ENISA y S21sec ayudan a coordinar estrategias para mejorar la seguridad industrial en la UE
'Good Practices for an EU ICS Testing Coordination Capability' es el nuevo informe publicado por La European Union Agency for Network and Information Security (ENISA) que servirá como guía de buenas prácticas para coordinar las capacidades de testing de los Sistemas de Control Industrial (ICS), y que ha contado con la ayuda de S21sec.
Los ICS están diseñados para soportar procesos industriales en compañías de gas y electricidad, tratamiento de aguas, refinerías y transportes, entre otros sistemas, considerados a menudo como Infraestructuras Críticas. En los últimos años, estos sistemas han pasado de estar aislados como tecnologías operativas (OT) a estar presentes en un marco de arquitectura abierta, interconectados con los sistemas TIC. Este cambio de paradigma ha supuesto que los ICS estén expuestos a las vulnerabilidades que afectan a las redes de comunicaciones y a los equipos informáticos.
Ante este escenario, ENISA propone en este documento, desarrollado junto a destacados técnicos de S21sec, la creación de un modelo de seguridad adaptado a los ICS y que sea respaldado por los actores involucrados en cada uno de los Estados miembros de la UE, y en coordinación con otros planes de acción, como el Programa Europeo para la Protección de las Infraestructuras Críticas (EPCIP). Este estudio se propone servir de modelo organizativo con estrategias y metas comunes, redundando así en unos Sistemas de Control Industrial más seguros, sujetos a unas capacidades de testing de seguridad coordinadas y fiables.
Este informe, para cuya elaboración se ha realizado una exhaustiva investigación de campo, una encuesta online a decenas de expertos internacionales y entrevistas en profundidad con 27 expertos de la Unión Europea, de Estados Unidos, Japón, India y Brasil, propone una serie de cuestiones clave y recomendaciones para los sectores público y privado, con especial foco en las instituciones de la UE. Entre ellas está que la Unión Europea debe impulsar iniciativas conjuntas que mejoren las capacidades de testing de los ICS, establecer una junta ejecutiva fiable y funcional para reforzar su liderazgo, la creación de grupos de trabajo por áreas específicas, la definición de un modelo financiero adecuado a la situación europea, llevar a cabo un estudio de viabilidad con respecto a un Modelo de Operaciones Distribuido, impulsar acuerdos de colaboración con otras organizaciones relacionadas con la seguridad de ICS. Por último se contempla la necesidad de desarrollar un programa de gestión del conocimiento en torno al testing de Sistemas de Control Industrial.
