16 minute read
Securityscorecard
¿Qué son los security ratings?
La edad, la altura, el peso y la presión arterial son índices que controlamos de forma rutinaria para cuidar nuestra salud. ¿Por qué? Porque queremos estar seguros de que, a medida que pasa el tiempo, los indicadores de nuestra salud están estables, o si están cambiando, que están cambiando de forma positiva.
aUTOr: SecurityScorecArd
La gestión de la salud de la ciberseguridad de una empresa no es diferente. Al igual que medimos nuestra altura, peso, edad, etc., también necesitamos tener una referencia de la salud de nuestra ciberseguridad. Ahí es donde entran en juego las calificaciones de seguridad. Las calificaciones de seguridad brindan a las empresas una comparativa que nos permite establecer niveles para medir y administrar continuamente nuestra exposición al riesgo cibernético.
risk rAting: ¿qué es unA cAlificAción De seguriDAD?
Las calificaciones de seguridad evalúan su nivel de seguridad de acuerdo a la eficacia con que protege la información. En un mundo digital, los datos y la protección de dichos datos por parte de la empresa, son análogos a sus ingresos y la protección de sus activos financieros.
Las agencias de informes crediticios del consumidor revisan las finanzas de una empresa y asignan un puntaje crediticio evaluando si la empresa puede proteger sus activos financieros y así evitar endeudarse. De manera similar, una plataforma de calificaciones de seguridad revisa la postura de seguridad de una empresa y le asigna una puntuación al evaluar si la empresa puede proteger sus activos de datos de ataques.
La gestión del riesgo cibernético es un viaje:
Su puntuación de seguridad es un punto de partida en su viaje de ciberseguridad. Incluso si su calificación es baja, digamos, una D, o entre 60 y 70 puntos, su calificación nunca debería ser una fuente de vergüenza. En cambio, es el primer paso en un viaje de mejora.
Las calificaciones de ciberriesgo le permiten identificar fácilmente dónde necesita enfocar su atención y construir rápidamente un plan para mejorarlo.
Introducción a las clasificaciones de seguridad
Con una plataforma como la de SecurityScorecard, puede obtener la calificación de seguridad de nivel superior de su organización. La calificación le brinda visibilidad del nivel de riesgo de su empresa, información procesable y, a partir de ahí, puede elaborar un plan para remediar los riesgos.
Su calificación de seguridad desglosa su postura de seguridad para que pueda ver exactamente dónde deben centrar la atención sus equipos; tal vez la seguridad de los endpoints sea demasiado floja o los parches no se prioricen o no se apliquen con la suficiente rapidez. Luego, puede crear fácilmente un plan para mejorar su postura de seguridad.
Los beneficios de conocer su Scorecard
Conocer los puntos débiles de su empresa puede resultar intimidante, pero existen buenas razones para comenzar su viaje de ciberseguridad con una puntuación de seguridad de referencia.
Por un lado, las empresas que gestionan activamente su Scorecard Rating ven, en promedio, una mejora de 8 puntos en los primeros tres meses. Una calificación de seguridad mejorada significa una higiene de seguridad general mejorada y una menor probabilidad de un ataque. Las empresas con una calificación de Scorecard de F (menos de 60) tienen 7,7 veces más probabilidades de
sufrir un ataque que las empresas
con una calificación de A (90-100). Por lo tanto, incluso si comienza con una calificación baja, aumentar su puntuación hará que su empresa sea más segura.
Conocer su Scorecard le brinda una forma reconocida a nivel mundial y de gran reputación de mostrar a los clientes que se toma en serio la ciberseguridad. Es una garantía de que sus datos están protegidos en manos de su organización.
Su Scorecard también abre puertas para mejorar los gastos de su empresa; considere las tarifas del seguro cibernético y cómo las acciones que tome para mejorar su Scorecard podrían afectar su estado de riesgo asignado.
