#EnergySector i # CyberSecurity: l'altre buit de capacitat

Coneixem les mancances de capacitat del sector energètic. Heus aquí una afirmació amb la qual estic segur que la majoria dels líders del nostre sector estarien d'acord: la societat necessita energia i la demanda només creixerà. Necessitem més energia i ser més intel·ligents sobre com l’utilitzem per mantenir la seguretat del subministrament, escriu Michael John, director d’operacions de ENCS.

Ara substituïu la paraula "poder" per "recurs de seguretat cibernètica". Hi estaria d’acord tanta gent? Ho haurien de fer, perquè és cert.

Aquesta bretxa de recursos és molt real i és crucial que puguem comprendre-la a mesura que la nostra infraestructura es faci més intel·ligent i connectada. Una part d’aquesta equació és la bretxa de competències (el dèficit de professionals de la ciberseguretat del sector) que ja hem comentat anteriorment. Tanmateix, a part de les habilitats, hem d’augmentar els recursos i ser més intel·ligents sobre com els implementem.

Tot a bord?

Les empreses energètiques europees han avançat realment en la seguretat cibernètica de moltes maneres. Tot i que fa una dècada, no hi havia moltes converses a nivell de consell que afectessin la ciberseguretat, ara no és estrany escoltar un conseller delegat tranquil·litzant a les parts interessades el grau de serietat que prenen el tema.

Però les accions parlen més fort que les paraules i el servei labial no n’hi ha prou. Normalment, s’aconseguiran membres del consell, líders superiors que han fet la seva carrera professional en un món molt diferent, on la seguretat està relacionada amb les tanques de cadena. És comprensible que puguin no comprendre l’escala i la importància de l’amenaça i, a més, tenen molts altres problemes comercials que competeixen per la seva atenció.

Per tant, el que necessitem és que hi hagi més persones amb habilitats de seguretat cibernètica als consells, per assegurar-nos que quedi al capdamunt de l’agenda. La "C" a CISO mostra la importància que tenen i el nombre de funcionaris en cap de seguretat de la informació (CISO) del sector energètic europeu creix, però encara en necessitem més amb més poder de decisió. La ciberseguretat ha de ser un component bàsic de l’estratègia de qualsevol utilitat.

anunci

Competència de recursos

Actualment, la majoria de serveis públics compten amb gent de seguretat amb talent a l’organització. Però molt pocs tenen prou gent, cosa que deixa un equip restringit de recursos per gestionar diverses prioritats competidores.

A mesura que les normatives i normes de seguretat s’aconsegueixen correctament a l’espai energètic, els equips inverteixen temps i recursos per complir-los i, alhora, encara s’ocupen d’una sèrie de tasques generals de seguretat.

Estaria bé en un equip de seguretat amb molts recursos, però, en realitat, veurem que altres projectes importants cauen en l’ordre. Hi haurà necessitats de seguretat cibernètica a la utilitat que no es tractaran a causa de les limitacions de recursos. Per tant, la inversió ha d'augmentar.

La vella divisió OT / IT

La divisió de tecnologia operativa (OT) / tecnologia de la informació (TI) és una cosa que significarà poc per a l’home del carrer, però que és molt familiar al nostre món. Els sistemes informàtics i els sistemes OT encara són molt diferents. Els construeixen diferents persones amb diferents graus i visions del món, utilitzant protocols diferents amb finalitats diferents. L’enginyer que va dissenyar el transformador a la subestació fa vint anys mai no tenia al cap una idea de seguretat cibernètica: al cap i a la fi, els sistemes no estaven interconnectats com avui. De la mateixa manera, probablement mai no se li va ocórrer al programador que va dissenyar el sistema de facturació del client pensar en el protocol de comunicacions de comptadors intel·ligents, ja que tal cosa no existia.

Ara bé, els mons es fusionen. En crear més xarxes intel·ligents connectades digitals, reunim TI i OT i creem reptes de seguretat al domini OT que anteriorment pertanyien exclusivament al TI.

Sens dubte, necessitem més gent del sector que entengui tots dos dominis. Això trigarà. Tot i això, les empreses sovint empitjoren el problema en organitzar malament els recursos que tenen en una organització.

Fins ara, els nois de TI probablement tenien molt poca interacció amb els enginyers que tenien cura d’OT. Tot i això, les empreses de serveis públics han d’idear maneres d’apropar aquestes persones i de fer-les parlar per començar a crear la barreja de coneixements i habilitats i maximitzar el valor a partir d’un recurs limitat.

La seguretat com a conseqüència

Ja fa més de deu anys que escoltem frases com "seguretat de punta a punta" i "seguretat pel disseny". El principi bàsic és que s’ha de tenir en compte la seguretat des del principi i no abordar-la al final.

Però, a la pràctica, no està passant prou.

Suposem que treballeu en una utilitat i voleu provar una nova tecnologia o servei. El més probable és que estigueu treballant amb una pressió horària significativa, no fos cas que la competència us guanyés al mercat. En aquest moment, molts s’afanyen a posar en marxa un programa pilot per provar la viabilitat, però no tenen en compte la seguretat cibernètica. Al cap i a la fi, pot ser que no sigui una idea avançada, de manera que seria una pèrdua de temps i recursos preocupar-se per la seguretat en aquesta primera etapa, oi?

Comprensible, però equivocat. Perquè al final no es pot afegir seguretat. És possible que hi hagi un defecte fonamental en l’enfocament que no es pugui simplement corregir; pot haver-hi massa vulnerabilitats per portar-lo al mercat. L'equip de seguretat, cridat com a última consideració, pot estar en la posició poc envejable de suprimir tot el projecte, sufocant la idea completament. Tot això funciona sense res!

Aquest no és el paper que volen jugar els professionals de la seguretat, però massa sovint és el que han de fer. I continuarà sent fins que no es consultin adequadament des de les primeres etapes del projecte. Una vegada més, requerirà una reorganització de com les empreses utilitzen els recursos limitats de ciberseguretat que tenen.

Raons per estar alegres?

Tot i així, no tot és una penúria. Hi ha inversions en ciberseguretat, molt més que abans. Això va de la mà de la creixent consciència entre els equips de lideratge i el que comença a mesura que el servei de llavis es fa sincerament a mesura que es fa conscient de la importància de la seguretat cibernètica.

I la mateixa transició energètica que està augmentant la necessitat de seguretat cibernètica també crea oportunitats. Mireu tots els grans serveis públics que canvien fonamentalment la seva estratègia com a empresa, que generen actius i recalibren completament els equips de lideratge. Mai no hi ha hagut un moment millor per al canvi radical, com ara posar experts en seguretat al consell, per exemple.

La bona notícia és que estem fent moltes coses correctes. La mala notícia és que no ho estem fent enlloc prou ràpidament.

Comparteix aquest article: