El CCI comparte su Herramienta de Evaluación de Madurez de la Ciberseguridad con Organizaciones Industriales
La Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL) organizó el 31 de mayo en Buenos Aires (Argentina) un taller sobre la ‘Herramienta de Evaluación de Madurez del Proceso de Ciberseguridad en Organizaciones Industriales’, desarrollada por el Centro de Ciberseguridad Industrial (CCI). Era la primera vez que se compartía esta herramienta en un taller práctico. Asistieron 36 profesionales, mayoritariamente de los sectores Oil&Gas y compañías eléctricas.
El director del CCI, José Valiente; su vicepresidente, Miguel García-Menéndez, y Claudio Caracciolo, coordinador general para Latinoamérica del CCI impartieron el taller, que se inició con un repaso de los principales modelos de evaluación de madurez en ciberseguridad, para concluir que la del CCI destaca por su simplicidad, inclusión de nuevos parámetros y la posibilidad de establecer comparaciones con otras organizaciones.
José Valiente definió la evaluación del nivel de ciberseguridad industrial en una organización como algo importante para “saber en qué nivel estamos, la falta de capacidad a cubrir y qué tipo de acciones debe llevar a cabo la organización para mejorar su ciberseguridad”. Su propuesta a los asistentes fue que al cabo de un año revisasen el análisis realizado en el taller y las mejoras aplicadas.
Miguel García-Menéndez explicó que el CCI presentó en 2015 su ‘Herramienta de Evaluación de Madurez del Proceso de Ciberseguridad en Organizaciones Industriales’, aunque hasta ahora no se había celebrado un taller para ponerla en práctica. La herramienta consta de una pequeña guía-manual y una hoja de cálculo. Se evalúan 122 objetivos englobados en un enfoque tridimensional según Áreas de Proceso, Niveles de Madurez y Actividades.
Cada objetivo entra dentro de un Área de Proceso, divididas en Estrategia, Activos, Riesgos, Accesos, Configuración, Operación, Organización y Continuidad. También cada objetivo tiene un Nivel de Madurez (Inicial, Gestionado, Estandarizado u Optimizado), y forma parte de una Actividad: Definición, Comunicación, Asignación, Desarrollo y Auditoría. El parámetro de Actividades es novedad respecto al resto de modelos de evaluación disponibles. García-Menéndez puso algunos ejemplos de objetivos a evaluar, como podrían ser la ‘Publicación de la política de ciberseguridad de la organización", la "Asignación de responsabilidades en la gestión de cambios’ o la ‘Ejecución de pruebas de planes de contingencia’. Además del nivel de madurez del objetivo, se evalúa su estado (del 0% al 100%), su nivel de criticidad para aquella organización y sector concretos y qué esfuerzo se necesita en tiempo, presupuesto o recursos humanos para llevarlo a cabo.
Una vez introducidas las valoraciones de nivel de madurez de cada objetivo, la herramienta ofrece unos resultados que permiten conocer el grado de ciberseguridad industrial y los criterios para mejorarla. El único riesgo de esta herramienta, y de todos los modelos actuales de madurez según Miguel García-Menéndez, es que se basan en la subjetividad de quien realiza el análisis, que debe ser realista y humilde en sus valoraciones. Asimismo, dijo, hay que esperar que las otras organizaciones hayan sido también realistas cuando se utiliza la herramienta para compararse con la industria.