Finalmente, ¿Qué riesgos pueden venir de la mano de sus propios proveedores? Con la información que proporciona su Scorecard, existe una mayor
oportunidad de reducir el riesgo al dirigir la atención a sus provee-
dores. La gestión de riesgos de terceros permite ver de qué forma los socios de la cadena de suministro valoran la protección de sus datos y si alguna debilidad que tengan podría representar una amenaza para sus operaciones.
El arte de la seguridad
A Sun-Tzu se le atribuye la enseñanza de que conocerse a uno mismo es una garantía del 50% de éxito en el campo de batalla. Si bien el contexto era conocer las fortalezas y debilidades de la estrategia militar, la metáfora definitivamente se extiende a la ciberseguridad.
Su organización podría estar bajo ataque en cualquier momento, y su Scorecard le dice lo que ve un observador externo (léase: Hacker) cuando observa su organización y sus defensas. Saber esto le permite evaluar la capacidad de su organización para defenderse de estas amenazas.
lA historiA De los funDADores De securityscorecArD
Las empresas gastan millones en la lucha contra los ciberataques, pero muchas de ellas siguen siendo víctimas. ¿La razón? No monitorean continua-
mente sus sistemas para detectar
vulnerabilidades, sino que confían en análisis puntuales que se quedan obsoletos enseguida en la era digital. Fue esta situación la que llevó a Aleksandr Yampolskiy y Sam Kassoumeh a lanzar SecurityScorecard, una plataforma que muestra una visión externa de las amenazas a la seguridad y proporciona calificaciones de seguridad diarias similares a una calificación crediticia.
La pareja se conoció mientras trabajaba en la empresa de comercio electrónico Gilt Groupe, donde se dieron cuenta de que compartían una visión para un mejor enfoque de la ciberseguridad. También reconocieron que en sus funciones corporativas, la negligencia de otros podría costarles sus puestos de trabajo.
“Teníamos varias herramientas a nuestra disposición para ayudarnos a hacer nuestro trabajo, sin embargo, nuestro equipo de marketing firmaba contratos con proveedores de los que no creíamos que tuviéramos suficiente visibilidad”, dice Yampolskiy. “¿Cómo podríamos entender el riesgo de trabajar con ellos y con nuestros datos si no teníamos forma de medir su nivel de seguridad desde fuera?”
Comenzaron a buscar una forma de
calcular un puntaje de seguridad y tener una comprensión holística del
riesgo cibernético, similar a cómo los puntajes crediticios ayudan a las instituciones financieras a comprender el riesgo de las personas.
Kassoumeh pensó: “¿Qué pasaría si pudiéramos diseñar una forma de proporcionar a las empresas una visión profunda de la postura de seguridad de otras empresas que fuera instantánea, precisa y verificable de forma independiente sin tener que pedir permiso o esperar semanas para obtener
respuestas a importantes preguntas de
seguridad? En lo que fue realmente un momento de inspiración, ambos creímos que había formas no intrusivas de medir la salud de la seguridad de una empresa “.
Ocho años después, esa visión es una realidad y la plataforma de SecurityScorecard se ha convertido en una referencia del mercado de Security Ratings. .
La formación, clave en el futuro de la ciberseguridad industrial
- El crecimiento de los ciberataques a industrias está obligando a las compañías a formar a sus empleados. - La formación, ya sea proporcionada por la propia empresa, a empleados o reglada, es clave en el futuro industrial.
