Seguritecnia 494
Ciberseguridad de seguridad electrónica se van a utili- zar, estaremos ignorando las amenazas IT que puedan surgir a raíz de su imple- mentación, lo cual supone un riesgo no tanto para el elemento de seguridad electrónica en sí, sino para aquello que debe proteger. El objetivo del segundo capítulo de la guía no es más que propo- ner una actualización de la manera de proceder que incluya también el análisis de riesgos en los sistemas de seguridad física. El tercer capítulo trata con mayor deta- lle cuáles son los procedimientos que se suelen utilizar a la hora de hacer un aná- lisis de riesgos IT con un enfoque orienta- do a los sistemas de seguridad electróni- ca. Estos equipos tienen mayor similitud con el hardware y software del entorno de la gestión industrial (también denomi- nados OT, siglas de Operational Techno- logy ) y por eso el documento ha utilizado como referencia las guías CCN-STIC-480 de Seguridad en el control de procesos y SCADA, publicadas por el CCN-CERT (Centro Criptográfico Nacional-Computer Emergency Response Team). A su vez, a la hora de plantear la catalogación de activos y amenazas, se ha propuesto una adaptación de MAGERIT v3.0, también publicado por el CCN-CERT. Esto es así porque, desde el grupo de trabajo, se consideró que lo más práctico y efecti- vo era poder alinear de la mejor manera posible la forma de trabajar en los pro- yectos de seguridad electrónica con los estándares utilizados en los departamen- tos de seguridad OT e IT. En el siguiente capítulo se proponen las medidas de control a aplicar, primero a nivel organizativo y después a nivel de producto, frente a algunos de los cibe- rriesgos comunes identificados en los sis- temas de seguridad electrónica. De esta manera, se establecen una serie de bue- nas prácticas que podrían servir como punto de partida para la adopción de medidas más específicas en el sistema de seguridad electrónica concreto sobre el que vaya a actuar el usuario de la guía. Llegados a este punto, cabe remarcar que, si bien los fabricantes de productos cada vez implementan más elementos de ciberseguridad en sus equipos, el documento contempla no solo la ne- cesidad de comprobar que estos estén disponibles para hacer un uso adecua- do de ellos, sino que también propone la aplicación de medidas a nivel de siste- ma, es decir, de los equipos interconec- tados entre sí y a la red. Por último, la guía explora las oportu- nidades que se pueden generar para las empresas de seguridad a partir de esta nueva necesidad, proponiendo nuevos servicios en los ámbitos de la ingeniería y consultoría de seguridad, la instalación y el mantenimiento de los sistemas de seguridad electrónica. La Guía AEINSE 10/21 de buenas prác- ticas de ciberseguridad en proyectos de seguridad física se ha concebido como un documento que ayude no solo a concienciar sobre la necesidad de apli- car medidas de ciberseguridad en los proyectos de seguridad física, sino tam- bién para dar los primeros pasos para poder acometerlas en proyectos nuevos o existentes. Desde la asociación se ha trabajado para que pueda ser aplica- da por todos los actores del ámbito de la seguridad, de manera que resulte útil para usuarios finales, consultores, proyectistas, ingenieros, instaladores y mantenedores de sistemas de seguridad electrónica. La guía está disponible para descargar de manera gratuita en la página web de AEINSE: www.aeinse.es . Al igual que sucedió con la incorporación de los sistemas de seguridad de las redes IT, las empresas se encuentran hoy con la necesidad de actuar en un ámbito que les resulta nuevo / Marzo-Abril 2022 101
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz