OT Risk Assessment

> Servicios para mejorar sus procesos > OT Risk Assessment

Asegurar su entorno OT

Ahora que la frecuencia de los ciberataques contra la Operational Technology (OT) va en aumento, asegurar el entorno OT de su organización es más importante que nunca. Los adversarios utilizan diversos métodos para infiltrarse en las redes y causar todo tipo de daños financieros: ya sea directamente, deteniendo o ralentizando la producción, o indirectamente, robando y vendiendo los secretos comerciales de su organización.

Para reducir las posibilidades de que se produzca un ciberataque, deben identificarse y aplicarse las posibles contramedidas. No aplicar estas contramedidas, o hacerlo de forma incorrecta, supone un riesgo para su organización.

Descubra más sobre OT Risk Assessment

¿Por qué realizar una Risk Assessment?
¿Por qué es necesaria una OT Risk Assessment a medida?
¿En qué consiste una OT Risk Assessment?
La metodología QAROT
Los resultados de una assessment

¿Por qué realizar una Risk Assessment?

Una evaluación de riesgos cibernéticos ayuda a determinar estructuralmente qué riesgos cibernéticos están presentes en su entorno. Sólo es posible comprender la eficacia de las contramedidas (existentes) tras identificar explícitamente estos riesgos. Esto, a su vez, permite razonar sobre nuevas contramedidas, si son necesarias, y su eficacia potencial.

Además, evaluar la gravedad de los riesgos identificados permite decidir y priorizar las contramedidas y tomar una decisión informada sobre si los costes de aplicarlas pesan más que las consecuencias potenciales. Además, la realización de una Risk Assessment creará una visión completa de los puntos fuertes y débiles de su organización. Esta visión de conjunto puede, a su vez, utilizarse para mejorar la preparación durante un ciberataque o prevenir uno abordando las debilidades identificadas.

¿Por qué es necesaria una OT-tailored risk assessment?

A diferencia de las TI, los riesgos en los entornos OT no sólo afectan a la confidencialidad, integridad y disponibilidad de los datos o procesos, sino que también pueden repercutir en la fiabilidad, el rendimiento y la seguridad de las instalaciones. Además, los diferentes tipos de Industrial Control Systems (ICS), como los PLC, los DCS y los sistemas SCADA, requieren una atención única, ya que son la columna vertebral de cualquier entorno OT. Para evaluar correctamente los riesgos y proponer contramedidas en estos entornos, deben tenerse en cuenta estas diferencias.

¿En qué consiste una OT Risk Assessment?

Bureau Veritas Cybersecurity utiliza su propia metodología de evaluación de riesgos basada en assets denominada "Quantitatively Assessing Risk in Operational Tecnología" (QAROT). Esta metodología cumple la norma IEC 62443-3-2 e incorpora los puntos fuertes de ATTandCK de MITRE para ICS e ISO 31010. La combinación de estas normas nos permite realizar evaluaciones de riesgos que van más allá del mero cumplimiento. Junto con nuestros clientes, definimos los niveles de seguridad objetivo requeridos por la norma IEC 62443-3-2, en los que basamos sistemáticamente los objetivos de assessment.

QAROT incorpora otras normas de la familia IEC 62443, como la -3-3 y la -4-2, para ofrecer un asesoramiento coherente y procesable basado en los requisitos de seguridad fundamentales que describen estas normas. Además, QAROT utiliza la base de datos de ciberataques de Tecnología Operativa (OTCAD) de Bureau Veritas Cybersecurity, de acceso público, a la hora de establecer la gravedad de los riesgos identificados.

La metodología QAROT

QAROT utiliza un enfoque descendente para identificar y evaluar los riesgos: deriva las contramedidas aplicables considerando todos los assets dentro de un entorno OT. Estas contramedidas se basan en ATTandCK para ICS y se combinan con IEC 62443-3-3 y -4-2 para evaluar objetivamente su aplicación y eficacia dentro del sistema considerado. Esta combinación permite a Bureau Veritas Cybersecurity identificar estructuralmente las posibles deficiencias y los riesgos que plantean.

La assessment comienza con la creación de un diagrama de zonas y conductos basado en los planos de la red y el inventario de assets de la organización. El contenido del diagrama se discute junto con el cliente durante un taller para garantizar que representa correctamente el entorno evaluado. En talleres consecutivos, determinamos junto con el cliente el impacto de los posibles objetivos de los adversarios y establecemos los niveles de seguridad alcanzados por las contramedidas basadas en activos y zonas/conductos existentes.

El resultado de una OT Risk Assessment

Para cada una de las deficiencias identificadas durante estos talleres, Bureau Veritas Cybersecurity proporcionará asesoramiento adaptado y procesable sobre cómo abordarlas. Mediante los cálculos patentados de QAROT, los riesgos identificados se puntúan y clasifican cuantitativamente, lo que ayuda en la comparación y priorización. Además, utilizando los requisitos fundamentales de la norma IEC 62443, se categorizan las mitigaciones suficientemente implementadas para que el cliente pueda ver rápidamente el cumplimiento dentro de las diferentes áreas de ciberseguridad. Entregamos estas visiones generales, los riesgos identificados, incluidas nuestras recomendaciones, y un plan de seguimiento en un informe que presentaremos en una reunión de cierre.

¿Está interesado en una OT Risk Assessment en su empresa?