Firma: mAri luz domínguez
Con el crecimiento de los ciberataques en este 2022 las empresas están más expuestas a sufrir uno de ellos. La digitalización acelerada en los últimos años ha hecho que los ciberataques afecten también a las organizaciones industriales. Las infraestructuras tecnológicas de las industrias se han tenido que adaptar
rápidamente a la aceleración digital
causada por la pandemia. Esta aceleración ha provocado problemas de adaptación y en determinadas ocasiones ha dejado expuestas operaciones de procesos industriales y datos confidenciales que han sido aprovechados por los ciberdelincuentes con ataques de ramsomware o de denegación del servicio. En 2021, compañías industriales del sector eléctrico, del
agua o del transporte fueron las más
afectadas por estos ataques. Con este
panorama las empresas industriales están aumentando sus presupuestos de ciberseguridad industrial. En la actualidad las industrias se enfrentan al escaso conocimiento sobre ciberseguridad que se tiene a nivel industrial. Además, no existe todavía la suficiente concienciación dentro del ámbito profesional que haga tomar medidas con anticipación a las empresas. Muchas son las organizaciones que toman en cuenta la
ciberseguridad solo después de haber sufrido un ciberataque.
Existen también sistemas obsoletos en unidades de producción o estaciones de trabajo que, pese a estar conectados a la red, no tienen ya por su antigüedad
posibilidades de actualizaciones o
parches, lo que hace que se exponga toda esta infraestructura a un riesgo alto de ataques. No podemos olvidar que los tres pilares de la ciberseguridad industrial son los sistemas: los procesos industriales y los empleados. En los sistemas deben integrarse elementos relacionados con la seguridad y la segmentación de redes. En los procesos deben aplicarse procedimientos y programas que ayuden a crear una red para hacer más seguro el entorno industrial y las infraestructuras. Por último, los empleados son un pilar
fundamental en lo que se refiere a la
ciberseguridad de la industria. Es necesario generar equipos multidisciplinares y preparados para que sean capaces de identificar los riesgos y amenazas. La implementación de las herramientas de protección basadas en software adecuadas junto con la especialización de equipos son algunas de las claves para lograr una seguridad completa en las instalaciones industriales. En esta especialización de los equipos juega un papel relevante la formación de los profesionales.
lA importAnciA De lA formAción en ciberseguriDAD inDustriAl
La llegada del teletrabajo ha acelerado la transformación digital, pero también ha hecho que muchas organizaciones industriales están expuestas a ciberataques donde la información, datos y procesos industriales están comprometidos. Tan importante son los sistemas como la formación tanto de empleados como de contar con profesionales formados especializados. La formación específica a empleados en lo que se refiere a ciberseguridad industrial debe incluir unos aspectos formativos básicos, entre los que destacan: - Capacitar a los empleados para que tengan una visión en conjunto de los conceptos relevantes en lo que se refiere a ciberseguridad industrial. - Conocer las políticas de seguridad y entender las diferencias entre las que se realizan en los entornos IT y los entornos OT. - Identificar las principales vulnerabilidades y riesgos que existen en la actualidad en los entornos industriales. - Conocer los tipos de ataques que los ciberdelincuentes pueden intentar efectuar tanto en una red OT como en una infraestructura crítica. - Reseñar las características de las “Amenazas Persistentes Avanzadas’’ (APT) y mostrar sus posibles consecuencias en la seguridad industrial. - Conocer la normativa vigente en lo que se refiere a la protección de infraestructuras críticas.
formAción De empleADos De lAs inDustriAs
La formación de los empleados es esencial, ya que un error humano debido a la falta de conocimientos y concienciación sobre ciberseguridad es en muchos casos la razón principal de los ciberincidentes. Educar a los empleados sobre la seguridad informática y concienciarnos puede evitar que un ciberataque sea exitoso. Para ello es necesario contar con un
buen programa donde se incluyan las
políticas y procedimientos para trabajar con las tecnologías de la información de las que dispone la industria. Para que los empleados puedan detectar y prevenir ataques en el sistema de seguridad, deberán ser formados sobre las diferentes formas en que las amenazas de ciberseguridad pueden presentarse. Algunas de estas ciberamenazas son
el phishing, malware y ransomware e ingeniería social.
Los empleados deben recibir información sobre las amenazas, pero también tienen que saber con quién contactar si descubren una amenaza a la seguridad. La formación de empleados es necesaria en todas las organizaciones, pero especialmente en aquellas industrias con personal de rotación o que dependen mucho de personal contratado de manera temporal.
