Evaluaciones de ciberseguridad: obtenga su posición de seguridad deseada

Evaluaciones de ciberseguridad: mejore su posición

La manera en la que cada compañía mejora su seguridad es única. Lo que podría influir en su perfil de seguridad deseado incluye los riesgos de operación, los flujos de trabajo de operación únicos, las políticas, los procedimientos y la tolerancia ante riesgos, ente otros.

Lamentablemente es imposible eliminar todos los riesgos. La meta debe ser el establecimiento de un nivel de riesgo tolerable a raíz de sus ambientes de operación únicos.

Herramienta de evaluación de seguridad de Rockwell Automation: Determine el nivel de riesgo de seguridad industrial actual y dónde comenzar a identificar los métodos para mitigar los posibles riesgos de seguridad mediante el uso de esta herramienta.

No es ninguna casualidad que el camino hacia la mejora de su seguridad industrial parezca complicado. Dadas las diferentes metodologías, normas industriales y tecnologías disponibles en el mercado, el camino hacia adelante puede verse obstaculizado. Puede que se pregunte “¿Por dónde comienzo?”

Las evaluaciones de seguridad representan un excelente punto de partida. En su forma más simple, una evaluación de seguridad es una medida estructurada de la posición de seguridad de un sistema u organización.

Cuando se utilizan correctamente, las evaluaciones pueden constituir un método sumamente eficaz de evaluar su posición de seguridad actual, identificar las deficiencias entre su estado actual y su estado deseado, y establecer claramente los pasos necesarios para lograr su meta de posición de seguridad.

Tipos de evaluaciones

Las palabras “evaluación de seguridad” tienen muchos significados diferentes, por lo tanto, es importante definir la evaluación en función del propósito de la iniciativa. Los tipos de evaluación más usuales pueden dar resultados diferentes que podrían tener repercusiones con respecto a las medidas que toma en su programa de seguridad.

  1. Evaluación de vulnerabilidades: identifica las vulnerabilidades conocidas existentes en un ambiente a fin de establecer un plan de acción para eliminarlas.
  2. Análisis de deficiencias: identifica las deficiencias entre la posición de seguridad existente actual de una organización y el estado ideal de su posición de seguridad. Los análisis de deficiencias normalmente se efectúan en vista de una norma corporativa o industrial y tienen como propósito definir con claridad los pasos necesarios para lograr la posición de seguridad deseada.
  3. Evaluación de riesgos: proporciona una perspectiva más holística de la posición de seguridad de una organización. Una evaluación de riesgos involucra los elementos de una evaluación de vulnerabilidades y una evaluación de deficiencias a fin de identificar y evaluar los riesgos conocidos en comparación con la tolerancia ante riesgos de la organización y su postura de seguridad ideal.
  4. Auditoría de seguridad: este servicio basado en evaluaciones investiga la postura y prácticas de seguridad de una organización en vista de un determinado ente normativo industrial, normalmente para contribuir a garantizar el cumplimiento con, por ejemplo, NERC-CIP, entre otras normas.

Hay que tener presente que los tipos de evaluaciones de seguridad mencionados arriba son usuales, sin embargo, es importante entender en primer lugar el objetivo perseguido antes de hacer una elección. Esto será un aspecto decisivo para ayudar a garantizar que se alineen y se logren las expectativas, y que se elija la evaluación más eficaz para llevar su programa de ciberseguridad al siguiente paso.

La realidad

Al considerar qué tipo de evaluación será el más indicado para su organización, hay que tomar en cuenta que una evaluación representa una instantánea de un determinado punto de tiempo. No se debe aceptar como la única solución del programa de seguridad de una organización. Más bien, se trata de un control regular a fin de confirmar que el mantenimiento, la administración y los controles técnicos sean aptos respecto a su tolerancia ante riesgos deseada.

Si dispone de presupuestos y recursos limitados, y no puede llevar a cabo una evaluación en toda la organización, puede que desee adoptar una metodología de muestreos representativos, lo cual restringe el ámbito de la evaluación a una parte de su organización que puede servir de punto de referencia.

Reunión de todos los elementos

Las evaluaciones de seguridad pueden ser herramientas eficaces para evaluar su posición de seguridad actual, pero es necesario elegir y definir estas evaluaciones, y vincularlas con una hoja de ruta accionable que establece pasos claros y factibles para lograr el perfil de seguridad deseado. El proveedor adecuado le puede ayudar con las evaluaciones y el desarrollo de un programa de seguridad sólido.

Dave Mayer
Publicado 26 Agosto 2019 Por Dave Mayer, Product Manager, Rockwell Automation
  • Contacto:

Últimas noticias

Rockwell Automation y nuestros socios ofrecen un excelente conocimiento para ayudarlo a diseñar, implementar y respaldar su inversión en automatización.

Suscríbase

Suscríbase a Rockwell Automation y reciba las últimas noticias e información directamente en su bandeja de entrada.