El informe pide una acción urgente para enfrentar las amenazas cibernéticas a la infraestructura crítica

Organización benéfica de seguridad mundial, Lloyd’s Register Foundation lanzó hoy un informe titulado Seguridad cibernética operativa para la Internet industrial de las cosas:desafíos y oportunidades. Destaca una amenaza inminente a la infraestructura crítica de los ciberataques, dada la creciente dependencia del Internet de las cosas (IoT), dice Robert Hannigan, presidente ejecutivo internacional de BlueVoyant y Sadie Creese, profesora de seguridad cibernética, Departamento de Ciencias de la Computación, Universidad de Oxford.

El informe se centra específicamente en los riesgos inherentes para el IoT industrial (IIoT), que se está convirtiendo rápidamente en una parte fundamental de las infraestructuras globales críticas, en todos los sectores, incluidos la energía, el transporte, el entorno construido, la infraestructura física y la fabricación. La seguridad es particularmente crítica en los entornos de IIoT, por lo que es esencial comprender cómo brindar infraestructuras seguras y resistentes.

El IIoT también agrava los desafíos de seguridad que ya existen. El informe tiene como objetivo priorizar la acción mediante la identificación de riesgos emergentes clave y las brechas en la capacidad para las cuales el ritmo actual de cambio en la seguridad cibernética operativa no será suficiente. En estos entornos, las consecuencias de las fallas pueden ser sistémicas, y el informe pide la adopción urgente de la comunidad IIoT de principios rectores para aumentar la resistencia a los ciberataques.

El informe señala las diferentes perspectivas de los responsables de la gestión de riesgos dentro de la industria, que incluye operaciones y miembros de la junta, empresas y reguladores, equipos de adquisiciones y seguridad cibernética, y proporciona una descripción general útil para aumentar la conciencia cibernética para todos.

El hallazgo principal del informe es que el ritmo actual de cambio no coincidirá con la rápida aparición de nuevas amenazas de seguridad en los entornos de IIoT. Las capacidades actuales, señala el informe, no se escalan, no se han probado o simplemente aún no existen. El informe también señala que se acerca el punto de inflexión para recuperarse de los ciberataques y los desafíos para la mentalidad, la regulación y los seguros que pueden generar prácticas de seguridad preventivas.

Si bien la regulación, los requisitos de los proveedores de seguros cibernéticos y la adopción de una mentalidad de seguridad cibernética dentro de las organizaciones podrían impulsar el progreso hacia la reducción de las brechas de capacidad operativa y el desarrollo de controles de riesgo que se traduzcan de manera efectiva en el IIoT, existen nuevos desafíos urgentes que enfrentar.

La gestión del riesgo de ciberseguridad para los sistemas tradicionales ya enfrenta muchos desafíos. Estos incluyen la gran dificultad de tratar de mapear las complicadas relaciones entre los sistemas técnicos y humanos, y los desafíos de la comunicación entre diferentes comunidades donde los marcos para comprender el riesgo son fundamentalmente diferentes.

Muchos de estos desafíos existentes permanecerán y se exacerbarán, y surgirán otros nuevos, a medida que los enfoques de gestión de riesgos se traduzcan en el IIoT, creando brechas de capacidad clave.

Además de explorar estos desafíos a medida que IIoT se expande, el informe amplía los hallazgos procesables que incluyen:

1. Siempre considere las consecuencias del daño al planificar cómo manejar los riesgos
2. Considere cómo pueden fallar los controles de seguridad a medida que aumenta el uso de dispositivos de IoT
3. Utilice técnicas que puedan proporcionarle una evaluación continua de su puesto (casi en tiempo real) en lugar de evaluaciones periódicas
4. Considere cómo sus cadenas de suministro están usando IoT:considere su falla para mantener la seguridad cibernética como un riesgo para sus planes de administración de riesgos de seguridad
5. Invertir en procesos de preparación forense
6. Incluya una consideración de escenarios futuros en sus evaluaciones de riesgo
7. Invertir en capacitación para el personal sobre estándares y buenas prácticas de IoT
8. Colaborar para establecer un protocolo de interfaz de dispositivo para compartir información de monitoreo de seguridad

Los autores son Robert Hannigan, presidente ejecutivo internacional de BlueVoyant y Sadie Creese, profesora de ciberseguridad, Departamento de Ciencias de la Computación, Universidad de Oxford.

Acerca de los autores

Robert Hannigan, presidente ejecutivo internacional de BlueVoyant , El ex director de GCHQ, el establecimiento de seguridad del Reino Unido, y coautor del informe, dice:“En los últimos años hemos visto un aumento en los ataques deliberados dirigidos a infraestructuras críticas en todo el mundo. A medida que la adopción de IoT en el sector industrial continúa creciendo, se necesitan acciones y orientación claras. Nuestro informe enmarca el contexto de IIoT, los problemas inminentes que enfrenta la infraestructura clave a medida que dependen cada vez más de los sistemas conectados y las posibles soluciones para protegerse contra los incidentes cibernéticos ".

Sadie Creese, profesora de seguridad cibernética, Departamento de Ciencias de la Computación de la Universidad de Oxford y coautora, agrega:“Necesitamos construir infraestructuras resistentes que garanticen la seguridad de la red de" cosas "conectada en constante expansión. Es evidente que existe una necesidad urgente de realizar más investigaciones para comprender y evidenciar el desempeño del control de riesgos; explorar modelos de responsabilidad, aspectos prácticos e implicaciones para los mercados de IoT; y desarrollar la cooperación internacional para generar confianza en la cadena de suministro de IIoT ”.