Diseño de un sprint de 100 días para la ciberseguridad de OT: qué considerar

Diseño de un sprint de 100 días para la ciberseguridad de OT: qué considerar

A medida que comenzamos un nuevo año, muchas organizaciones entrarán en una temporada de «establecimiento de objetivos y planificación estratégica». Durante este tiempo, las personas se revitalizan y motivan para registrar nuevos logros para su desarrollo profesional. El establecimiento tradicional de objetivos corporativos se alinea con los calendarios fiscales y obliga a las empresas y a las personas a crear objetivos en fragmentos de 365 días. Pero, ¿por qué establecer su fecha límite en función del período orbital de la Tierra? ¿Qué pasaría si pudiera lograr objetivos relevantes y significativos en solo 100 días? Esa es la idea detrás del sprint de 100 días: lograr mejoras radicales y estratégicas en una fracción del año calendario.

Más recientemente, la Administración Biden se embarcó en un 100 días sprint para mejorar la seguridad cibernética de la red eléctrica de nuestra nación. Si el gobierno de EE. UU. es lo suficientemente ágil como para hacer uno de estos sprints, ¡seguro que su empresa también lo es! Pero con tantos marcos, estrategias, enfoques y soluciones de ciberseguridad de OT, ¿dónde debe comenzar y cómo puede aplicar este concepto a su empresa?

Establezca una expectativa realista

Es muy importante establecer una expectativa realista de cómo sería un sprint exitoso de seguridad cibernética de TO de 100 días para su organización. Debe considerar factores como el presupuesto, el personal, el ancho de banda y las prioridades en competencia. No “hierva el océano” en este ejercicio. Logre metas alcanzables y, una vez que las alcance, programe cada fase sucesiva para apuntar más alto.

Adopte el taburete de tres patas

En sus 100 días, concéntrese en todos los aspectos del taburete de tres patas de la ciberseguridad: personas, procesos y tecnología. El atractivo podría ser centrarse en la tecnología, suponiendo que tenga un presupuesto. Sin embargo, podemos lograr mucho progreso sin instalar un nuevo objeto brillante. Además, es posible que tarde más de 100 días en solicitar cotizaciones, comparar proveedores, completar el proceso de adquisición y programar los servicios de instalación, incluso sin considerar las demoras en la cadena de suministro de hardware. En cambio, usemos estos 100 días de manera tangible y medible mientras lo preparamos para tomar una mejor decisión de compra basada en información y análisis sólidos.

Comience con su gente

Comience por construir un equipo de sprint de 100 días. Busque a las personas más motivadas y de alto rendimiento para crear un equipo estelar con mucha energía. ¿Qué tan grande debe ser tu equipo ¿ser? Eso depende del alcance de OT en su organización. Si tiene solo uno o dos sitios, entonces un pequeño equipo de cinco a nueve tiene sentido. Pero si tiene docenas de instalaciones, considere probar este sprint de 100 días antes de implementarlo o crear subequipos para manejar las tareas a nivel de sitio individual.

Dé un paso atrás y evalúe la alineación organizativa de su empresa con la ciberseguridad para la tecnología operativa. Considere crear una Oficina del CISO, bajo la cual podría asignar un jefe de ciberseguridad de OT. ¿Quién es responsable de la ciberseguridad de OT en cada planta o sitio? Incluso puede ser necesario definir claramente los límites del alcance en función de los niveles o zonas de Purdue. Esto es especialmente importante para organizaciones altamente matriciales en las que los O-IT (componentes operativos de TI, como servidores WindowsTM) pueden pertenecer a un grupo, mientras que los controladores, los PLC y otros dispositivos integrados pueden pertenecer a otro. ¿Están estos individuos dedicados a la ciberseguridad de OT, equipados con suficiente capacitación, facultados con autoridad presupuestaria y personal con suficiente ancho de banda? De lo contrario, busque formas de mejorar la estructura organizacional en estos 100 días para alinear responsabilidades claras, establecer expectativas y definir métricas medibles.

Relacionado:  Cumpliendo con los Requisitos de Seguridad para el Sector Transporte

Considere los programas de capacitación y concientización de su sitio para las personas que ingresan a las instalaciones. Muchas veces, los visitantes (incluidos los proveedores y socios de servicios) se ven obligados a ver videos de capacitación en seguridad antes de ingresar a las instalaciones sin ver ninguna de sus políticas sobre seguridad cibernética. Los empleados que inician sesión regularmente en los sistemas OT deben recibir capacitación oficial anual o semestral sobre los principios importantes de sus políticas de seguridad OT, como los requisitos de contraseña, Wi-Fi, acceso a Internet, dispositivos USB y acceso remoto.

