#EnergySector y #CyberSecurity: la otra brecha de capacidad

Estamos familiarizados con las brechas de capacidad en el sector energético. Aquí hay una declaración con la que estoy seguro de que la mayoría de los líderes de nuestra industria estarían de acuerdo con: la sociedad necesita energía y la demanda solo crecerá. Necesitamos más poder y ser más inteligentes acerca de cómo lo usamos para mantener la seguridad de suministro, Escribe Michael John, director de operaciones en ENCS.

Ahora reemplace la palabra 'poder' con 'recurso de seguridad cibernética'. ¿Estaría de acuerdo mucha gente? Deben, porque es cierto.

Esta brecha de recursos es muy real y es crucial que la enfrentemos a medida que nuestra infraestructura se vuelve más inteligente y más conectada. Una parte de esta ecuación es la brecha de habilidades, la escasez de profesionales de seguridad cibernética en el sector, que hemos discutido antes. Sin embargo, además de las habilidades, necesitamos aumentar los recursos y ser más inteligentes sobre cómo los implementamos.

¿Todos a bordo?

Las empresas energéticas de Europa han logrado avances reales en materia de seguridad cibernética de muchas maneras. Mientras que hace una década, no muchas conversaciones a nivel de la junta directiva tocarían incluso sobre la seguridad cibernética, ahora no es raro escuchar a un CEO tranquilizando a las partes interesadas qué tan seriamente están tomando el tema.

Pero las acciones hablan más que las palabras, y las palabras no son suficientes. Por lo general, los miembros de la junta serán líderes experimentados que hicieron sus carreras en un mundo muy diferente, donde la seguridad estaba relacionada con vallas de alambre. Es comprensible que no comprendan la escala y la importancia de la amenaza y, además, tienen muchos otros problemas comerciales que compiten por su atención.

Entonces, lo que necesitamos son más personas con habilidades de seguridad cibernética en los tableros, para garantizar que se encuentre en la parte superior de la agenda. La 'C' en CISO muestra cuán importantes son, y los rangos de Jefes de Seguridad de la Información (CISO) en el sector energético europeo están creciendo, pero aún necesitamos más de ellos con mayor poder de decisión. La seguridad cibernética debe ser un componente central de la estrategia de cualquier empresa de servicios públicos.

Anuncio

Concurso de recursos

La mayoría de las empresas de servicios públicos actualmente tienen algunas personas de seguridad con talento en la organización. Sin embargo, muy pocas personas tienen suficiente personal, dejando un equipo con recursos limitados para manejar una serie de prioridades en competencia.

A medida que las normas y estándares de seguridad se abren camino correctamente en el espacio de la energía, los equipos se encontrarán invirtiendo tiempo y recursos en el cumplimiento, mientras que, al mismo tiempo, siguen lidiando con una gran cantidad de tareas de seguridad general.

Eso estaría bien en un equipo de seguridad con muchos recursos, pero en realidad, veremos que otros proyectos importantes caen en el orden jerárquico. Habrá necesidades de seguridad cibernética en la utilidad que no se abordarán debido a las limitaciones de recursos. Por lo tanto, la inversión debe aumentar.

La antigua división OT / IT

La división entre tecnología operativa (OT) y tecnología de la información (TI) es algo que significará poco para el hombre de la calle, pero es extremadamente familiar en nuestro mundo. Los sistemas de TI y los sistemas de TO siguen siendo muy diferentes. Están construidos por diferentes personas con diferentes grados y visiones del mundo, utilizando diferentes protocolos con diferentes propósitos. El ingeniero que diseñó el transformador en la subestación hace veinte años nunca tuvo un pensamiento de ciberseguridad en su cabeza; después de todo, los sistemas no estaban interconectados como lo están hoy. Del mismo modo, probablemente nunca se le ocurrió al programador que diseñó el sistema de facturación del cliente pensar en el protocolo de comunicaciones del medidor inteligente, ya que tal cosa no existía.

Sin embargo, ahora los mundos se están fusionando. Al crear más redes digitales conectadas e inteligentes, unimos TI y OT, y creamos desafíos de seguridad en el dominio OT que anteriormente pertenecían exclusivamente al de TI.

Ciertamente necesitamos más personas en la industria que entiendan ambos dominios. Eso tomará tiempo. Sin embargo, las empresas a menudo empeoran el problema al organizar mal los recursos que tienen en una organización.

Hasta ahora, los tipos de TI probablemente tenían muy poca interacción con los ingenieros que se ocupaban de OT. Sin embargo, las empresas de servicios públicos deben idear formas de reunir a estas personas y hacer que hablen para comenzar a crear la combinación de conocimientos y habilidades y maximizar el valor de un recurso limitado.

La seguridad como una ocurrencia tardía

Durante más de diez años, hemos escuchado frases como 'seguridad de extremo a extremo' y 'seguridad por diseño'. El principio básico es que la seguridad se debe tener en cuenta desde el principio, no al final.

Pero en la práctica, simplemente no está sucediendo lo suficiente.

Supongamos que trabaja en una empresa de servicios públicos y desea probar una nueva tecnología o servicio. Lo más probable es que esté trabajando con una presión de tiempo significativa, para que la competencia no le gane al mercado. En este punto, muchos se apresuran a poner en marcha un plan piloto para probar la viabilidad, pero no tienen en cuenta la seguridad cibernética. Después de todo, puede que no sea una idea que se tome hacia adelante, por lo que sería una pérdida de tiempo y recursos preocuparse por la seguridad en esta etapa temprana, ¿verdad?

Comprensible, pero equivocado. Porque la seguridad no se puede agregar al final. Puede haber una falla fundamental en el enfoque que no puede ser parcheado, puede haber demasiadas vulnerabilidades para llevarlo al mercado. El equipo de seguridad, llamado como la última consideración, puede estar en la posición poco envidiable de evitar todo el proyecto, eliminando la idea por completo. ¡Todo ese trabajo para nada!

Ese no es el rol que los profesionales de la seguridad quieren jugar, pero con demasiada frecuencia es el que tienen que hacerlo. Y seguirá siéndolo hasta que sean consultados adecuadamente desde las primeras etapas del proyecto. Una vez más, requerirá una reorganización de cómo las empresas utilizan los limitados recursos de seguridad cibernética que tienen.

¿Razones para estar alegre?

Sin embargo, no todo es pesimismo. Hay inversión en seguridad cibernética, mucho más de lo que solía haber. Esto va de la mano con la creciente concienciación entre los equipos de liderazgo y lo que comienza como un servicio de atención gradual se vuelve más sincero a medida que se da cuenta de la importancia de la seguridad cibernética.

Y la transición energética que está aumentando la necesidad de seguridad cibernética también crea oportunidades. Observe todas las grandes empresas de servicios públicos que están cambiando fundamentalmente su estrategia como empresa, dividiendo activos y recalibrando los equipos de liderazgo por completo. Nunca ha habido un mejor momento para un cambio radical, como poner a expertos en seguridad en la junta, por ejemplo.

La buena noticia es que estamos haciendo muchas de las cosas correctas. La mala noticia es que no lo estamos haciendo en ningún lugar lo suficientemente rápido.

Comparte este artículo: