Loading

Blog

Recent ActivityRecent Activity

Es hora de examinar la higiene de la ciberseguridad

Las compañías del sector de ciencias biológicas se enfrentan a riesgos de ciberseguridad únicos. ¿Está su postura de seguridad a la altura?

El posible impacto de un ciberataque sobre una compañía del sector de ciencias biológicas es complejo. Está en juego información sobre los pacientes y propiedad intelectual de enorme importancia, retrasos en la producción o la pérdida de lotes de productos muy costosos y hasta la identidad de la marca. Nadie quiere ser un fabricante de fármacos incapaz de proporcionar medicamentos esenciales a los pacientes que los necesitan.

Aunque el retorno de la inversión en seguridad está en los riesgos que se evitan, hemos visto una y otra vez cómo este riesgo se convierte en un impacto material directo sobre la valoración de una empresa y sus resultados netos. ¿Recuerda los 310 millones de dólares que perdió una sola empresa farmacéutica a causa de NotPetya? Ninguna organización está a salvo.

La buena noticia es que las empresas farmacéuticas y de biotecnología llevan tiempo lidiando con normativas relativas a seguridad y requisitos sobre conformidad e integridad de los datos. Pero conforme avanza la tecnología, también lo hacen las vulnerabilidades, por lo que es preciso mantenerse siempre vigilante.

Dedique un minuto a hacerse estas preguntas sobre sus prácticas de higiene de la ciberseguridad actuales para ver si da la talla.

¿Conoce sus vulnerabilidades?

El nivel de conectividad de los ambientes de fabricación actuales significa que los ciberataques tienen una mayor superficie de ataque (o vulnerabilidades) sobre la que actuar. Para proteger la producción hay que ir más allá de las estrategias de defensa en profundidad y abordar los riesgos de ciberseguridad en todo el espectro de ataques. ¿Pero cómo?

Un buen punto de partida consiste en seguir el marco de ciberseguridad del NIST.

  1. Identifique lo que tiene (inventario de activos) y los riesgos asociados.
  2. Utilice mecanismos de protección como parches, seguimiento y control de acceso para proteger lo que tiene.
  3. Detecte las anomalías y eventos capaces de burlar esos mecanismos de protección.
  4. Implemente capacidades de respuesta.
  5. Desarrolle un sistema con funciones rápidas de copia de seguridad y restauración.

Implementar con éxito estos principios básicos de ciberseguridad es el primer paso para poner en marcha un programa eficaz de ciberseguridad y mejorar su capacidad para defenderse ante futuros ciberataques.

¿Cómo enfrentar la obsolescencia?

Siempre existirán vulnerabilidades. Siempre habrá componentes que se tornen obsoletos. Y actualizarlos no es tan sencillo como limitarse a sustituir el hardware o aplicar un parche. Hay que conocer los reglamentos y el ambiente en el que se encuentra.

Tenga en cuenta lo siguiente para evaluar los riesgos del mantenimiento de hardware o software:

  • ¿Qué impacto tendría que alguien aprovechara esta vulnerabilidad?
  • ¿Hay alguna manera de abordar esta vulnerabilidad aplicando un control alternativo que la mitigue?
  • Si no es así, ¿se puede justificar la migración a un producto/solución/plataforma compatible con esta aplicación?

No hay una respuesta correcta. Dependiendo de los controles y mecanismos de prevención que utilice, tal vez opte por continuar la producción o producir un lote tal cual porque se siente seguro y cree que se ha mitigado el riesgo. Pero hacerse estas preguntas antes de un incidente, entender su postura de seguridad y disponer de la documentación y los controles adecuados le ayudará a tomar sus decisiones con mayor confianza.

¿Está su organización preparada para responder?

¿Puede definir rápida y claramente su estrategia, y determinar cómo responder a un ciberataque? Las organizaciones mejor preparadas crean una cultura en la que IT y operaciones trabajan conjuntamente para responder a estas preguntas. Asegúrese de que los equipos de trabajo colaboren estrechamente y puedan resolver los problemas que se les planteen. ¿Cómo recurriría a ellos? ¿Qué herramientas están disponibles y cuáles se necesitarían?

Juntos deben realizar evaluaciones regulares que midan y gestionen los riesgos. Si confía en haber cubierto los cinco pilares del NIST, tal vez su posición sea buena. Pero también debe pensar en el equipo que le rodea para atender a este marco y poner su organización a prueba.

A menudo sugerimos que se lleve a cabo un ejercicio teórico, una reunión en la que se simule un evento. Practique en tiempo real cómo respondería a la detección de un evento y cómo se recuperaría de sus efectos. Este tipo de simulación concreta ayudará a exponer cualquier brecha que haya en su programa.

¿Está listo para pensar de manera diferente?

La ciberseguridad no es un tema que se resuelva una vez y luego pueda olvidarse. Debe obligarse continuamente a reconocer su exposición y los riesgos, y a comprobar si está listo. Haga que su organización identifique lo que está cambiando, tanto interna como externamente. ¿Puede hacerlo de manera diferente? ¿En qué temas necesita ayuda?

Para incorporar  unas bases sólidas de higiene de la ciberseguridad no basta con comprar herramientas y tecnología. Hay que abordar los aspectos humanos y organizativos que supone crear una cultura de cambio. Una en la que operaciones, IT y gestión consideren la seguridad como una parte más de sus tareas cotidianas y en la que los trabajadores sepan cómo contribuir al objetivo final.

Habiendo tanto en juego, prestar con frecuencia atención a estas preguntas puede tener un gran impacto sobre la protección de sus operaciones y de los resultados netos.


Jeff Rotberg
Jeff Rotberg
Consulting Services Business Development Lead, Rockwell Automation
Jeff Rotberg
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You