El responsable de la ciberseguridad industrial en la actualidad

Ya se han comentado en otros artículos de este mismo blog las distintas responsabilidades de ciberseguridad en la organización, incluyendo las del responsable de los sistemas de información dentro de una empresa, las relativas a los activos que posee la empresa, los planes directores de seguridad, etc., pero aún no se había abordado esta nueva figura de ciberseguridad relacionada con el mundo industrial.

¿Quién es el responsable de ciberseguridad industrial?

El responsable o coordinador de ciberseguridad industrial es la figura, identificada en un trabajador, encargada de gestionar y reportar el riesgo al comité de seguridad de la empresa.

Hay muchos candidatos dentro de una empresa del sector industrial que podrían ser designados como responsables de ciberseguridad industrial. Si la empresa se ha embarcado ya en la aplicación de un sistema de gestión de seguridad de la información, dispondrá de un director o responsable de seguridad de la información (más conocido como CISO, de sus siglas en inglés). Éste sería el primer candidato, de manera que se convertiría en el director o responsable de seguridad de la información y la operación, pasando a ser el CIOSO (Chief information and operation security officer).

Pero hay otros múltiples candidatos a tener en cuenta como posibles responsables de la seguridad industrial:

• Responsable de calidad: Esta figura se encarga del cumplimiento de varias normativas ISO relacionadas con la producción, y las tareas de seguridad serían un complemento a su trabajo.
• Responsable de seguridad corporativa (CSO): Como su nombre indica, esta figura se encarga de la seguridad de la empresa, incluyendo tanto la parte física como la lógica. Con estas funciones, es obvio que tareas tan importantes dentro del sector industrial, como la continuidad de negocio, ya le deberían resultar conocidas y podrían ser asumidas con facilidad. Dentro de las infraestructuras críticas, donde también es preciso disponer de un único responsable de ciberseguridad física y lógica, esta figura está tomando posesión de las funciones como responsable de ciberseguridad industrial.
• Responsable de tecnologías de la operación: El responsable del proceso industrial, dado su amplio conocimiento sobre el mismo, también puede ser otro de los elegidos. Pero en este caso podría haber más problemas ya que este perfil no dispone, a priori, de los conocimientos de seguridad suficientes y sus relaciones con el resto de la empresa suelen limitarse a aspectos informativos más que a una colaboración y conocimiento total de la misma. La existencia de estas carencias podría limitar en gran medida que pueda realizar un buen trabajo como responsable de ciberseguridad industrial.
• Responsable de tecnologías de la información: Al igual que sucede con el responsable de tecnologías de la operación, este perfil debería ya disponer de, justamente, los conocimientos opuestos al anterior. En este caso, sus conocimientos sobre seguridad y procesos de empresa son muy elevados, pero su desconocimiento del proceso operacional podría limitar sus capacidades para su nombramiento.

Y, por supuesto, siempre queda la opción de crear una nueva figura específica que se encargue exclusivamente de todas las funciones del responsable de ciberseguridad industrial, sin tener que darles más trabajo a los responsables ya existentes.

Tareas y funciones

Las tareas del responsable de ciberseguridad se engloban dentro del nivel táctico, definiendo las estrategias del comité de seguridad global de la empresa.

Responder a cuáles son exactamente las responsabilidades asociadas al rol del responsable de la ciberseguridad industrial en una organización es una tarea compleja, ya que esto depende en cierto grado de cada organización y del concepto que tiene de la labor de responsable, ya que muchas veces, por desconocimiento, organización o por falta de personal, realizan o están a cargo de tareas que no son realmente propias de este rol.

Por norma general, las funciones que suelen estar asignadas a la figura del responsable de ciberseguridad industrial son:

• Reportar al comité de seguridad todos los aspectos derivados del cumplimiento normativo y procedimental que aplica.
• Asegurar el correcto funcionamiento del sistema de gestión de riesgos, realizando análisis periódicos.
• Definir estrategias de ciberseguridad que vayan asociadas con el proceso de operación.
• Identificar los objetivos de protección y sus métricas, clasificándolos de acuerdo con la importancia para el proceso y la operativa.
• Implementar una política de ciberseguridad, así como desarrollar las normas, procedimientos y directivas necesarias para el mantenimiento continuo de la ciberseguridad.
• Aprobar la instalación de nuevos sistemas y asegurarse que cumplen con la política definida.
• Fomentar la concienciación y cultura de ciberseguridad entre todos los operadores y empleados, además de subcontratas, fabricantes y empresas de mantenimiento.
• Planificar y probar la respuesta a incidentes posibles.
• Investigar vulnerabilidades que hayan afectado al sistema o puedan afectarle tratando de obtener conclusiones que permitan hacer mejoras de seguridad y rebajar el nivel de exposición.
• Colaborar en las acciones disciplinarias relacionadas con infracciones que estén afectadas relacionadas o hayan podido afectar al proceso de alguna manera.
• Revisar, supervisar y validar todos los cambios sobre los sistemas, para que no se degrade el nivel de seguridad y se ajusten a la política de gestión de cambios.
• Asegurar que la ciberseguridad se integra dentro de los procesos y como parte de los objetivos de la empresa y está alineada con ellos.
• Evaluar y coordinar la implementación de controles de ciberseguridad específicos para los sistemas.
• Estar informado y mantenerse al día en materia de ciberseguridad.

Como se ve, todas las tareas a realizar están relacionadas con la gestión, aunque gran parte de ellas requieren un conocimiento técnico de los procesos industriales para poder llevarse a cabo de manera satisfactoria.

Responsable de la ciberseguridad industrial vs. responsable de la ciberseguridad corporativa

Aunque a simple vista pueden parecer dos cargos casi iguales, el responsable de la ciberseguridad industrial y el responsable de la ciberseguridad corporativa deberían tener funciones diferenciadas. Mientras que el primero debería ser el encargado de la parte industrial y de proceso, el segundo debe estar más centrado en la información. Bien es cierto que algunas de las funciones son las mismas, pero siempre salvando el ámbito de actuación de cada uno. Lo lógico sería que las funciones que realiza el responsable de la ciberseguridad industrial fuesen una agrupación de las realizadas por el responsable de la ciberseguridad corporativa (CSO) y el director de seguridad de la información (CISO).

Formación

El responsable de ciberseguridad industrial tendría que ser un trabajador altamente cualificado debido a las tareas que debe desempeñar y la responsabilidad que conllevan. Por ello, debería recibir formación de forma periódica para actualizar sus conocimientos y, sobre todo, al iniciar las tareas asociadas a su nuevo puesto, para que sepa con la mayor certeza posible cómo actuar en cada caso.