Formación en Ciberseguridad Industrial para empleados
Existen empresas que ofertan cursos técnicos de formación en ciberseguridad industrial para empleados con el objetivo de capacitarlos para adquirir competencias básicas en los procesos y entornos industriales. Así, Vester Industrial Training Center oferta para empresas grandes y medianas el curso de Ciberseguridad Industrial e Infraestructuras Críticas, donde se da una formación teórica y práctica sobre la protección de sistemas críticos industriales y la aplicación de medidas de seguridad en PLC / SCADA / MES. Igualmente, la compañía ACIBIN oferta para empresas medianas, pequeñas y micro pymes una formación personalizada sobre las soluciones, roles y responsabilidades que se han adoptado tras la implantación del Sistema de Gestión de la Ciberseguridad Industrial.
formAción De profesionAles especiAlizADos en ciberseguriDAD inDustriAl
Los ciberdelincuentes han encontrado en internet un escenario casi perfecto para lanzar sus ataques y sacar beneficio de ellos. Las mejoras en las telecomunicaciones, que hacen que la transmisión de datos sea mucho más fácil y rápida, hace crecer también el riesgo de los ataques. Es entonces cuando la formación en ciberseguridad se hace indispensable y de ahí la gran demanda en instituciones y empresas de todos los tamaños. Según un informe de ObservaCIBER, en España existe una brecha de talento
especializado en esta disciplina de
más de 24.000 profesionales. Entra esta falta profesional destaca especialmente la falta de especialización en ciberseguridad. Y si vamos más allá es de resaltar la escasez de especialistas en ciberseguridad industrial. El informe “Kapersky ICS Security Survey 2022” muestra que al 16% de las empresas industriales europeas la falta de profesionales de seguridad en tecnología operativa (OT) hace que estén en riesgo. Para ser un experto en ciberseguridad hay tres canales principales de formación; por un lado, están los estudios post universitarios basados en másteres que muchas universidades ofertan. Por otro lado, existen módulos de formación profesional y grados y cursos de títulos propios en ciberseguridad. Entre toda la oferta existen formaciones de este tipo más especializadas en ciberseguridad industrial.
Formación Reglada en Ciberseguridad Industrial en España
INCIBE recopila en su catálogo de For-
mación Reglada en ciberseguridad en España los másteres, especializaciones, grados y especializaciones en Formación Profesional que existían en España en 2021. Este recopilatorio muestra cómo a finales del año pasado existían tres formaciones regladas en España en lo relativo a Ciberseguridad Industrial: Máster Profesional Online de Ciberseguridad Industrial Este máster está impartido por el
Centro de Ciberseguridad Industrial
(CCI) de forma online. La capacitación está orientada a profesionales de la Ciberseguridad Industrial: Profesionales de la Seguridad de la información, profesionales de la operación en organizaciones industriales y profesionales de ciberseguridad en proveedores, ingenierías, integradores y fabricantes industriales. Las plazas se limitan a 20 alumnos para garantizar la calidad de la formación. El máster tiene un precio de 2.250 euros y su formación está compuesta por cuatro módulos en los que se tratan: - Conceptos de automatización
industrial y el estado de la seguridad
digital en la industria 4.0. Donde se da una aproximación a la automatización y los sistemas de control industrial. Introducción a las redes y los sistemas de control industrial. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores,
comunicaciones, Wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. - Diagnósticos de la ciberseguridad industrial, donde se revisa como es la seguridad en los entornos industriales, así como cuáles son las vulnerabilidades y amenazas de los Sistemas de Control. Además de identificar los vectores de ataque como líneas de comunicación, accesos remotos, etc. - Preparación de la ciberseguridad industrial. Donde se establece ya como diseñar un plan de seguridad y protección de infraestructuras críticas, así como un Programa de Seguridad de Sistemas de Control Industrial. - Hacking, Estrategia de Defensa y Análisis Forense. Donde se especifican las estrategias y técnicas de defensa y se aprende a realizar un análisis forense en ambientes industriales. Además de aprender la tipología de delitos tecnológicos en una organización industrial. Una vez que finaliza el máster, el alumno ha adquirido competencias válidas para efectuar un diagnóstico de ciberseguridad en un entorno industrial, tanto a nivel técnico como organizativo. Además, estos profesionales formados son capaces de elaborar un programa de ciberseguridad industrial basado en análisis de riesgos y análisis gap de las mejores prácticas y estándares actuales, utilizar técnicas y herramientas de hacking para identificar componentes vulnerables en la infraestructura del sistema de control y SCADA, aplicar estrategias y técnicas de defensa para proteger los sistemas de automatización industrial. Los alumnos del máster disponen tras la formación de conocimientos necesarios sobre las principales técnicas y herramientas que se pueden usar en el
análisis forense de un entorno OT, así como elaborar un informe pericial.
