Los sistemas de control de seguridad (ICS) desempeñan un papel importante en la mayoría de las industrias en el mundo, incluida la electricidad, el agua y las aguas residuales, el petróleo y el gas natural, y el transporte, debido a que la tecnología inteligentes de hoy y mañana está impulsada por estos sistemas.

Según Kaspersky, compañía internacional dedicada a la seguridad informática, la mayoría de las vulnerabilidades críticas identificadas en 2015 fueron en productos de proveedores. Lo cual no significa que todos los productos tengan fallas, ni tampoco que las vulnerabilidades no se puedan abordar, pero demuestra la importancia de la administración del proveedor y una cadena de suministro segura. Por tanto, se deben evaluar las vulnerabilidades, calificar a los proveedores y trabajar para lograr los procesos en curso más seguros.

Lea:Responsabilidades cibernéticas de los fabricantes

Avanzar hacia una mayor seguridad es fundamental, debido a que es probable que la mayoría de los malos actores provengan de afuera de la organización. Reforzar los procesos internos para defenderse de ellos es una excelente manera de aumentar la seguridad y la preparación.

Estas son nueve precauciones que las plantas industriales pueden tomar para proteger los sistemas de control industrial:

Desarrollar especificaciones de seguridad: establecer requisitos formales y especificaciones para todos los productos y componentes de software que provienen de terceros, permite a los fabricantes crear un precedente interno al principio del proceso de selección de proveedores. Para agilizar la comunicación con los proveedores y demostrar de inmediato su compromiso con la seguridad, todos los requisitos y especificaciones deben mencionarse en todas las solicitudes de propuestas (RFP) y el acuerdo del proveedor, y deben proporcionarse al respecto.

Lea:Ciberseguridad en “Smart Grid”

Due Diligence del software: los proveedores de software deben recibir el mismo trato que los proveedores de productos y materiales físicos reales. Esto significa que cada proveedor de software debe ser evaluado para determinar su enfoque en la seguridad y para comprender los sistemas implementados. Las auditorías de seguimiento regulares ayudarán a garantizar que los riesgos de ciberseguridad continúen siendo minimizados.

Validación independiente: Es importante buscar proveedores que ofrezcan garantías de seguridad del producto, pero también es necesaria una validación independiente del software de terceros y confirmar las garantías del proveedor. Se debe garantizar que el proveesor esté preparado para ofrecer una protección continua adecuada contra fallas y debilidades de seguridad en función de las necesidades cambiantes de la industria global.

Las actualizaciones periódicas son críticas: la mejor defensa contra un ciberataque es una fuerte ofensa. En muchos casos, la mejor ofensa es la forma en que se actualiza regularmente el software. Cuando el software se mantiene de manera rutinaria mediante la instalación oportuna de actualizaciones de software y versiones, el sistema puede adaptarse mejor a los cambios en la tecnología.

Establecer regularmente protocolos de prueba: se deben completar exhaustivas pruebas de validación para todo el software adquirido, y estas pruebas también deberían continuar durante su uso. Las validaciones, que a menudo pueden automatizarse para aumentar la eficiencia, ayudan a garantizar el cumplimiento continuo de las especificaciones de seguridad.

Rastreo y seguimiento: se debe establecer un sistema robusto para monitorear la fuente de todo el software y los componentes. Esto puede simplificar drásticamente el proceso de actualización al facilitar el acceso a actualizaciones, parches y soporte técnico.

Detalles que debe conocer: toda la información crítica del software debe mantenerse en función de la “necesidad de saber”. Esto ayudará a garantizar que solo las partes necesarias, tanto los empleados internos como los proveedores externos de software, tengan acceso de back-end y también pueden ayudar a identificar el origen de una violación de seguridad en caso de que surjan problemas.

Establecer políticas de proveedores: desarrollar políticas claras de rendimiento para todos los proveedores de software. Estas políticas deben establecer las consecuencias de incumplimiento y detallar claramente las especificaciones de seguridad, incluida la limitación del uso de software no aprobado.

Capacitación de empleados en curso: en la mayoría de las situaciones, los empleados son la primera línea de defensa. Un programa de capacitación continua puede ayudar a garantizar que todos los empleados estén bien informados sobre las prácticas de seguridad eficaces y puede ayudar a evitar errores comunes en el futuro.

Cuando se combina con procedimientos internos y políticas destinadas a asegurar la cadena de suministro, un tercero con experiencia puede proporcionar tranquilidad y conocimiento adicionales.

Información por: Industry Week