveno, fomentar la colaboración interfuncional. Es imperativo que la IT y la OT trabajen estrechamente y se alineen sobre cómo minimizar el riesgo. Cuando se trabaja en silos, se crean debilidades en la organización. Los adversarios explotarán esas debilidades. La colaboración también ayuda a reducir la duplicación de esfuerzos y las inversiones redundantes. Un estudio de Accenture reveló que las inversiones redundantes en proyectos digitales aumentan los costos en un 5,8%.
Finalmente, dé poder a su gente. Anime a sus equipos operativos y de seguridad a adoptar la tecnología de IT en el entorno de OT, sin olvidar el hábito octavo, y hágalos responsables de los sistemas de seguridad que utilizan y gestionan. A medida que impulse estos hábitos podrá tener una visión mejor informada de sus riesgos, contará con stakeholders comprometidos y alineados, y alcanzará una disminución (o estabilización) del riesgo.
