Según los últimos informes publicados por diferentes fabricantes de soluciones y por distintas consultoras de seguridad cibernética, el crecimiento de los incidentes de ciberseguridad industrial durante 2020 y 2021 ha sido realmente aterrador.
Muchos atribuyen esto a asuntos como la pandemia, el boom del teletrabajo, la transformación digital, la cuarta revolución industrial, la guerra entre Rusia y Ucrania y un sinfín más de situaciones. A partir de aquí, podemos optar por el camino del lamento y del miedo o por el camino de mirar qué implica superar los obstáculos a pasos firmes.
Variables a considerar
Indiscutiblemente, nuestra industria está en un proceso de transformación. Y seguirá en él por muchos años más. Un proceso que, según estamos acostumbrados en el sector, a veces se ve interrumpido por variables externas y ajenas a nuestro control. Por ello, tendremos que monitorearlas, aprender sobre ellas y reajustar nuestro proceso tal como haríamos en un proyecto que quiere salir de un banco de pruebas para convertirse en parte de un proceso real.
En nuestro proyecto de ciberseguridad industrial, en nuestro plan anual, tenemos variables que conocemos: cantidad de personal, análisis de nuestras debilidades y falencias, lista de proyectos que queremos ejecutar en el año para corregirlas, presupuesto asignado por poco o mucho que sea, lista de proveedores que pueden ayudarnos, etc.
Y, por supuesto, tenemos variables que sabemos que existen pero no controlamos: economía global, cumplimiento de KPI comerciales de la organización, situaciones de política nacional e internacional, etc.
Pero la variable que suele dar giros inesperados a nuestros proyectos en las empresas no es esa. Por lo general, suele ser la variable que responde a una pregunta: ¿Hemos sufrido un ataque durante este año?
Incidente de seguridad
Es un factor común, al hablar con los responsables de ciberseguridad de las organizaciones afectadas por un incidente, el cambio de dirección que toma todo. No solo aumenta el presupuesto, sino también el nivel de involucramiento de las áreas directivas, operativas, legales y de comunicaciones. No importa si la empresa estaba ejecutando un plan o si aún no había comenzado a trabajar sobre él. Un incidente es esa variable que nos obliga a cambiar todos los planes del resto del año, y no solo los del tiempo que dure el incidente.
Aquellos que nos ha tocado estar, o incluso asesorar, durante un incidente de ciberseguridad en alguna organización, sabemos que incluso los sentimientos personales que se viven van mutando como las fases del propio incidente. Cuando se descubre, todo es desesperación y dudas. Pero a medida que se va entendiendo la dinámica del incidente y se va llegando a la resolución, sentimos alivio. Y también la sensación de haber aprendido algo nuevo sobre nuestra organización que debemos mejorar a fin de evitar nuevos casos.
Sin embargo, también sucede algo interesante pasado el miedo de perder el puesto de trabajo o que algún compañero sufra esa consecuencia. Y es esa sensación de que la variable que apareció puede ayudarnos a acelerar la transformación y concienciación dentro de nuestra empresa porque ahora nos prestarán más atención. Es curioso, pero así funciona en IT. Y aunque quizás ya menos, también en las empresas más grandes.
Para ayudar a las organizaciones, el CCI ha desarrollado la plataforma ESCIM (Escenarios de Incidentes de Ciberseguridad Industrial)
Banco de pruebas
En un banco de pruebas suponemos variables de entorno. Y a veces decidimos fijarlas para poder estudiar y avanzar sobre nuestro proyecto. Pero otras veces decidimos moverlas para ver qué pasaría, para entender y anticipar.
Si lo miramos desde esa óptica, quizás en nuestro banco de pruebas, donde tenemos nuestro plan de ciberseguridad industrial listo para ser estudiado, ajustado y definido, es hora de no dejar más nuestra variable de entorno como una constante fija, suponiendo que no sufriremos un ataque. Y podríamos empezar a plantear escenarios donde nuestro año de trabajo se vea interrumpido por distintos tipos de incidentes, en diferentes momentos, con diferente intensidad, de diferentes tipos, e incluso con más de uno a la vez, para ver cómo se comporta nuestro plan en esas circunstancias.
Las simulaciones de escenarios no son solo una herramienta para evaluar si los controles implementados están bien definidos y configurados. También son una herramienta estratégica para:
- Conocer realmente los procesos desde el inicio hasta su fin. Por ejemplo, al entrar un malware en la organización, cómo un usuario se da cuenta, si sabe a quién debe llamar, a dónde, cuándo y de qué depende…
- Si las personas que reciben el llamado del usuario saben qué hacer, a quién escalar, en qué momento o qué medidas deben tomar. Definir la interacción entre áreas usuarias y de soporte durante un incidente, incluyendo el seguimiento y el feedback a quien reportó.
- Entender cuándo se debe escalar un incidente según las variables que presente el mismo. Y por sobre todas las cosas, a qué otras áreas deben involucrar y en qué momento. Por ejemplo, a Comunicaciones Institucionales, a Legales, a otras autoridades u organismos públicos, etc.
- Conocer si las áreas no técnicas están preparadas para recibir ese escalamiento y si tienen protocolos de actuación acordes al tipo de incidente analizado y a los medios de comunicación rápidos y ágiles que requieren tiempos de respuesta muy breves.
- A reenfocar las campañas de concienciación para los usuarios, los cursos de formación profesional para el personal que debe atenderlos y para los que deben atender los procesos de escalamiento.
Existen muchas formas de trabajar sobre las simulaciones de escenarios. A los que somos técnicos se nos ocurren pruebas de Red Team ejecutando acciones sobre nuestros sistemas y viendo cómo reacciona cada uno de los componentes y de las personas involucradas. Claro que este es un camino muy válido, pero quizás es para una organización que ya tiene cierto nivel de madurez en sus pruebas.
Plataforma de ciberseguridad industrial
Es importante tener en cuenta que las pruebas técnicas no son las únicas. También existen las simulaciones de mesa o tabletop, que preparan a los empleados de la organización a pensar y a enfrentar situaciones críticas o de emergencias que alteran la dinámica de la organización, pero a un costo menor que el de las pruebas técnicas. Y pueden ser llevadas a cabo tanto a partir de una planilla con un checklist y una presentación como desde una herramienta, como la plataforma ESCIM (Escenarios de Incidentes de Ciberseguridad Industrial) desarrollada por el CCI.
En materia de ciberseguridad industrial, todo ejercicio de simulación trae grandes beneficios a una organización. Desde la práctica y mejora del pensamiento crítico hasta establecer canales más ágiles de comunicación entre los responsables de las distintas áreas, mejorando el ecosistema dentro de la propia organización.