La seguridad de los sistemas industriales (OT o ICS) está en los titulares. La conciencia de su importancia es mayor que nunca. Sin embargo, todavía vemos que las organizaciones se quedan atascadas cuando intentan avanzar con sus inversiones en OT en cuanto a personas, procesos y tecnología. A menudo, los obstáculos a los que se enfrentan son realmente conceptos erróneos sobre lo que deberían hacer. Hay cuatro mitos comunes que atrapan a las organizaciones en la inacción.
Mito 1: Necesitamos un inventario de activos antes de poder hacer algo en materia de seguridad OT.
La intención detrás de esto no es del todo mala. Sus defensores dirán que «no se puede proteger lo que no se ve», con lo que es difícil no estar de acuerdo. El problema viene cuando la dependencia artificial se crea de manera que impide el avance de cualquier otra iniciativa de desarrollo de programas o de seguridad. En nuestra experiencia, muy pocas organizaciones e industrias están dispuestas a hacer la inversión necesaria para un inventario de activos de OT 100% completo. Por lo tanto, tome lo que tiene, haga inversiones para mejorar, adopte el aprendizaje continuo y haga avanzar el inventario de activos en paralelo con otros esfuerzos.
Mito 2: Necesitamos que todas nuestras unidades de negocio de OT implementen tecnologías específicas.
Demasiadas organizaciones se quedan colgadas de una dependencia técnica, como una arquitectura específica, una herramienta de visibilidad, un cortafuegos, una futura actualización del sistema operativo o incluso un simple sistema de tickets. La realidad es que las industrias y la OT crecieron de forma inorgánica o incluso en un periodo largo de tiempo. Si se espera a la alineación planetaria, especialmente en organizaciones grandes y complejas, es probable que se cree una dependencia artificial. Prepárese para aceptar la diversidad y heterogeneidad de la tecnología mientras realiza las mejoras.
Mito 3: Necesitamos una visibilidad total de la red y de la seguridad en nuestros sistemas de OT antes de poder avanzar.
Aunque ciertamente abogamos por la mayor visibilidad posible, esto también puede ser un obstáculo para algunas organizaciones. Toda planta, central o faena sabe que priorizar, qué incluir y qué excluir, y no retrasar el despliegue de los entornos prioritarios y la construcción de un programa general de seguridad OT.
Mito 4: No tenemos control ni influencia sobre los sistemas de OT.
No hay influencia organizativa. Operaciones y producción gobiernan el proceso de toma de decisiones. Nuestros proveedores no nos escuchan. No tenemos capital político. Esos sistemas están aislados. Estas son algunas de las razones que hemos escuchado para no avanzar. Muchas organizaciones de CISO saben que, tarde o temprano, tendrán que rendir cuentas sobre la seguridad OT. Así es que empiece a construir esas relaciones, a entender cómo funcionan operaciones y producción, a comprometerse con los proveedores y los procesos de ingeniería, y asegúrese de que entiende cómo están conectados sus sistemas OT. De esta forma ser parte de la mejora de los ambientes OT, que entiende las necesidades propias de esos ambientes y no solo un ente normativo.
La seguridad OT es un viaje complejo y cada vez más ayudamos a nuestros clientes a navegar por la priorización de las inversiones: entendemos que no se puede hacer todo a la vez y que hay que tomar decisiones empresariales en el camino. Sólo hay que asegurarse de que, al tomar estas decisiones, no se quede atrapado en ninguno de los mitos mencionados.
