INFOSEC

Por qué la seguridad de la información es esencial para la fabricación

READ MORE

Una amenaza continua y en crecimiento

Los ataques continuos de cibernautas suponen un mayor riesgo para todas las organizaciones manufactureras. Con la industria 4.0 y el crecimiento significativo del Internet industrial de las cosas (IIoT), los ciberataques se han convertido en casi un suceso diario.

No solo los pocos en salas oscuras o estados de país

Estos ataques no sólo afectan a la empresa de destino, sino a sus socios comerciales, proveedores y clientes.

En el mundo veloz de hoy en día, ya no es una cadena de suministro, todos nos encontramos en una red de suministro digital. La ciberseguridad y la seguridad de la información son utilizadas ya no solo para unas pocas personas en salas de servidores oscuras o estados de país, sino que ya cada vez está dirigido a un mercado mayor de personas.

Objetivos más blandos, pagos mayores

Hace años, cuando el gusano Stuxnet afectó al programa nuclear iraní, muchos comentan: “Por supuesto, los estados y los actores nacionales participaron en este tipo de actividad: esto es ciberataque”.

Los actores de cada país permanecen bastante activos con atención a los objetivos de alto valor y muy visibles.

Mientras tanto, la mayoría de las personas han ignorado las implicaciones más amplias de ataques a sistemas de control industrial, también conocidos como sistemas SCADA (Control supervisor y adquisición de datos), la médula de las operaciones industriales.

Los cibercristales usan las mismas herramientas y métodos que los estados de un país, pero se centran en objetivos más blandos para asegurar pagos mayores y más rápidos mediante la paralización de las demandas.

La fabricación es una “infraestructura esencial”

En muchos países, varias industrias se consideran tan vitales para la seguridad nacional que se hacen llamar “infraestructuras críticas”, lo que significa que habría un daño significativo para el país y la sociedad si estas industrias fueran tan beneficiosas.

La UE y EE. UU. Lo han identificado como parte de la infraestructura de vital importancia, siendo inherente de las cadenas de suministro digital y mundial del sector que supone una amenaza significativa para la seguridad.

El caso en EE. UU.

Aunque EE. UU. no tiene requisitos federales que cubran el sector manufacturero, varias regulaciones abordan la obligación de una organización de garantizar la ciberseguridad y la resiliencia de la seguridad de la información.

Como resultado de varios ataques sobre infraestructuras de vital importancia en 2021, la Agencia de ciberseguridad e infraestructuras de EE. UU. (CISA) emitió una Alerta (AA21-287A) de advertencia sobre las amenazas cibernéticas para el agua y las aguas residuales.
En 2021, hubo tres casos en California, Maine y Experimental, donde la infraestructura de vital importancia fue el objetivo de ataques significativos.

Técnicas comunes de infiltración

Como se destaca en las alertas, en algunos casos, el punto de entrada de un ataque es una campaña de “lancetamiento” destinada a asegurar que un empleado abra un correo electrónico con un cargamento que in infecte no solo el portátil/PC del usuario, sino la red más amplia de dispositivos conectados. En otros casos, el ataque es a través de los servicios en la nube que utilizan la mayoría de las empresas fabricantes.

Centro de atención en sus equipo

Piense en todo el software como un servicio (Vistazos) que utiliza su organización. Son objetivos para este tipo de ciberataques. Por ejemplo, el sistema de calibración de su organización puede que no se alojará en sus servidores, pero está en un servidor en el centro de datos que el proveedor de software de calibración no controla incluso. En el caso de la solución de calibración, pueden estar involucrados cuatro, cinco o más (sub)proveedores, y probablemente en diferentes ubicaciones.

Garantizar cadenas de suministro resistentes y resistentes a la resistencia

En realidad, todos ellos forman parte de su cadena de suministro. La “seguridad de la cadena de suministro” no es solamente una frase básica, es imprescindible, y aunque pueda pensar que se refiere a los desafíos de obtener componentes de los proveedores, se incluye garantizar que su cadena de suministros mundial es resistente y resistente a los ciberataques, para proteger su información, sus partes interesadas y, en última instancia, su organización.

Estas son algunas áreas relacionadas con la seguridad de la información que cada empresa debe tener en cuenta:

  • ¿Cómo está protegida su propiedad intelectual y la de sus clientes y otros socios comerciales?
  • ¿Qué ocurriría si se manipulan los datos/información bajo su control (por ejemplo, se modifican las especificaciones técnicas, como las cantidades de los pedidos)?
  • ¿Qué ocurriría con la seguridad de sus empleados si los sistemas de protección (p. ej. cortinas ligeras) alrededor de sus máquinas automáticas están discapacitados?
  • ¿Qué ocurriría si programa los productos para sus clientes con firmware incorrecto (manipulado)?
  • ¿Cuánto de un objetivo potencial (o punto de entrada a un objetivo, por ejemplo, sus clientes) es de un estado nacional?
  • ¿Qué ocurriría si su cadena de suministros es ciberculinaria? ¿Cuánto tiempo puede su organización sobrevivir sin componentes o partes críticas?

 

La mayoría de las empresas fabricantes confían en una cadena de suministros mundial (o incluso, una red de suministros) sin embargo, los riesgos de la cadena de suministros suelen ser “olvidados” u “ignorados”. Si alguno de los proveedores se ve afectado por un ciberataque, toda la base de clientes del mercado se verá afectada.

