¿Es su software de OT un riesgo? Aquí le explicamos cómo saberlo

¿Incluye su estrategia de ciberseguridad de OT actualizaciones rutinarias de software y hardware? De no ser así, podría estar arriesgándose a una multa de EUR 10000000 o el 2 % de la facturación anual global¹.

¿Por qué? Sencillo. Para octubre de 2024, todos los estados miembros de la UE deberán haber aprobado la Directiva Revisada de Seguridad de Redes y Sistemas de Información (NIS2) de la UE como ley. Y la nueva directiva especifica multas de EUR 10000000 o el 2 % de la facturación anual global para las organizaciones que incumplan sus reglas. Una de esas reglas establece claramente que las organizaciones sujetas a la directiva deben tener políticas de ciberseguridad que incluyan:

“…políticas de higiene de ciberseguridad que comprendan un conjunto de prácticas de línea base común, incluidas actualizaciones de software y hardware…”

Más organizaciones que nunca están cubiertas por la directiva actualizada. Esto incluye sectores completamente nuevos como telecomunicaciones, productos químicos, aguas residuales y alimentos, todos considerados “esenciales” o “importantes” para la seguridad y la vida económica de la UE. El artículo 7 de NIS2 refuerza aún más el hecho de que más organizaciones que nunca se verán impactadas por la nueva directiva:

“La estrategia nacional de ciberseguridad incluirá el fortalecimiento de la resiliencia cibernética y la línea base de higiene de ciberseguridad de las pequeñas y medianas empresas, en particular aquellas excluidas del alcance de esta Directiva…”

¿La cuestión principal? Casi todas las organizaciones que operan tecnología operacional en la UE deben empezar a pensar ahora en prepararse para NIS2 o arriesgarse a las consecuencias de una brecha.

¿Por qué las actualizaciones de software son un riesgo bajo NIS2?

Las organizaciones de tecnología operacional (OT), ya sean fabricantes o proveedores de infraestructura, a menudo tienen cientos o incluso miles de dispositivos en sitio. Un informe reciente de McKinsey estimó que algunas instalaciones energéticas tienen hasta 30000 dispositivos conectados².

Muchos de esos dispositivos también pueden contener componentes inteligentes y conectados, incluidos variadores de frecuencia variable, interruptores industriales, controladores programables, PC industriales, y así sucesivamente. Todos estos componentes también pueden tener su propio software y hardware.

Incluso instalaciones más pequeñas, incluidas aquellas con entornos de producción relativamente pequeños, pueden tener cientos de dispositivos de OT sin mapear y sin gestionar. Y si incluso uno de estos dispositivos ejecuta software desactualizado y eso conduce a una brecha de datos, una interrupción operativa u otro problema significativo, eso constituye una posible infracción de NIS2 y, en consecuencia, una multa.

NIS2 Compliance for Manufacturing and Industrial Control Systems

By October 2024, EU member states must adopt and publish the EU Second Network and Information Security Directive (NIS2) into domestic law.

Cómo mitigar el riesgo y cumplir con NIS2

La forma más fácil de mitigar el riesgo que supone el software obsoleto es trabajar con un especialista en higiene de ciberseguridad de TI. La mejor manera de hacerlo es con una suscripción que cubra el mantenimiento y las actualizaciones.

Con la suscripción de mantenimiento adecuada, usted obtiene:

Acceso instantáneo e instalación automática de las últimas actualizaciones de software y firmware, lo que ayuda a mantener el pulso del panorama de amenazas dinámico de ciberseguridad de OT. El acceso instantáneo a las últimas actualizaciones de software y firmware es crucial porque ayuda a garantizar que los parches y mejoras de seguridad se apliquen tan pronto como estén disponibles. Esta inmediatez puede reducir significativamente la ventana de oportunidad para que los ciberdelincuentes exploten vulnerabilidades conocidas. La instalación automática agiliza aún más este proceso al automatizar el despliegue de actualizaciones, confirmando que todos los dispositivos dentro del entorno OT mantengan su postura de seguridad más alta sin requerir intervención manual.
Asistencia de ingenieros y consultores de seguridad líderes en la industria: la complejidad y especificidad de los sistemas OT exige un alto nivel de experiencia para afrontar sus desafíos de seguridad únicos. El acceso a ingenieros y consultores de seguridad OT líderes en la industria proporciona a las organizaciones una gran cantidad de conocimiento y experiencia de la que pueden beneficiarse. Estos expertos pueden ofrecer asesoría personalizada, desde la planificación estratégica hasta la respuesta a incidentes, ayudando a garantizar que las medidas de seguridad no solo cumplan con la directiva NIS2, sino que también estén alineadas con las mejores prácticas y las investigaciones más recientes del sector. Su apoyo puede ser fundamental para identificar posibles vulnerabilidades, recomendar estrategias de mitigación y mejorar la resiliencia general de los entornos OT frente a las ciberamenazas.
Herramientas que facilitan y agilizan la búsqueda y protección de todos sus dispositivos: estas herramientas permiten a las organizaciones mantener un inventario actualizado de sus activos OT, monitorear su estado en tiempo real e identificar rápidamente cualquier irregularidad que pueda indicar una brecha de seguridad. Al simplificar el proceso de protección de los dispositivos OT, estas herramientas no solo mejoran la eficiencia operativa, sino que también confirman que todos los componentes y equipos, independientemente de su función o ubicación dentro de la red, estén adecuadamente protegidos.

Para prepararse para NIS2, el consultor adecuado de OT/IT le ayudará a auditar su red para encontrar cualquier riesgo de hardware, firmware o software. Luego, trabajará con usted para subsanar esas brechas, documentar su trabajo de seguridad y cumplimiento, y ponerlo al día con lo requerido por NIS2.

Rockwell Automation es uno de los proveedores líderes del mercado en servicios de seguridad OT, cumplimiento y gestión de riesgos. Nuestros especialistas, consultores e ingenieros cuentan con las herramientas, experiencia y tecnología para ayudarle a prepararse para NIS2. Esto incluye desde la formulación de políticas y procedimientos conformes, hasta el descubrimiento rápido y la actualización de software y firmware obsoletos en toda la red, hasta la tarea de reforzar y documentar su postura de seguridad para cumplir con NIS2.

Para saber cómo Rockwell Automation puede ayudarle con su higiene de ciberseguridad, incluyendo mantener su software y firmware actualizados y abordar los muchos otros aspectos de fortalecer su postura de ciberseguridad OT en preparación para NIS2, póngase en contacto con nosotros ahora.

¡Reserve hoy mismo su consulta gratuita!

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact

Publicado 8 de agosto de 2024

Andreu Cuartiella

Lifecycle Services Commercial Manager, EMEA, Rockwell Automation

Andreu is Manufacturing Digital Transformation Advocate, helping leading industries to Reduce Risk and Generate Savings in their operations through disruptive and Innovative Solutions and Services through their lifecycle.

Conectar:

Antoine Pris

Enterprise Software Sales Manager, Rockwell Automation

As member of the EMEA Rockwell Automation software team, Antoine Pris is responsible for the Software sales and commercial leadership within the following countries: France, Italy, Spain and Israel. Antoine Pris has +20 years of experience in digitalization of the industry Helping his customers to achieve revenue growth, cost reduction and risk mitigation with digital transformation.

Conectar: