3.1 Objetivo general
El objetivo general del presente trabajo queda centrado en el desarrollo de una metodología, cuyo enfoque práctico trate de manera integral la implementación de un sistema de gestión de ciberseguridad industrial. De modo, que aporte cobertura a las compañías involucradas en el sector, obteniendo una metodología mediante la cual, sean capaces de proteger sus activos, por medio de la implantación de controles y recomendaciones, basadas en la actual legislación, y buenas practicas del sector industrial.
Así, mediante la realización de dicho estudio se pretende ofrecer una ayuda a las compañías del sector industrial, generando un documento en castellano, que sintetice la actual información referente a la protección de los sistemas de control industrial e implemente nuevas buenas prácticas a seguir conforme a lo establecido en la actual normativa vigente.
Por otro lado, con la presente metodología se pretende formar parte de la creación de una cultura de ciberseguridad en los entornos industriales, enfocado en la pequeña y mediana empresa, de forma que, el personal implicado en el diseño, desarrollo, implantación, adquisición y operación, cuenten con el conocimiento necesario, para actuar en caso de incidente.
A través del presente estudio, se propone como determinar el riesgo para así, medir y analizar cuales son los eventos que podrían afectar a los sistemas que se desean proteger. Además, de ayudar a la identificación de las posibles vulnerabilidades y amenazas, para determinar cuales son los puntos débiles de los sistemas a proteger, y cómo podría afectar al funcionamiento de los procesos de negocio.
Se ofrece una diferenciación entre las características que componen los sistemas de información corporativa, contra los entornos industrializados, contemplando diferencias entre los protocolos de comunicación, tolerancia a retardos, frecuencia de actualización y parcheo, integridad de los mensajes, sistemas operativos entre otras funcionalidades.
Así, la presente metodología pretende impulsar y contribuir a la mejora de la Ciberseguridad en el entorno industrial, mediante el análisis de diferentes buenas prácticas, estándares y guías, implementando una metodología para ayudar a la gestión del riesgo relacionado con la ciberseguridad industrial, contemplando el procesamiento, transmisión de datos y almacenamientos que son utilizados en las compañías del entorno industrial.
3.2 Objetivos específicos
De este modo, los objetivos específicos de la metodología son los siguientes:
- Explorar la problemática actual de los sistemas de control industrial, en relación a la protección de sus activos, amenazas y vulnerabilidades, así como el estado actual internacional de las indicativas de protección de sistemas de control industrial.
- Desarrollar guías en castellano, teniendo en cuenta que la mayoría de la documentación a consultar se encuentra en inglés, por lo que servirá de ayuda al sector nacional, para llevar a cabo un sistema de protección de sus activos.
- Establecer una metodología que abarque el ciclo de vida completo de los sistemas de control, teniendo en cuenta que la mayor premisa a proteger en este ámbito, se trata de la disponibilidad, por lo que un ciclo de vida seguro es de vital importancia.
- Sintetizar un enfoque hacia procesos, teniendo en cuenta, los diferentes elementos que participan en la actividad del sistema de gestión de ciberseguridad industrial y el encadenamiento de procesos.
- Establecer unas directrices para la implementación de técnicas de ciberseguridad industrial para la Pequeña y Mediana Empresa, con misión de evitar pérdidas económicas incalculables, así como pérdida de reputación y por tanto, confianza de los clientes en caso de incidente.
- Sintetizar el concepto de aplicación dentro de una organización industrial, mediante la diferenciación entre la ciberseguridad de la red corporativa (red TI) y la ciberseguridad de la red de operación (red TO).
- Analizar las prioridades de las empresas para definir a que riesgos se enfrentan, cuales son los factores internos y externos que impactan en los sistemas a proteger, así como la estrategia y/o medidas a implementar.
3.3 Metodología del trabajo
Para alcanzar los objetivos anteriormente nombrados, el presente trabajo queda fundamentado en cuatro fases diferenciadas:
- Investigación: En esta etapa se procede a la recopilación de información
relacionada con los sistemas de control industrial, estándares, guías y buenas prácticas de ciberseguridad en entornos industriales.
Por otro lado, es analizado el contexto actual, en relación a las amenazas y vulnerabilidades de este tipo de sistema, extrayendo el conocimiento sobre la información relevante para la elaboración de la memoria.
- Adaptación de la información recopilada: Una vez se ha seleccionado la
información para la elaboración de la metodología, se procede a la traducción, modificación de redacción, anexión de contenido de otros artículos y/o documentación concerniente al trabajo para la alineación de la información existente.
- Identificación de necesidades: En esta etapa se lleva a cabo el reconocimiento de
los aspectos mejorables o sin definir por las fuentes consultadas en el estado del arte actual, en relación a la aplicación de medidas de ciberseguridad industrial en la pequeña y mediana empresa.
- Propuesta de metodología como nueva solución: En la última etapa, se
propone una metodología de trabajo basada en estándares, normas y buenas practicas, tratando de actualizar las medidas existentes al contexto de las PYMES, inter-conexionando controles y técnicas existentes, para tratar de mejorar o contemplar las carencias encontradas.
El proceso completo de realización de la presente metodología está basado en la documentación publicada en relación al ámbito del trabajo, por medio de diferentes medios y formatos, además del conocimiento de expertos en la materia, mediante la presentación de la metodología para la obtención de sugerencias, cambios y consejos en la realización del trabajo.