Una guía de referencia para la gestión de la ciberseguridad en la industria

El Centro de Ciberseguridad Industrial ha publicado la primera "Guía Práctica para la Construcción de un Sistema de Gestión de la Ciberseguridad Industrial (SGCI)" que permite cubrir la escasez de referencias normativas que tratan, de manera particular, la gestión de la ciberseguridad en los sistemas de automatización y control en empresas productivas. La guía es gratuita para los miembros del CCI y tiene un coste de 450 euros para el público en general. Puede descargarse y adquirirse en la página web del CCI.

El documento, en el que ha trabajado un equipo de expertos y el ecosistema del CCI durante dos años generando cinco borradores y más de trescientas aportaciones y comentarios, se detallan nuevas directrices para un tratamiento eficaz, eficiente y continuado de los riesgos sobre la disponibilidad, la integridad y la confidencialidad de las operaciones, y de la información gestionada por los sistemas en línea con las necesidades estratégicas de la organización. Seis son las áreas donde desarrolla sus contenidos: definición de una estrategia de ciberseguridad industrial, gestión de los riesgos, promoción de una cultura de la ciberseguridad, establecimiento de normativas de ciberprotección, garantía de resiliencia y continuidad de los sistemas y gestión, mejora y sostenibilidad del SGCI.

El SGCI que propone la guía se desarrolla en base a dos grandes premisas. En primer lugar, independencia e integración, es decir, todo sistema de gestión de la ciberseguridad industrial, aun siendo compatible con otros sistemas de gestión ya existentes en la organización, gozará de una cierta autonomía desde el punto de vista de su implantación. "De ese modo, se facilitará su puesta en marcha cuando la madurez, en ciberseguridad industrial, de otros departamentos de la organización resulte insuficiente; e, incluso, cuando el objetivo último de la integración de los diferentes sistemas de gestión esté presente", explican desde el CCI. En segundo término, debe prevalecer la agilidad y operatividad: todo SGCI deberá, igualmente, primar la operatividad, "al menos inicialmente, potenciando la adopción de medidas que cubran requisitos de ciberprotección básicos sobre los sistemas de automatización y control industrial; requisitos que podrán ir ampliándose, posteriormente".