Más allá de la capacitación formal, considere desarrollar una campaña regular de concientización sobre la seguridad de OT. Esto puede ser tan simple como un correo electrónico mensual dirigido a sus usuarios de OT que se enfoca en uno de los 12 aspectos de ciberseguridad. Cualquiera que sea la forma que adopte, debe complementar sus campañas corporativas de concientización sobre la seguridad de TI. Las campañas de concientización también pueden ser más creativas. Por ejemplo, lance un programa interno de recompensas por errores que ofrezca una recompensa nominal a cualquier persona que presente y corrija una violación de las prácticas de seguridad de la empresa.

Revise la lista de cuentas en sus sistemas OT para evaluar cuáles tienen derecho a privilegios elevados, incluido el acceso administrativo. ¿Quién está y quién no está autorizado para el acceso remoto? Asegúrese de que sus equipos operativos no compartan cuentas genéricas con nombres como «Operador1» o «Ingeniero2». Es posible que se sorprenda al encontrar algunas cuentas fantasma en los dominios de OT para empleados jubilados o exempleados. Esto puede ser especialmente difícil de mantener si sus dispositivos OT Windows están configurados como grupos de trabajo. También se sorprenderá de la cantidad de cuentas de servicio obsoletas que aún están activas y que, por lo tanto, representan un riesgo para la organización.

Desempolva tus pólizas

Lo entiendo. Las políticas pueden ser aburridas. Pero esa es exactamente la razón por la cual un sprint de 100 días es el enfoque correcto para revitalizar a su equipo. Hay una luz al final del túnel de 100 días, y es fundamental desempolvar sus pólizas y descubrir algunas lagunas en el camino. Déles una revisión sólida, actualícelos cuando sea necesario y vuelva a comunicar su orientación y requisitos a los equipos afectados.

Comience con un inventario de pólizas. Recopile tantos de estos documentos como pueda y evalúe su alcance y última revisión. Aquí hay algunos ejemplos que quizás necesites encontrar:

  • política de seguridad de la información
  • Plan de negocios continuo
  • Política de uso aceptable
  • Plan de recuperación en un desastre
  • Política de respuesta a incidentes
  • Política de acceso remoto
  • Política de control de acceso
  • Política de gestión de cambios
  • Política de correo electrónico/comunicación
Relacionado:  ¿Por qué los equipos de imágenes médicas necesitan una mejor ciberseguridad?

Lo que podría sorprenderlo es que la mayoría de estos documentos probablemente se escribieron para redes de TI y tendrá problemas para encontrar buenas referencias y orientación para las redes de OT. Por ejemplo, ¿el plan de recuperación ante desastres de su empresa también cubre los peores escenarios en sus redes OT? ¿Sigue siendo válida su política de acceso remoto para el acceso a los sistemas de control industrial? ¿Se puede hacer una revisión para acomodar los matices de OT, o su equipo necesita crear una política separada para OT? Para poner en marcha este esfuerzo, SANS tiene muchas ejemplo plantillas de políticas.

Durante este tiempo, también puede considerar la preparación de su equipo para un incidente real, grande o pequeño. ¿Cómo respondería su equipo si la red OT se infectara con ransomware hoy? Los ejercicios de mesa de crisis pueden ser tan simples o complejos como desee. Cree algunos escenarios realistas, reserve algo de tiempo con su equipo y analice los planes de respuesta. Si encuentra esto especialmente difícil, o si su equipo necesita ayuda, entonces comience el proceso de buscar consultoría externa. Además, prepare a su organización identificando tres o más empresas de servicios de respuesta a incidentes a las que podría llamar cuando sea necesario. Inicie conversaciones con su equipo de adquisiciones para identificar si se debe celebrar un contrato predefinido o utilizar un anticipo que ayudaría a acelerar el cronograma para poner las «botas en el terreno». Este también sería un buen momento para hablar con su equipo legal para revisar cualquier póliza de seguro de seguridad cibernética que pueda existir para su organización, ya que esos recursos también incluyen organizaciones de orientación y respuesta en caso de un incidente de seguridad cibernética.

