Prayukth K V
Traduciendo los Requisitos de Gestión de Riesgos de NIS2 al Taller de OT
A medida que la Directiva NIS2 de la Unión Europea entra en vigor en los estados miembro, los CISOs están trabajando arduamente para asegurar el cumplimiento en toda su infraestructura. Pero para las organizaciones que dependen de Tecnología Operacional (OT), fábricas, redes de energía, puertos marítimos y otras infraestructuras críticas, el verdadero desafío se encuentra mucho más allá de la sala de servidores.
NIS2 exige un enfoque medido basado en riesgos para la ciberseguridad, requiriendo que las entidades esenciales e importantes implementen “medidas técnicas, operativas y organizativas adecuadas y proporcionadas”. ¿El problema? La directiva, sin embargo, no distingue entre entornos de TI y OT. Para los CISOs europeos, esto plantea una pregunta urgente: ¿Cómo se traducen los principios abstractos de gestión de riesgos en controles de seguridad prácticos en el taller de OT?
Por qué la OT a menudo es un punto ciego en el cumplimiento
La mayoría de los entornos de OT nunca fueron diseñados con la ciberseguridad en mente. Priorizan la disponibilidad y la seguridad sobre la confidencialidad y la integridad. Las máquinas funcionan con PLCs heredados mucho más allá de su fin de vida, el parcheo es infrecuente debido a las restricciones de tiempo de actividad, y la visibilidad de los activos es notoriamente pobre o inexistente. Agregue a esta mezcla una cadena de suministro compleja de proveedores, integradores y proveedores de mantenimiento externos, y queda claro: aplicar NIS2 a la OT no es simplemente cuestión de copiar y pegar controles de seguridad de TI y mirar desde la distancia.
Gestión de Riesgos de NIS2: Comprendiendo los requisitos básicos
Para resumir rápidamente, aquí están las obligaciones clave de gestión de riesgos bajo NIS2 (Artículo 21):
· Análisis de riesgos y políticas documentadas para la seguridad del sistema de información.
· Procedimientos de manejo de incidentes, incluyendo detección y respuesta.
· Continuidad del negocio, incluyendo copias de seguridad y recuperación ante desastres.
· Seguridad de la cadena de suministro, cubriendo servicios subcontratados y proveedores.
· Seguridad en la adquisición, desarrollo y mantenimiento de sistemas de red e información.
· Manejo y divulgación de vulnerabilidades.
· Políticas y procedimientos para evaluar la efectividad de las medidas de ciberseguridad.
· Uso de criptografía y cifrado donde sea apropiado.
Cada uno de estos requisitos debe adaptarse a la OT, y ahí es donde a menudo fallan la mayoría de las estrategias de cumplimiento.
Una hoja de ruta para el cumplimiento de NIS2 centrado en OT
Para ayudar a los CISOs a cerrar la brecha entre la política, las operaciones, las responsabilidades y el proceso en el taller, aquí hay una hoja de ruta en 4 fases para la gestión de riesgos alineada con NIS2 en OT.
Fase 1: Establecer gobernanza y propiedad del riesgo específica de OT
· Nombrar a un responsable de riesgo de ciberseguridad en OT, responsable ante el CISO.
· Integrar la OT en los marcos de gobernanza de ciberseguridad de toda la empresa.
· Establecer un comité directivo transversal de NIS2 que incluya ingenieros de OT, oficiales de seguridad, compras y seguridad de TI.
Recomendación: Mapear el modelo de responsabilidad usando RACI con responsabilidades claramente identificadas y asignadas para evitar ambigüedades en la respuesta a incidentes o la supervisión de proveedores. IEC 62443 puede usarse como guía.
Fase 2: Realizar una línea base de riesgo y activo de OT
· Realizar un inventario de activos de OT usando una solución como Shieldworkz y verificar para cubrir la clasificación. Documentar dispositivos, protocolos y segmentos de red.
· Mapear amenazas y vulnerabilidades en zonas de producción críticas (alineado a las zonas y conductos de IEC 62443).
· Utilizar un marco de evaluación de riesgos adaptado, como ISO/IEC 27005 aplicado a OT, o MITRE ATT&CK para ICS, para modelar y prepararse para escenarios como tiempo de inactividad inducido por ransomware o compromiso de la cadena de suministro remota.
· Entender el Nivel de Seguridad actual de OT
Entregable: Registro de Riesgos de OT integral mapeado a controles específicos de NIS2 junto con clasificaciones de probabilidad-impacto.
Fase 3: Implementar controles técnicos y organizativos
· Mantener y actualizar un inventario preciso de todos los activos, incluidos los sistemas heredados
· Desplegar segmentación de red, cortafuegos y controles donde sea viable.
· Establecer capacidades de detección específicas para OT (IDS conscientes de ICS, detección de anomalías de protocolos. Considerar una solución de Detección y Respuesta de Red).
· Definir e implementar guías de respuesta a incidentes para escenarios de OT y documentar aprendizajes.
· Construir o actualizar planes de continuidad del negocio (regularmente) para tener en cuenta el tiempo de inactividad de la producción, el cambio a un plan de respaldo y la recuperación manual. Vincule esto con la respuesta a incidentes.
· Aplicar y rastrear la gobernanza de parches, incluyendo manejo de excepciones basado en riesgos y controles compensatorios.
Nota: Los controles
Recibe semanalmente
Recursos y Noticias
También te puede interesar
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
