seguritecnia 442

62 SEGURITECNIA Mayo 2017 Artículo Técnico de un ciberataque, lo primero que se piensa es que la empresa no ha tra- bajado para poder asegurar sus siste- mas ante los “jueguecitos” de un hacker que, desde su habitación de casa, ha entrado. En lo primero que se piensa siempre es en la dejadez de la em- presa, antes que en la extrema vulnera- bilidad que tiene ante millones de posi- bles atacantes procedentes de todo el mundo. Casos como éstos salen en las noticias todas las semanas y son la de- mostración del impacto emocional en las mentalidades de los consumidores, que ven mermada su confianza ante la compañía y, como consecuencia di- recta, la pérdida en sus ventas. Los medios de protección del Es- tado , como es la policía en el ámbito físico, ya no cuentan con la capacidad de vigilancia tan clara en el mundo di- gital. La localización de las leyes impi- den su acción y la persecución del ci- berdelincuente si éste se encontrara fuera de las fronteras del país. Por di- cho motivo, la necesidad de protec- ción adicional es cada vez más nece- saria. No quiero decir que esto sea la ley del salvaje Oeste, pero sí que es necesario una protección mayor que la que brindan las Fuerzas y Cuerpos de Seguridad, que solo pueden actuar ante un delito, y muchas veces ya hay un “cadáver” por el medio que quere- mos evitar a toda costa. Como vemos, la situación ante estos dos tipos de ataque es totalmente dife- rente. Es mucho más atractivo econó- micamente el ciberataque y con con- secuencias exponencialmente peores para los intereses de la industria. Seguridad corporativa La acción de la seguridad corporativa de una organización debe ser acorde a esta nueva forma de entender el negocio, por lo que se propone el uso de un sis- tema de Gobierno que permita dirigir los recursos dedicados a la protección de la Industria 4.0 en base al riesgo que tienen para la organización, así como asegu- rarse el cumplimiento de las normativas y leyes aplicables a la entidad. Para ello se establecen estos cuatro requisitos que todo sistema de GRC ( Governance, Risk & Compliance ) debe incorporar: 1. Diseño particularizado y especí- fico de los procesos de negocio con- cretos en el ámbito de la seguridad física, la seguridad lógica y la resiliencia del ne- gocio. La inclusión de modelos de BPM ( Business Process Management ) o “gestión empresarial por procesos”, ayuda a la or- ganización a incluir las responsabilidades en materia de seguridad en cada Direc- ción. La asunción de responsabilidades concretas será otra de las grandes venta- jas en la incorporación de este modelo. Dicho proceso debe ser un Sistema Inte- grado de Gestión (SIG), que permita, con un único modelo, gestionar todos los sis- temas de la organización. 2. Creación de un Modelo Unificado de Controles (MUC) que incluya to- das las normas y estándares aplicables de los procesos definidos. Este modelo será el máximo común divisor de todos los controles aplicables, en función de la aplicación, permitiendo a la organiza- ción una reducción considerable tanto de los controles a implantar, como de los activos a proteger. El objetivo es la racionalización de las medidas de segu- ridad en base al riesgo. 3. Establecimiento de un ciclo de vida de implantación y seguimiento de los controles . Esta actividad será el éxito de un modelo de GRC, puesto que establecerá la sólida base sobre la que debe crecer un sistema de seguri- dad corporativa. 4. Creación de un método de aná- lisis de riesgos particular y especiali- zado para cada proceso , que facilite la toma de decisiones desde la sencillez El impacto de una amenaza en la industria será probablemente mucho mayor que los destrozos que pueda provocar un ataque físico Las bases de un sistema integrado de gestión.