No es ninguna casualidad que el camino hacia la mejora de su seguridad industrial parezca complicado. Dadas las diferentes metodologías, normas industriales y tecnologías disponibles en el mercado, el camino hacia adelante puede verse obstaculizado. Puede que se pregunte “¿Por dónde comienzo?”
Las evaluaciones de seguridad representan un excelente punto de partida. En su forma más simple, una evaluación de seguridad es una medida estructurada de la posición de seguridad de un sistema u organización.
Cuando se utilizan correctamente, las evaluaciones pueden constituir un método sumamente eficaz de evaluar su posición de seguridad actual, identificar las deficiencias entre su estado actual y su estado deseado, y establecer claramente los pasos necesarios para lograr su meta de posición de seguridad.
Tipos de evaluaciones
Las palabras “evaluación de seguridad” tienen muchos significados diferentes, por lo tanto, es importante definir la evaluación en función del propósito de la iniciativa. Los tipos de evaluación más usuales pueden dar resultados diferentes que podrían tener repercusiones con respecto a las medidas que toma en su programa de seguridad.
- Evaluación de vulnerabilidades: identifica las vulnerabilidades conocidas existentes en un ambiente a fin de establecer un plan de acción para eliminarlas.
- Análisis de deficiencias: identifica las deficiencias entre la posición de seguridad existente actual de una organización y el estado ideal de su posición de seguridad. Los análisis de deficiencias normalmente se efectúan en vista de una norma corporativa o industrial y tienen como propósito definir con claridad los pasos necesarios para lograr la posición de seguridad deseada.
- Evaluación de riesgos: proporciona una perspectiva más holística de la posición de seguridad de una organización. Una evaluación de riesgos involucra los elementos de una evaluación de vulnerabilidades y una evaluación de deficiencias a fin de identificar y evaluar los riesgos conocidos en comparación con la tolerancia ante riesgos de la organización y su postura de seguridad ideal.
- Auditoría de seguridad: este servicio basado en evaluaciones investiga la postura y prácticas de seguridad de una organización en vista de un determinado ente normativo industrial, normalmente para contribuir a garantizar el cumplimiento con, por ejemplo, NERC-CIP, entre otras normas.
Hay que tener presente que los tipos de evaluaciones de seguridad mencionados arriba son usuales, sin embargo, es importante entender en primer lugar el objetivo perseguido antes de hacer una elección. Esto será un aspecto decisivo para ayudar a garantizar que se alineen y se logren las expectativas, y que se elija la evaluación más eficaz para llevar su programa de ciberseguridad al siguiente paso.
La realidad
Al considerar qué tipo de evaluación será el más indicado para su organización, hay que tomar en cuenta que una evaluación representa una instantánea de un determinado punto de tiempo. No se debe aceptar como la única solución del programa de seguridad de una organización. Más bien, se trata de un control regular a fin de confirmar que el mantenimiento, la administración y los controles técnicos sean aptos respecto a su tolerancia ante riesgos deseada.
Si dispone de presupuestos y recursos limitados, y no puede llevar a cabo una evaluación en toda la organización, puede que desee adoptar una metodología de muestreos representativos, lo cual restringe el ámbito de la evaluación a una parte de su organización que puede servir de punto de referencia.
Reunión de todos los elementos
Las evaluaciones de seguridad pueden ser herramientas eficaces para evaluar su posición de seguridad actual, pero es necesario elegir y definir estas evaluaciones, y vincularlas con una hoja de ruta accionable que establece pasos claros y factibles para lograr el perfil de seguridad deseado. El proveedor adecuado le puede ayudar con las evaluaciones y el desarrollo de un programa de seguridad sólido.