¿Le gustaría saber más sobre la OT Risk Assessment de Bureau Veritas Cybersecurity? Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.

Nombre

Apellido

Empresa / Organización

Correo electrónico

Número de teléfono

¿En qué podemos ayudarle?

Doy mi consentimiento para que se procesen mis datos tal y como se describe en la Política de privacidad y acepto los Términos y condiciones.

Acepto que Bureau Veritas Cybersecurity utilice estos datos para proporcionarme información adicional sobre sus servicios, eventos o temas que puedan ser de mi interés.

Serie de normas IEC 62443

General

62443-1-1 Concepto y modelos

Define la terminología, los conceptos y los modelos de seguridad de los Sistemas de Control y Automatización Industrial (SIGC), que se utilizan en toda la serie. En particular, se definen los siete requisitos básicos (FR).

62443-1-2 Glosario principal de términos y abreviaturas

Incluye la definición de los términos y acrónimos utilizados en las normas IEC 62443.

62443-1-3 Métricas de conformidad de la seguridad del sistema

Este documento define las métricas de conformidad de ciberseguridad del sistema de alta prioridad para un sistema de automatización y control industrial.

Políticas y procedimientos

62443-2-1 Establecimiento de un programa de seguridad del SIGC

Especifica los requisitos del programa de seguridad del propietario de los assets para un SIGC y proporciona orientación sobre cómo desarrollar y hacer evolucionar el programa de seguridad. Los elementos de un programa de seguridad del SIGC descritos en esta norma definen las capacidades de seguridad requeridas que se aplican al funcionamiento seguro de un SIGC y están relacionados principalmente con las políticas, los procedimientos, las prácticas y el personal.

62443-2-2 IACS Niveles de protección

Especificó un marco y una metodología para la evaluación de la protección de un SIGC basados en la noción de nivel de seguridad (técnico) y en la madurez de los procesos conectados. El concepto de nivel de protección es una calificación de seguridad de la combinación de medidas técnicas y organizativas y define un indicador de la exhaustividad del programa de seguridad.

62443-2-3 Gestión de parches en el entorno SIGC

Define la gestión de parches en el entorno SIGC. En concreto, proporciona un formato definido para el intercambio de información sobre parches de seguridad de los propietarios de assets a los proveedores de productos.

62443-2-4 Requisitos para los proveedores de servicios SIGC

Especifica los requisitos de las capacidades de seguridad que los proveedores de servicios SIGC pueden ofrecer al propietario de los assets durante las actividades de integración y mantenimiento de una solución de automatización.

62443-2-5 Guía de implantación para propietarios de assets del SIGC

Proporcionar orientación a los propietarios de assets para la implantación de un Sistema de Gestión de la Seguridad Cibernética (CSMS) en un SIGC.

Sistema

62443-3-1 Tecnologías de seguridad para el SIGC

Proporciona una assessment actual de varias herramientas de ciberseguridad, contramedidas de mitigación y tecnologías que pueden aplicarse eficazmente a los SIGC modernos basados en la electrónica.

62443-3-2 Security Risk Assessment and system design (Evaluación de riesgos de seguridad y diseño de sistemas)

Establece los requisitos para las evaluaciones de riesgos y divide un SIGC en zonas y conductos. También incluye los requisitos para las evaluaciones de riesgos detalladas de cada zona y conducto, y para la asignación de objetivos de nivel de seguridad (SL-T) sobre amenazas y riesgos.

62443-3-3 Requisitos de seguridad del sistema y niveles de seguridad

Proporciona requisitos técnicos detallados del sistema de control (SR) asociados a los siete requisitos fundamentales (FR), incluida la definición de los requisitos para los niveles de seguridad de las capacidades del sistema de control.

Componentes

62443-4-1 Requisitos del ciclo de vida del desarrollo de productos seguros

Especifica los requisitos del proceso para el desarrollo seguro de los productos utilizados en los sistemas de automatización y control industrial. Define un ciclo de vida de desarrollo seguro con el fin de desarrollar y mantener productos seguros.

62443-4-2 Requisitos técnicos de seguridad para los componentes del SIGC

Especificó los requisitos técnicos de ciberseguridad de los componentes, como los dispositivos integrados, los componentes de red, los componentes host y las aplicaciones de software.

Servicios relacionados

Revisión de diseño

Descubra el Servicio de Revisión de diseño de Bureau Veritas Cybersecurity: identifique de forma proactiva las mejoras de seguridad en sus diseños de TI para evitar violaciones de datos y garantizar la alineación con las mejores prácticas.

Formación en Modelado de amenazas

In company training course or open to public

En la formación Modelado de amenazas, aprenderá a obtener una visión amplia de los riesgos potenciales utilizando la metodología STRIDE. Esto funciona tanto para los sistemas existentes como para los nuevos diseños.

Evaluación de vulnerabilidades / Penetration Testing (VAPT)

La evaluación de vulnerabilidades y las pruebas de penetración, o pentesting, son formas de descubrir puntos débiles en la seguridad de su sitio web, aplicación o infraestructura. Permita que los expertos en ciberseguridad de Bureau Veritas Cybersecurity le ayuden.

Servicios relacionados

Revisión de diseño

Formación en Modelado de amenazas

Evaluación de vulnerabilidades / Penetration Testing (VAPT)

¿Por qué elegir la ciberseguridad de Bureau Veritas?

Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.

Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.