Simple Solutions That Work! Issue 16

96 • ¿Qué sucedería si falla una práctica/procedimiento/máquina? • ¿Qué se necesita y cuánto tiempo tomará recuperarnos de la falla? • ¿Es segura nuestra red? • ¿Está a salvo nuestra propiedad intelectual? • ¿Es segura nuestra cadena de suministros? • ¿Qué hacemos a continuación? Crear una matriz de riesgos tradicional es una buena manera de planificar por si hay una falla. Como ejemplo: Una vez completada la matriz para todas las operaciones de la fundición, pueden monitorearse los eventos en tiempo real y emitir un informe que indique el riesgo. Luego consejos sobre cómo mejorar sus procedimientos e implementar una Industria 4.0 de manera segura en su fundición. Aunque sin ordenarlos por importancia, debajo hay una lista de algunas debilidades encontradas en las operaciones de mi fundición: • Falta de conciencia del problema entre el personal o No tenemos un programa formal de capacitación en ciberseguridad. Los individuos que utilizan una PC de la compañía reciben instrucciones verbales de qué hacer y qué no, pero es muy informal. • Uso de internet, dispositivos de mano y con USB o Tenemos algunas reglas acerca del uso de teléfonos celulares, pero son casi imposibles de hacer cumplir. Ahora que los teléfonos inteligentes pueden hacer cualquier cosa incluyendo email de la compañía y trabajo y logramos un 65% de éxito al recuperar archivos. El resto se perdió. • Estándares y protocolos inadecuados o Este punto se relaciona con el primero, sin embargo, la dirección hizo poco para mejorar los estándares. La dirección debe involucrarse, asumir el liderazgo y fijar las pautas. • Configuración pobre del cortafuegos o acceso remoto sin gestionar o Tenemos una buena protección de cortafuegos (firewall), pero nuestra protección para acceso remoto es promedio. Tenemos clientes que nos dan acceso remoto a sus PLCs para asistencia técnica de problemas de manera remota. A medida que esta práctica gana popularidad debemos considerar la protección de la red de trabajo. • Pobre protección contra malware o Hay cientos de aplicaciones contra software malicioso en redes, los riesgos aumentan. En una Industria 4.0/IIoT las máquinas de la fundición se comunican con los dispositivos del gerente de mantenimiento por tareas de mantenimiento prescriptivo. • Backups inadecuados o Tuvimos una caída de un servidor y nos llevó a descubrir que nuestro servidor de copias de respaldo había estado inoperativo durante algunos meses. Enviamos los discos a una compañía de reparación/recuperación en el mercado actualmente. Un problema que experimentamos en mi compañía es que los usuarios discontinúan la utilización de protección contra malware con la excusa de que “enlentece mucho mi computadora.” Otra buena medida contra el software malicioso son las copias de respaldo de calidad realizadas a diario. Ahora que se identificaron los riesgos, debemos desarrollar procedimientos de seguridad. Debido a la criticidad de la ciberseguridad, se creó la Agencia de Ciberseguridad e Infraestructura de Seguridad (Cybersecurity and Infrastructure Security Agency - CSISA) por el gobierno federal de los EE. UU. Su catálogo está disponible en https://www.cisa.gov/ publication/cisa-services-catalog Adicionalmente, en Dic/04/2020 el Congreso aprobó la Ley Nº:116- 207 “The Internet of Things Cybersecurity Act of 2020”. Este proyecto de ley requiere que el National Institute of Standards and Technology (NIST) y la Office of Management and Budget (OMB) tomen acciones específicas para aumentar la ciberseguridad de los dispositivos con Internet de las Cosas (IoT). IoT es la extensión de la conectividad de internet a los dispositivos físicos y objetos diarios. Otros trabajos de marco de referencia y estándares como IEC 62443, ISO 27001 y 27002, NIST Special Publication 800-82 y el marco de referencia NIST para la mejora de la infraestructura crítica de Ciberseguridad se crearon como guías. Aunque tanto la tecnología de la información (IT) como la tecnología de operaciones (OT) son importantes, los gerentes de la fundición deben marcar una clara distinción entre la gestión de IT y la de OT. Esto puede ser difícil ya que las prioridades de IT y OT a veces son diferentes.