Energía: Presupuesto de ciberseguridad OT debería ser igual al 10% del presupuesto total de TI

Energía: Presupuesto de ciberseguridad OT debería ser igual al 10% del presupuesto total de TI

Sin embargo, en varias empresas del sector energético el presupuesto para ciberseguridad OT es menor del 2% en relación al de IT, lo cual es perjudicial para las mismas. Advierten que mercado energético peruano cuenta con escasos especialistas que se enfoquen en ciberseguridad OT (ciberseguridad industrial).

Business Empresarial.- La ciberseguridad poco a poco se inserta en la cultura de industrias como la energética debido al alto impacto de la ciberdelincuencia que puede ser desde reputacional hasta financiero. En ese sentido, aunque son varios los factores que influyen en ello, idealmente las organizaciones de sectores como el de Energía deberían destinar un presupuesto en ciberseguridad OT igual al 10% del presupuesto total de IT. Sin embargo, la realidad es otra.

“(pero) en varias empresas es menor del 2%, lo cual es perjudicial para las mismas; esto se debe a una falta de conciencia a nivel operativo y gerencial”, comenta Roberto Carrasco, ICS Cibersecurity Specialist LATAM de CSSE Automation y Miembro Senior ISA Houston.

Al respecto, Roberto Carrasco indica que, para la parte de Ciberseguridad Industrial, varias empresas del sector de energía buscan empresas de IT para sus soluciones de Ciberseguridad OT, “lo cual hace que las empresas en lugar que compren una solución, solamente estén comprando productos”, dice.

Un problema de enfoque: Ciberseguridad OT

De otro lado, Roberto Carrasco indica que las empresas de energía y otras industrias en el país registran un crecimiento en el número de especialistas en OT y en ciberseguridad, pero que estos últimos se enfocan en el ambiente corporativo más no en la ciberseguridad industrial (ciberseguridad OT), lo que resulta un riesgo frente a la amenaza de la ciberdelincuencia.

Carrasco sostiene que la ciberseguridad enfocada en OT es un tema que no va tanto por poner equipos como firewall, switches, etc., “sino va también por conocer de estándares que puedan ayudarte a tener una Arquitectura Óptima para una planta 100% segura”, resalta el experto que será parte del 1° Congreso Cyber Security for Energy a realizarse este lunes 18 de noviembre.

Asimismo, el especialista explica que actualmente para la parte de Ciberseguridad Industrial, al no tener los puestos definidos y creados, en muchos casos el personal de Seguridad de la Información y Tecnologías de la Información tratan de tomar estos puestos; “pero muchos de ellos siguen pensando que se considera de la misma forma la Ciberseguridad para IT como OT”, advierte.

En ese sentido, señala que todas las industrias, de acuerdo a su negocio, deberían demandar profesionales en Ciberseguridad Industrial, siempre y cuando piensen que a nivel empresarial deseen estar en la vanguardia de la tecnología.

“A excepción de empresas del sector Oil & Gas, que se ven forzados a implementar ciberseguridad industrial por lineamientos, en su mayor parte, proveniente de sus matrices principales en América o Europa, son pocas las empresas que adoptan posturas serias en esta materia”, indica Roberto Carrasco.

OT e IT

Según Carrasco, el enfoque recomendable para hacerle frente a la amenaza creciente y más sofisticada de la ciberdelincuencia, es la ciberseguridad industrial (o ciberserguridad OT). En ese sentido, indica que el profesional debería ser una persona que conozca bien el tema de OT e IT, “ya que es más fácil conseguir a un profesional con experiencia en OT y capacitarlo en IT que viceversa, luego de esto complementarlo con capacitaciones en estándares internacionales”, indica.

“Por los cambios que se tiene en tecnologías y lo que ahora el mercado necesita, se habla mucho de Convergencia IT/OT, Digitalización e Industria 4.0”, agrega.

Finalmente, Carrasco asegura que si bien se está trabajando en una convergencia de IT/OT, lo que hace falta es que haya más conciencia y que se vea todo desde el tema gerencial; asimismo, que se tenga un mayor interés sobre la problemática mundial de los ciberataques, “que pueden afectar a empresas industriales desde pequeñas hasta transnacionales”, dice.

“Somos pocas las personas que tenemos conciencia y más aún escasos, en el mercado que conocemos, el tema de Ciberseguridad Industrial, yo como con Consultor y ICS Cibersecurity Specialist en LATAM, estoy proponiendo Soluciones de Ciberseguridad Industrial con nuestro partner Claroty, añadiendo nuestros servicios especializados en estudios de madurez, assessment, red team, basándonos en estándares como ISA 62443, NIST 800-82, entre otros, brindando soluciones en LATAM a países como Perú, Chile, Bolivia, México, etc.”, afirma Carrasco.

Claves:

-Roberto Carrasco indica que con respecto al tema de algún monto de inversión, esto varía, ya que no sólo se considera contar con una solución de Ciberseguridad Industrial, sino también pasa por realizar estudios de madurez, Assessment, red team, etc., para luego con ello tener una Infraestructura a Nivel de Operación de Procesos Óptima.

-Los montos varían desde $50,000.00 hacia adelante, dependiendo de lo que se requiere (solución + servicios).

-Las funciones que deberían desempeñar los responsables de Ciberseguridad Industrial deberían ser:

  • Implementación de herramientas y soluciones de seguridad en sistemas de control de procesos para asegurar que los sistemas estén configurados, optimizados y probados adecuadamente.
  • Revisión de los procedimientos y conceptos de seguridad de la empresa.

  • Análisis de riesgos y amenazas a los sistemas de control de procesos.

leave a reply