Ciberseguridad industrial para pequeñas y medianas empresas (documento técnico)

Documento técnico y resumen ejecutivo proporcionado por ISA, un socio de capacitación en tecnología y fuerza laboral de IMEC.

La gestión eficaz de la ciberseguridad es esencial para todas las organizaciones, independientemente de Talla. Hay muchos estándares y documentos de orientación disponibles para ayudar a las organizaciones a determinar el camino a seguir.

El documento técnico de la ISA “Ciberseguridad industrial para pequeñas y medianas empresas” está destinado a proporcionar un punto de partida para las pymes, en particular aquellas que gestionan procesos industriales y emplean algún nivel de automatización. Los ejemplos específicos incluyen PYMES en los sectores de tratamiento químico, de agua o de aguas residuales.

Si bien se acepta generalmente que la seguridad del sistema de tecnología operativa (OT) requiere medidas diferentes o adicionales que la seguridad del sistema de tecnología de la información (TI) de propósito general, también es cierto que las empresas más pequeñas pueden tener dificultades para implementar gran parte de la orientación disponible.

Los estándares y prácticas a menudo se basan en el supuesto de que los recursos de ingeniería y operaciones están disponibles para definir, implementar y monitorear la tecnología, los procesos comerciales y los controles asociados. Por desgracia, este no suele ser el caso. Por lo general, las operaciones más pequeñas no cuentan con personal para incluir dichos roles. Es más común tener roles de personal ampliamente definidos, con el soporte y el funcionamiento de los sistemas de TI como solo una parte de las responsabilidades de un individuo. Es posible que las empresas más pequeñas ni siquiera sean plenamente conscientes de los riesgos que enfrentan o que pueden contratar servicios relacionados con la ciberseguridad. Esta guía tiene como objetivo identificar los controles esenciales que deben establecerse.

Las pymes deben comprender su riesgo de ciberseguridad y tomar medidas para reducir este riesgo, al igual que lo hacen con otros riesgos comerciales. La ausencia de incidentes previos, o la creencia de que la organización no es un objetivo probable, no es justificación suficiente para ignorar este problema.

Las pymes pueden estar en riesgo de una amplia variedad de amenazas, incluidos piratas informáticos aficionados y profesionales, activistas ambientales, empleados o contratistas descontentos e incluso estados nacionales o terroristas. Además, muchos incidentes de ciberseguridad son el resultado de accidentes o acciones no intencionales. Una empresa no tiene que ser un objetivo específico para verse afectada.

Las consecuencias para una PYME pueden variar enormemente según la naturaleza de las operaciones y las vulnerabilidades de cada una. Es esencial que se reconozcan las vulnerabilidades subyacentes y que se mitiguen para minimizar la probabilidad de eventos potencialmente graves.

El documento técnico proporciona una guía basada en marcos y estándares bien establecidos. Debería hacerse más referencia a estos marcos y estándares, centrándose en las recomendaciones del documento.

La gestión de la ciberseguridad no es una actividad única. Al igual que la gestión de la calidad y la seguridad, la gestión de la ciberseguridad es una actividad continua en la que se debe realizar una mejora continua para gestionar los riesgos.

DESCARGAR EL DOCUMENTO TÉCNICO

Obtenga más información sobre recursos adicionales de ciberseguridad a través de los siguientes artículos:

Ciberseguridad:es solo una pieza de un sistema integral de seguridad de la información

Capacidades para combatir ciberataques industriales

Este documento técnico y resumen ejecutivo fueron publicados originalmente por la Sociedad Internacional de Automatización (ISA), un socio estratégico de IMEC. Obtenga más información en www.isa.org.