Un pequeño fabricante resuelve el rompecabezas de la ciberseguridad

Este artículo apareció originalmente en Industry Week. Entrada de blog invitado por David Boulay, presidente de IMEC, una asociación público-privada, comprometida con impulsar el crecimiento a través de la excelencia empresarial que forma parte de la Red Nacional MEP ^TM .

Cómo la Manufacturing Extension Partnership en Illinois ayudó a Atlas Tool Works a cumplir con las pautas del Departamento de Defensa.

Atlas Tool Works es una pequeña empresa familiar que ofrece mecanizado y torneado especializado de piezas de tolerancia estrecha, fabricación de chapa de precisión, estampado de metal y conjuntos de ingeniería complejos. Tiene 72 empleados y una larga trayectoria de compromiso con la calidad y la mejora continua.

Los líderes de Atlas sabían que necesitaban mejorar su ciberseguridad. La empresa, que forma parte de la cadena de suministro del Departamento de Defensa de los EE. UU., Debía cumplir con los estándares mínimos de seguridad del Suplemento de la Regulación de Adquisiciones Federales de Defensa (DFARS) o se arriesgaba a perder sus contratos con el Departamento de Defensa. Los líderes también se dieron cuenta de que mejorar la ciberseguridad general de la empresa protegería la confidencialidad, integridad y disponibilidad de la información.

Comprensión de los requisitos

Al carecer de personal de tecnología de la información a tiempo completo, Atlas Tool Works necesitaba apoyo para descifrar las pautas, realizar una evaluación, identificar brechas y ejecutar las mejoras antes de la fecha límite de cumplimiento del 31 de diciembre de 2017.

Atlas se puso en contacto con el Centro de Excelencia en Fabricación de Illinois (IMEC), su representante local de la Asociación de Extensión de Fabricación (MEP), para obtener ayuda.

Utilizando el Manual de autoevaluación de ciberseguridad del NIST como guía, los miembros del equipo de IMEC trabajaron con Atlas para descifrar y desglosar los requisitos de seguridad en pasos comprensibles.

“Los [requisitos de seguridad] eran ambiguos en cuanto a cómo se aplicaban a nosotros específicamente”, dijo Zach Mottl, director de alineación de Atlas. "Parecía abierto, así que no estábamos seguros de por dónde empezar".

Junto con Atlas y su proveedor de TI contratado, IMEC determinó que Atlas solo cumplía en un 40 por ciento con las pautas de seguridad cibernética. Luego se propusieron elaborar un plan de mejora (para la configuración de la red, las políticas y los procedimientos, los requisitos del sistema de TI, las reglas y la capacitación de la fuerza laboral) y un cronograma de implementación para garantizar el cumplimiento total antes de la fecha límite.

“Pasar por este proceso fue excelente para nuestra organización”, dijo Mottl. “Se trata de desarrollar buenos hábitos. En la fabricación hay muchos procedimientos establecidos como ISO [Organización Internacional de Normalización] para las operaciones de fabricación, pero te olvidas de los procesos relacionados con los sistemas de información.

“Los requisitos de ciberseguridad tienen que ver con la gestión de riesgos, la protección de datos, no permitir la entrada de intrusiones y notificar a las personas adecuadas cuando suceden cosas. Como pequeña empresa, a menudo creamos soluciones para simplificar nuestro trabajo y, en particular, con las prácticas administrativas. Pero con el cumplimiento de DFARS, eso es inaceptable y ahora entendemos lo esencial que es para la seguridad de nuestra empresa ".

Atlas ejecutó el plan de implementación y ahora cumple con los requisitos. Los cambios clave como resultado de la evaluación incluyeron bloqueos de sala de servidores con protección con contraseña, cambios de configuración en el servidor y enrutador para rastrear quién estaba accediendo a los archivos y la creación de un registro en el servidor para registros forenses. La compañía también actualizó su hardware y software, agregó un cifrado de correo electrónico más estricto y ofreció capacitación a la fuerza laboral para comprender el nuevo idioma y las precauciones de seguridad.

Mottl agregó:“Abordar los requisitos de cumplimiento de DFARS fue importante para que nos convirtiéramos en una organización más sólida y segura. Sé que todas las empresas se beneficiarían de la evaluación, no solo los contratistas de defensa ”.

Resultados

• Aumento del cumplimiento de la ciberseguridad desde la evaluación inicial del 40 por ciento al 100 por ciento de cumplimiento en seis meses
• Cumplimiento total de los requisitos de seguridad cibernética de DFARS
• Mayor conciencia y participación del personal en los programas de seguridad de la información y los informes.

David Boulay es presidente de IMEC, una asociación público-privada comprometida con impulsar el crecimiento a través de la excelencia empresarial.

IMEC es el representante oficial de la Red Nacional MEP en Illinois. La Red Nacional MEP es una asociación público-privada única que ayuda a los pequeños y medianos fabricantes a generar resultados comerciales y prosperar en la economía impulsada por la tecnología actual. La Red Nacional MEP comprende la Asociación de Extensión de Manufactura del Instituto Nacional de Estándares y Tecnología (NIST MEP), los 51 Centros MEP ubicados en los 50 estados y Puerto Rico.