Seleccionar y establecer un marco común como LCR del NIST, Controles de la CEI, NIST 800.82 NIA 62443, o AT&C para evaluar y definir sus requisitos de seguridad con respecto a SCI. Establezca y acuerde una matriz de riesgos en sus entornos de OT. Compare y documente la criticidad de cada sitio, línea de fabricación y zona. Esta información será útil para definir una dirección hacia adelante para el nivel de controles de protección y detección necesarios. Busque empresas que ofrezcan evaluaciones integrales de ciberseguridad basadas en su marco preferido y programe una evaluación inicial en una de sus instalaciones más críticas.

Evaluar las capacidades tecnológicas

Puede que no sea realista definir los requisitos de capacidad y finalizar el proceso de adquisición e instalación dentro de los 100 días. En su lugar, busque formas de utilizar la tecnología para lograr resultados, análisis e información inmediatos que lo ayudarán a tomar mejores decisiones de adquisición en el futuro. Concéntrese en el descubrimiento durante los primeros 100 días y busque soluciones que puedan proporcionar valor inmediato sin necesidad de instalación esfuerzo.

Relacionado:  Protección contra la mala química (con ciberseguridad)

Reúna un inventario completo de activos, incluidos los nombres de los dispositivos, las direcciones IP, el tipo de dispositivo, el fabricante y las versiones de firmware. Saber qué hay en su red es el primer paso para defenderla. Aumente este inventario con conciencia y priorización de vulnerabilidades, que se pueden emparejar y clasificar automáticamente para usted. Tener esta información en varias instalaciones le permitirá a su equipo comprender qué tan atrasados ​​están sus dispositivos OT y determinar si algunos sitios necesitan priorización de presupuesto para una migración más completa del sistema de control en lugar de una actualización de software o firmware.

Las capturas de paquetes también se pueden usar para proporcionar una prueba de concepto inmediata con soluciones de monitoreo de red OT creadas específicamente. Estos pueden generar un mapa de red, una puntuación de higiene e incluso un plano de sus zonas y conductos actuales para futuras mejoras de segmentación. Averigüe no solo qué hay en su red, sino también dónde se comunican estos dispositivos y si se están utilizando protocolos inseguros.

Por último, trabaje con su equipo de seguridad y operaciones de TI para desarrollar un registro de auditoría para las conexiones remotas a las redes ICS. Comience a monitorear y revisar las sesiones de acceso remoto persistentes y temporales con sospecha, y determine si su método actual está alineado con las mejores prácticas, incluida la autenticación de múltiples factores. En lugar de confiar en el acceso remoto de TI tradicional, que con frecuencia se explota y se configura incorrectamente, considere soluciones industriales para el acceso remoto que mantiene el control en manos de su equipo de OT mientras brinda los beneficios de SSO y MFA.

Hay recomendaciones para la autenticación multifactor en entornos OT, y casi todos Alerta de seguridad CISA lo recomienda, también. A veces, el desafío de implementar MFA en entornos OT surge de un malentendido con respecto a la compatibilidad y el soporte de los proveedores de OT. Otro desafío es que muchas de las soluciones MFA actuales requieren conexiones a Internet. Comuníquese con su proveedor de sistemas OT y solicite su orientación. La mayoría de ellos tendrán una respuesta, como tarjetas de acceso físicas que pueden admitir entornos de «espacio de aire». Intente iniciar un proyecto piloto o una prueba de concepto en una de sus instalaciones. Evalúe las opciones y busque presupuesto para este control de seguridad crítico en su próximo ciclo.

Desarrolle una hoja de ruta o una visión para el futuro

Este ejercicio de 100 días puede ayudarlo a mejorar su postura de seguridad de OT. Pero, ¿qué sigue? Después de sus 100 días, debe tener una base sólida para tomar mejores decisiones y avanzar en la misión. Como paso final, intente definir una hoja de ruta de 1 y 3 años para alcanzar sus objetivos finales: visibilidad integral, dispositivos reforzados, vulnerabilidades mitigadas, monitoreo continuo, controles de acceso seguros, personal mejor capacitado y políticas actualizadas y relevantes que son claramente definida y comunicada. Presente esta hoja de ruta a las partes interesadas clave, vuelva a elaborar el plan según sea necesario y busque la aprobación del presupuesto para estas mejoras necesarias para la infraestructura crítica de su organización.

Publicaciones Similares