TECH TIPS

EVALUACIONES DE CIBERSEGURIDAD:
CÓMO LOGRAR LA POSICIÓN DE SEGURIDAD IDEAL

Por: Dave Mayer, Product Manager – Rockwell Automation

En el viaje para convertirse en una organización más segura, cada empresa tiene una experiencia única. Los aspectos que tienen un impacto en el perfil de seguridad ideal son el riesgo operativo, los flujos de trabajo operativos únicos, las políticas, los procedimientos, la tolerancia ante riesgos, entre otros.

Desafortunadamente, es imposible librarse de absolutamente todos los riesgos. La meta debería ser establecer un nivel tolerable de riesgos según sus entornos operativos únicos. 

El camino para mejorar el nivel o la posición de seguridad industrial puede resultar desafiante, y por muchas buenas razones. 

Con muchas metodologías diferentes, estándares industriales y tecnologías disponibles en el mercado, puede que el camino sea un poco impreciso.

Puede preguntarse: “¿Por dónde empiezo?” Una manera de comenzar este viaje es con la implementación de evaluaciones de seguridad. En su forma más simple, una evaluación de seguridad es el análisis estructurado de la posición de seguridad de un sistema u organización. 

Cuando se llevan a cabo de manera correcta, las evaluaciones pueden ser un método muy eficaz para analizar su posición actual de seguridad, identificar las brechas entre su estado actual y el estado ideal que desea alcanzar, y delimitar medidas claras para lograr su posición de seguridad ideal.

TIPOS DE EVALUACIONES

La frase “evaluación de seguridad” puede significar muchas cosas, por lo que es importante que la evaluación esté enfocada y diseñada alrededor del propósito de la iniciativa. Las evaluaciones más frecuentes pueden generar distintos resultados que impactan sobre las medidas que tome en su programa de seguridad.

1. Evaluación de la vulnerabilidad:

Identifica las vulnerabilidades que existen en un entorno con el objetivo de implementar un plan de acción para solucionarlas.

2. Análisis de brechas:

Identifica la brecha entre la posición existente de seguridad de una organización y el estado ideal que la empresa desea alcanzar con su posición de seguridad. En general, los análisis de brechas se realizan en conformidad con un estándar corporativo o industrial, y tienen el objetivo de establecer de manera precisa las medidas que se deben tomar para alcanzar la posición de seguridad ideal deseada.

3. Evaluación de riesgos:

Brinda una perspectiva más integral de la posición de seguridad de una organización. Una evaluación de riesgos combina elementos de la evaluación de la vulnerabilidad y el análisis de brechas para identificar y analizar los riesgos ya conocidos según la tolerancia ante riesgos de la organización y su posición de seguridad ideal.

4. Auditoría de la seguridad:

Este servicio de evaluación analiza la posición y las prácticas de seguridad de una organización según ciertos estándares del sector o entidades reguladoras, generalmente para garantizar la conformidad con estándares como NERC-CIP, entre otros.

Aunque las evaluaciones mencionadas anteriormente son tipos frecuentes de evaluaciones de la seguridad, antes de elegir, es importante primero comprender el objetivo previsto. Esto es indispensable para asegurarse de que se cumplan las expectativas y que se elija la evaluación correcta para continuar con su programa de ciberseguridad.

Sea realista

Cuando considere cuál es la evaluación ideal para su organización, recuerde que una evaluación solo brinda un análisis rápido de un momento específico de la empresa. No se debe considerar la única solución para un programa de seguridad de una organización. Más bien es un análisis frecuente para garantizar que el mantenimiento, la administración y los controles técnicos sean los adecuados para su tolerancia ante riesgos prevista. 

Si su presupuesto y sus recursos son limitados y no puede realizar una evaluación de toda la organización, puede llevar a cabo un enfoque de “muestra representativa”, que limita el alcance de la evaluación a una parte de su organización para utilizarla como una línea de partida.

Conclusión

Las evaluaciones de seguridad pueden ser herramientas eficaces para evaluar su posición actual de seguridad, pero se deben seleccionar, limitar su alcance y llevar a cabo junto con un plan de acción que establezca pasos claros a seguir a fin de lograr su perfil de seguridad ideal.

 El proveedor apropiado lo puede ayudar con las evaluaciones y a diseñar un programa sólido de seguridad.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp