Riesgos de ciberseguridad en instalaciones industriales
Ponencia de Erik de Pablo perteneciente al módulo Ciberseguridad Industrial de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 5 minutos
Modelos de madurez y mapas de riesgos
Los modelos de madurez son modelos que tratan de presentar cómo se encuentra un proceso desde el análisis de su madurez a través de, habitualmente, cinco niveles.
Para los sistemas de control industrial, es preciso acometer una mejora notable en la madurez del proceso como medio para asegurar un nivel de respuesta aceptable ante las ciberamenazas. Una vez implantado el modelo de control, los análisis de riesgos adquieren una mayor utilidad, permitiendo enfocar la actividad hacia los riesgos principales y establecer prioridades.
Una de las conclusiones paradójicas que se extrae del desarrollo de un mapa de riesgos de ciberseguridad en entornos industriales es que el riesgo total no es excesivamente grave, por lo tanto no es preciso colocar este asunto entre los más importantes a tratar. En el caso de la ciberseguridad industrial no es así, ya que el orden de magnitud de los cambios en la agresividad y sofisticación de las amenazas es incluso inferior al horizonte temporal de los análisis y evoluciona muy rápidamente. En ciberseguridad, los problemas actuales son totalmente distintos a los de hace unos años, por lo que el registro histórico no sirve.
Los modelos de riesgos en ciberseguridad industrial son especiales
Hay que tener en cuenta que, al no saber lo que se va a tener que hacer en los próximos años para responder a las amenazas que existan, la planificación económica y de recursos humanos debe considerar una holgura importante, ya que probablemente se necesite una adaptación.
El tipo de curva mostrado en la imagen anterior como cálculo representa una distribución asimétrica y se suele asociar a la distribución de Weibull. Esto permite construir una curva razonable con solo cuatro o cinco puntos y calcular una estimación de la "pérdida esperada al 90%". El resultado obtenido representa mucho mejor el riesgo de este escenario, mejor que a partir de solo un punto y los valores de pérdida esperada son mucho más elevados, como ya se suponía previamente.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Erik de Pablo
Erik es físico por la Universidad Autónoma de Madrid y PDD por el IESE. Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la industria del petróleo en España y Sudamérica.
Recientemente, y durante seis años, ha sido Director de Investigación en ISACA-Madrid y es socio Director de la empresa de auditoría de sistemas RUTILUS.
Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems Control).
- Contacto: edepablo@rutilus.com
¿Cuál es tu reacción?