En lo que se refiere al centro que lo imparte, este Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, que trabaja en impulsar y contribuir a la mejora de la ciberseguridad Industrial. Este Centro fue creado hace 7 años y en la actualidad se ha convertido en el referente internacional en el ámbito de la ciberseguridad industrial, contando ya con más de 3.000 miembros, un equipo de más de 45 coordinadores regionales, 4 continentes, y 20 expertos. El Centro de Ciberseguridad Industrial
tiene una importante cartera de ac-
tividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento en lo relativo a los derivados de la integración de los procesos e infraestructuras industriales en el ciberespacio. Especialista en Ciberseguridad Industrial Este curso está actualmente también impartiéndose en la Universidad de Vigo. Consta de 330 horas y tiene un precio de 2.500 euros. El curso está orientado a titulados universitarios de primer y segundo ciclo, así como a profesionales dedicados a la implantación y mantenimiento de sistemas automáticos de ámbito industrial que acrediten tres años de experiencia profesional. Las plazas máximas disponibles son 30 y se realiza con un mínimo de 21 alumnos. Introducción a la Industria 4.0 (1 ECTS). El programa académico está compuesto por diferentes bloques donde se da una visión global de la industria 4.0 así como de su evolución en diferentes sectores. En un segundo bloque se ejecuta una introducción a los Sistemas de control industrial como son los sistemas de control distribuido (DCS), autómata programable (PLC), control numérico por computador (CNC), robot industrial, entre otros. También se incide en las interfaces hombre-máquina como son los sistemas HMI y SCADA. Avanzando en el curso se establece después los conocimientos relacionados con el cumplimiento y gestión de la ciberseguridad industrial, donde se exponen los riegos y se conoce la
normativa aplicable como es la NIS
europeas, el Esquema Nacional de Seguridad ENS o la Ley de protección de infraestructuras críticas LPIC. Los alumnos en la última parte del curso conocerán los Sistemas de supervisión y monitorización de amenazas con las Soluciones Zabbix, los firewalls de nueva generación (NGFW), los sistemas de detección de intrusiones y los sistemas de gestión de eventos e información de seguridad. Ciberseguridad en Sistemas de Control Industrial ICS/SCADA
Impartido por la Universidad Nacional de Educación a Distancia (UNED)
el curso se ofertó en el año 2016 de forma virtual y estaba dirigido a alumnos o titulados de Grado, Ingeniería Informática, ingenieros en Informática, telecomunicaciones e industriales, así como alumnos que hayan desarrollado en su formación módulos relativos a las TIC. Profesionales tales como analistas de ciberseguridad, y/o trabajadores inmersos en desarrollo, control y vigilancia de procesos industriales y jefes de Seguridad de empresas, en donde se lleven a cabo procesos industriales automatizados y se gestionen y controlen a través de sistemas ICS/SCADA. Profesionales del mundo de la seguridad (Fuerzas y Cuerpos de Seguridad, militares, seguridad privada, etc.). .