Ciberseguridad en todas las cadenas de suministros

Tradicionalmente, la evaluación de proveedores se centra en aspectos financieros y de calidad; en los últimos años, más industrias reconocen la importancia de la ciberseguridad a lo largo de la cadena de suministro. Por ejemplo, el Departamento de defensa de EE. UU. (DoD) inició el programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para garantizar que todos los proveedores de la base industrial de defensa tengan en su sitio un sistema de higiene de información sólida.

Como otro ejemplo, durante varios años, los fabricantes alemanes de automóviles han exigido a sus proveedores que se evaluara el Intercambio de evaluación de la seguridad de la información fiable (TISAX®).

Tanto CMMC como TISAX® exija a las organizaciones que garanticen que protegen la información de sus clientes a niveles específicos. Aunque ambos se centran en un sector industrial específico, tienen un efecto deseado. CMMC y TISAX® (y muchos otros marcos de seguridad de la información específicos del sector) pueden asignarse fácilmente a la norma ISO/IEC 27001.

Entonces, ¿cuál es la solución?

No hay una solución única que se adapte a un tamaño, y mucho menos una viñeta de plata, las empresas deben hacer más para protegerse a sí mismas y a sus socios comerciales. El tiempo en el que las empresas pueden jugar a la víctima y culpar a los agentes malos se ha terminado. Nadie acepta estas usted las antes posibles.

En caso de incidentes de ciberseguridad o incumplimientos de información identificable personalmente (PII), pueden obtenerse penalizaciones rígidas. Según el Reglamento general de protección de datos (GDPR) de la UE, estas penalizaciones pueden ser del 4 % de los ingresos mundiales anuales de la organización. En EE. UU., la inocuidad de la Ley de privacidad del consumidor de California puede costar a una organización de hasta 7.500 USD por registro expuesto. Dado que este tipo de filtraciones tiene una media de 25.000 registros filtrados, que pueden añadir más de 187 millones de USD, más y más organizaciones se dan cuenta de que sus respectivos infraestructura necesita protección, a medida que son cada vez más vulnerables a los ciberataques.

Pero ¿cuáles son estas protecciones y cómo puede una organización instituirlos? La seguridad debe revisarse y gestionarse según un paisaje de amenazas en constante cambio. Esto requiere una comprensión del entorno y el contexto en el que opera la organización, seguida de una evaluación de riesgos actualizada regularmente. Estos dos pasos cruciales son también los requisitos básicos de un sistema de gestión basado en la norma ISO/IEC 27001, la norma reconocida internacionalmente para un sistema de gestión de la seguridad de la información (ISMS).

Para ser pertinentes, las normas ISO se revisan y revisan regularmente para tratar los desarrollos de la industria. Por ejemplo, la norma ISO/IEC 27002 aborda ahora problemas que se encuentran a menudo en la fabricación y otros sectores, como el “data masking”, “seguridad de la información para el uso de servicios en la nube” y “filtrado web”.

La importancia de la norma ISO/IEC 27001

La norma ISO/IEC 27001 ha sido adoptada por decenas de miles de organizaciones para garantizar que implementan y siguen las buenas prácticas reconocidas en todo el mundo y establecen un sistema de administración sólido. Hay múltiples motivos por los que tantas organizaciones han adoptado y ganado una certificación formal de ISO/IEC 27001:

  • La norma se ha redactado para que se aplique a todas las organizaciones; no hay requisitos específicos de tamaño o industria.
  • La norma es tecnológica, no importa cuál sea el entorno de tecnología que tenga.
  • Debido a que se trata de una norma de sistemas de gestión, se alinea bien con otras normas reconocidas a nivel mundial como la ISO/IEC 27701 (gestión de la privacidad), ISO 22301 (continuidad del negocio), ISO 9001 (calidad), ISO 14001 (medioambiental) e ISO 45001 (salud laboral). Esta alineación permite a las empresas implementar los requisitos de varias de estas normas dentro de su organización con el mínimo esfuerzo, al tiempo que se beneficia de los efectos adversos. También existe un vínculo muy sólido entre varias de estas normas, por ejemplo, ISO/IEC 27002, que tiene controles específicos que abordan la “preparación de ICT para la continuidad del negocio”, lo que lo vincula con ISO 22301.
  • La certificación de terceros, externa e independiente garantiza a las partes interesadas que la organización ha implementado un ISMS sólido.
¿Cómo podemos ayudarle?

Mientras que algunas organizaciones utilizan la norma ISO/IEC 27001 como “directriz” para ver el aspecto de las mejores prácticas e implementar las mejores prácticas, los beneficios reales de la norma proceden del hecho de que puede usarse (y se suele usar) para la base para la certificación formal.

A la vez que es posible implementar un sistema de gestión sin obtener una certificación formal, esto falla en el punto de demostrar a partes externas (clientes, accionistas, proveedores y reguladores, etc.) que la organización se toma muy en serio la seguridad de la información y la resiliencia de la información.

En muchos sectores, la certificación formal del ISMS de una organización es un requisito contractual y, aunque este no sea un requisito hoy en día, podría ser en el futuro. Ya sea un requisito ahora o en el futuro, la certificación formal garantiza a sus socios comerciales y aumenta el grado de confianza de la organización, lo cual es especialmente importante al tratar con socios comerciales internacionales.

Fabrique mejores infoSec y proteja su información esencial. Aprenda más Aquí.

PARA OBTENER MÁS INFORMACIÓN, PÓNGASE EN CONTACTO CON NOSOTROS.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up