La cultura organizacional es su mejor ciberdefensa
La ciberseguridad de la red eléctrica no es un problema fácil de resolver. La naturaleza remota y heterogénea de los activos, combinada con el uso generalizado de sistemas heredados, hace que la identificación y mitigación de los puntos de vulnerabilidad sea un gran desafío. A diferencia de sus homólogos en el mundo empresarial que pueden desplegar soluciones de defensa cibernética listas para usar en un entorno contenido, las empresas de servicios públicos se enfrentan a una letanía de amenazas sin que falten los puntos de acceso potenciales.
El cambio tecnológico que se ha producido en la industria de la energía en las últimas dos décadas ha conducido a un suministro de energía más estable y eficiente. Ahora hay una plétora de sensores en la infraestructura que proporcionan datos actualizados que permiten a los técnicos e ingenieros responder de forma casi instantánea a recursos con un rendimiento inferior o a situaciones anómalas. Sin embargo, estos sistemas también han creado numerosos puntos de vulnerabilidad.
Para abordar la cuestión de la ciberseguridad de forma significativa, las empresas deben adoptar una visión global. Necesitan evaluar qué activos deben protegerse, en qué lugar de la red se encuentran, cómo debe interactuar la fuerza laboral con esos activos y otras cuestiones. Luego necesitan diseñar una solución holística que coordine todos los silos para proteger estos activos. La seguridad industrial de hoy en día no es insular. No es de origen local. Es colaborativa e intencional.
Cómo cambiar la conversación sobre la seguridad de la red
Resolver el enigma de la ciberseguridad en la industria de la energía no es sólo cuestión de obtener una nueva o mejor trampa para ratones, se trata de cambiar la conversación y fundamentalmente de cambiar el enfoque. Por lo general, las organizaciones de energía se establecen para operar dentro de silos con diferentes departamentos que manejan sus responsabilidades con poca o ninguna información crítica compartida. Si de verdad quiere erradicar las posibles amenazas a la seguridad que pueden socavar sus instalaciones, el primer paso es reunir a todas las partes interesadas principales para que apoyen la causa y lograr que se muevan en la misma dirección.
Cuando se trata de la seguridad en la industria de la energía, cumplir con las normas y ser capaz de pasar una auditoría debe ser el estándar mínimo, no necesariamente el nivel que se desea alcanzar con el trabajo. Aunque las iniciativas de cumplimiento pueden parecer abrumadoras (los estándares PIC de NERC por sí solos cubren más de 40 requisitos diferentes), alcanzarlos representa el punto de partida para una práctica de seguridad efectiva, no la meta final.
Para alcanzar el nivel de seguridad necesario para frustrar los sofisticados ataques de hoy en día también se requiere una comprensión organizacional del enemigo común. Cuando se trabaja en la industria de la energía, no se está equiparando las habilidades con la de una carrera de hacker de molinos. Se enfrentará a adversarios capaces y bien financiados como estados nacionales o sindicatos criminales. Crear una línea de defensa formidable contra estas amenazas exige que la organización trabaje al unísono para lograr este objetivo.
La seguridad es a menudo una cuestión de mentalidad. Esfuerzos como el de las campañas “Si encuentras algo, dilo” pueden parecer simplistas, pero funcionan porque son sencillos e inclusivos. La seguridad organizacional es un esfuerzo colectivo que se integra en la cultura con el paso del tiempo. Exige una mentalidad que empodere a todos y cada uno para marcar la diferencia en la protección contra amenazas potenciales. Ninguna persona, tecnología o equipo puede resolver completamente la amenaza de la ciberseguridad de forma aislada.
INFORMACIÓN ADICIONAL
- Lectura adicional: Trabajar con relés en la era de las sanciones récord de NERC
- Obtenga más información: Las cinco razones principales por las que los proyectos de análisis y gestión de datos de empresas de servicios públicos pueden fracasar
- Publicaciones relacionadas: Las cinco razones principales por las que los proyectos de análisis y gestión de datos de empresas de servicios públicos pueden fracasar
- Información sobre el producto: Soluciones de Seguridad y PIC de NERC de Doble