Ponemon 2021 Estado de la ciberseguridad industrial

Incidentes de seguridad

Según esta investigación , el 63% de los encuestados indicaron que su organización había sufrido al menos un incidente de ciberseguridad OT/ICS en los últimos dos años. Al mismo tiempo, los investigadores señalaron que tanto la frecuencia como la gravedad de los ciberataques están aumentando. El coste medio de un incidente de este tipo es de unos 3 millones de dólares. Este cálculo incluye el tiempo de inactividad, la sustitución de equipos, las multas y los costes laborales del personal de seguridad de TI y OT.

Esta investigación también descubrió algunas estadísticas adicionales. Por ejemplo, el tiempo medio de detección de un incidente es de 170 días. Tras la detección, la gravedad y el impacto deben ser analizados por expertos en seguridad, y esto lleva de media otros 66 días. Por último, se tarda 80 días en remediar el incidente de ciberseguridad, lo que hace un total de 316 días desde la detección inicial hasta la remediación. Esto aún excluye cualquier actividad adicional posterior al incidente o pasos adicionales de preparación para prevenir incidentes similares en el futuro.

Uno de los ciberataques más frecuentes y devastadores es el Ransomware. El estudio indica que el 29% de los participantes declaró que su organización tuvo que hacer frente a un ataque de este tipo. En la mitad de estos casos, el rescate pagado superó los 500.000 dólares.

Madurez de la seguridad

Sólo el 21% de los participantes informó de que la seguridad de su programa de ciberseguridad OT/ICS había alcanzado la madurez total, mientras que alrededor del 50% se encuentra todavía en una fase temprana o media. Esto significa que muchas actividades del programa de seguridad aún no se han planificado o desplegado y que la organización podría no tener el control de su riesgo de ciber seguridad. En una organización madura, la eficiencia y eficacia de su programa de ciberseguridad se mide continuamente y, junto con los riesgos actuales de ciberseguridad, se comunica a la alta dirección. Al mismo tiempo, la dirección proporciona el presupuesto y los recursos suficientes para mantener el programa en funcionamiento y reducir el riesgo cibernético a un nivel aceptable.

Conclusiones y recomendaciones

Una de las principales recomendaciones es superar las diferencias culturales y técnicas entre los equipos de TI y OT. Un resultado notable que explica los bloqueos actuales para invertir en seguridad OT/ICS lo ilustra de forma simpática porque las dos conclusiones principales parecen una contradicción. Una afirma que la seguridad OT es gestionada por el departamento de ingeniería, que no tiene conocimientos de seguridad, mientras que la otra afirma que la seguridad OT es gestionada por el departamento de TI, que carece de conocimientos de ingeniería.

Una organización debería tener una estrategia de seguridad unificada, pero al mismo tiempo debe comprender que la OT/ICS requiere un enfoque diferente. Se requiere un equipo combinado que también debe informar a la dirección de alto nivel sobre el estado del programa de seguridad y el riesgo cibernético de las organizaciones.

La organización debe asegurarse de que hay suficientes recursos y presupuesto asignados para ejecutar y mejorar la ciberseguridad. Esto comienza con un inventario detallado de todos los dispositivos ICS conectados a lo largo de todo su ciclo de vida. Una segunda recomendación aquí es desarrollar, mantener y probar un plan de respuesta a incidentes cibernéticos.

OT Roadmap de ciberseguridad

La implementación y mejora continua de cualquier programa de ciberseguridad lleva su tiempo. Es importante empezar a mapear las prioridades empresariales más altas a los procesos OT y finalmente a los assets ICS para determinar los controles adecuados y su prioridad. Para determinar esta prioridad deben utilizarse escenarios impulsados por las amenazas como impulsados por las consecuencias. Los escenarios impulsados por amenazas se razonan desde la perspectiva de un atacante y mapean las posibles amenazas a una organización que podrían basarse en informes de Inteligencia sobre amenazas o en ejercicios de modelado de amenazas. Los escenarios impulsados por las consecuencias se basan en el peor impacto posible que una organización quiere prevenir. Ambos conducirán a un inventario de los controles existentes, inadecuados o ausentes que son necesarios para mitigar todos estos escenarios. Ahora es el momento de crear un roadmap, planificar la mejora continua y empezar a mitigar las prioridades más altas.

Todo comienza con una buena comprensión de la postura actual en materia de ciberseguridad y sus debilidades potenciales. Esto también se refleja en el 60% de los participantes en este estudio, que afirmaron que su máxima prioridad en 2021 es mejorarla mediante la realización de evaluaciones de deficiencias, riesgos o vulnerabilidades específicas de OT/ICS.

Cartera de ciberseguridad de Bureau Veritas Cybersecurity

En conjunto, estas recomendaciones encajan perfectamente en nuestra cartera de ciberseguridad, concretamente en la primera categoría "Audit and risk assessment".

Bureau Veritas Cybersecurity proporciona una variedad de servicios específicos de assessment OT/ICS y tiene esta experiencia en múltiples mercados industriales (críticos), por ejemplo petróleo y gas, energía y aguas (residuales). Con un análisis de deficiencias identificamos el estado actual de los controles de seguridad según la norma IEC 62443-3-3. Con una OT Risk Assessment, utilizamos un enfoque basado en las consecuencias para cuantificar los mayores riesgos de ciberseguridad para un entorno OT. Para un enfoque impulsado por las amenazas, podemos ofrecer ejercicios de modelado de amenazas OT . Por último, ofrecemos evaluaciones de madurez en seguridad basadas en ISO27000 e IEC 62443-2-1 para evaluar el nivel de madurez de la empresa utilizando un enfoque holístico que abarca Personas, procesos, y tecnología tanto en TI como en OT.

Una parte importante de todo programa de seguridad es probar si todos los controles y procesos de mitigación diseñados funcionan en la práctica. Aquí podemos ofrecer uno de nuestros servicios más valorados, las pruebas de vulnerabilidad y penetración. Somos plenamente conscientes de las consideraciones específicas que se aplican a los sistemas OT y tenemos la experiencia necesaria para planificar y realizar estas pruebas de forma segura y saber lo que podemos o no podemos hacer. Por supuesto, siempre en estrecha colaboración con el propietario de los assets. Lo mismo puede decirse de nuestros ejercicios Red Teaming, en los que incluso vamos un paso más allá y simulamos un ciberataque a gran escala, poniendo a prueba no sólo los controles técnicos de seguridad, sino también las capacidades de detección y respuesta de la organización.

Todas las assessments tienen su lugar en el roadmap y son útiles para las empresas que se encuentran en una fase diferente de su programa de ciberseguridad. Se trata también de un bucle de mejora continua, en el que la tecnología y las ciberamenazas cambian constantemente. Estaremos encantados de invitarle a una reunión de admisión, junto con nuestro equipo de ventas y consultores de seguridad, para que podamos determinar juntos el mejor enfoque.

Tenga en cuenta que nuestra completa cartera de servicios de ciberseguridad también incluye formación y certificación en seguridad. Para más información sobre estos temas, consulte nuestra página sobre el mercado industrial.