Skip to main content

Descubrir la regulación de la ciberresiliencia

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Enumerar los seis principios de la industria de petróleo y gas (OG) que ayudarán a los miembros de la junta directiva a controlar el riesgo cibernético.
  • Describir cómo establecer un modelo de regulación de ciberseguridad integral para el sector de OG.
  • Enumerar las preguntas que se considerarán para promover la cultura del diseño de seguridad y resiliencia.
  • Explicar por qué la gerencia debe considerar el riesgo cibernético en la organización y en el ecosistema más amplio.

Principios de ciberresiliencia de la industria de petróleo y gas

Los siguientes seis principios son específicos de la industria de petróleo y gas (OG), y se complementan con los principios de ciberresiliencia generales del Foro Económico Mundial (WEF, por sus siglas en inglés) para abordar desafíos de ciberresiliencia críticos. 

  • OG1. Regulación de la ciberresiliencia
  • OG2. Diseño de resiliencia
  • OG3. Responsabilidad corporativa para la ciberresiliencia
  • OG4. Enfoque holístico de gestión de riesgos
  • OG5. Colaboración en todo el ecosistema
  • OG6. Planes de ciberresiliencia que abarcan todo el ecosistema

Estos principios para actividades específicas de la industria de OG proporcionan a profesionales de ciberseguridad la asistencia para la implementación. Ahondemos en estos principios más detalladamente.

Principio OG1: Regulación de la ciberresiliencia

Nota

Antes de establecer un modelo de regulación de ciberseguridad integral, una mejor práctica es determinar qué datos protege la organización, y tener en cuenta algunos factores, como la clasificación de datos y la importancia crítica del proceso de negocio. Hecho esto, el paso siguiente es desarrollar un marco de trabajo de regulación de la ciberseguridad con funciones, responsabilidades, una misión y una visión que sean claras. 

La junta de organizaciones en la industria de OG debe exigir que la gerencia establezca un modelo de regulación de ciberseguridad integral.

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones.

  • ¿Cómo se logra crear una relación de colaboración entre los departamentos de tecnología de la información (TI) y tecnología operativa (TO), y las funciones de seguridad física con el modelo de regulación? ¿Con qué mecanismos eficaces se cuenta para apoyar esta relación?
  • ¿Qué funciones y responsabilidades de ciberresiliencia están establecidas e integradas en los departamentos de TI y TO, y las funciones de seguridad física, que además las respetan?
  • ¿Cuáles son los incentivos existentes para usar mejores prácticas que protejan los entornos operativos y de seguridad?
  • ¿Cómo se revisa el modelo de regulación de ciberresiliencia?

Implementación de la regulación de la ciberresiliencia

Algunas actividades sugeridas para la implementación de la regulación de la ciberresiliencia incluyen:

  • Crear un modelo de regulación integral con la capacidad para gestionar y supervisar la ciberresiliencia en los entornos de TI, TO, seguridad física, salud y seguridad, y la transformación digital.
  • Garantizar el nivel adecuado de autoridad y dominio de los miembros jerárquicos responsables y los expertos en las materias, con la experiencia y los recursos para ejecutar tareas de ciberseguridad.
  • Proporcionar actualizaciones regulares en colaboración cercana con distintos líderes de las unidades de negocio en una frecuencia adecuada para la implementación de la estrategia de ciberresiliencia y su correspondiente presupuesto.
  • Compartir mejores prácticas de forma regular mediante capacitación y ejercicios de concientización en toda la organización para promover una cultura de ciberresiliencia.

Las métricas sugeridas pueden incluir:

  • El porcentaje de empleados que finalizaron correctamente los programas de formación de concientización en ciberseguridad sobre las prácticas de ciberhigiene, con un enfoque en los grupos de alto riesgo (por ejemplo, miembros de juntas directivas, ejecutivos de alto nivel y personal de los departamentos de TI, ingeniería, recursos humanos y finanzas).
  • Cantidad de colaboraciones en materia de ciberseguridad con las unidades de negocio.

Principio OG2: Diseño de resiliencia

La junta de organizaciones en la industria de OG debe promover una cultura de diseño de seguridad y resiliencia, y debe exigir que la gerencia implemente normas y valores similares a la vez que documenta su progreso. 

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones.

  • ¿Los riesgos cibernéticos y las implicancias asociadas se evalúan, integran y gestionan adecuadamente en todos los aspectos del negocio desde el diseño?
  • ¿Cómo se establece a quién le corresponde la gestión de riesgo cibernético entre los departamentos y las funciones para lograr el diseño de resiliencia?
  • ¿Cómo se coordinan las actividades de gestión de riesgos entre los distintos departamentos de la organización?
  • ¿Cómo se gestionan los riesgos cibernéticos directos e indirectos en las actividades en curso y cómo se planifican para las nuevas iniciativas?
  • ¿Cómo se informa a los miembros clave del personal sobre los impactos de la ciberresiliencia y las expectativas de sus funciones?

Observemos un ejemplo.

Una empresa petrolera integra riesgo de ciberseguridad

Tim es miembro de la junta directiva en una compañía petrolera. Trabaja para la integración de la ciberseguridad en todos los aspectos de la cadena de valor, desde los dispositivos de TI hasta los activos energéticos conectados por sistemas de control de TO. Para reforzar la importancia del riesgo cibernético, Tim, otros miembros de la junta y el director ejecutivo desarrollaron y presentaron los principios cibernéticos clave en un memorándum que el director de operaciones y el director general de información comunicaron a la compañía. Con el apoyo de la junta directiva, el equipo fue capaz de fortalecer su programa de ciberseguridad: se incorporó más personal, se destinaron más fondos y se estableció un sistema de regulación de la ciberseguridad para controlar mejor los riesgos.

Tim presenta un plan a los otros miembros de la junta directiva para contratar más personal y destinar más fondos para el programa de ciberseguridad.

Implementar el diseño de resiliencia

Entre las actividades sugeridas para la implementación del diseño de resiliencia se incluyen las siguientes:

  • Definir las métricas de ciberresiliencia y los incentivos adecuados para todas las unidades de negocio a fin de posibilitar la propiedad y el compromiso para implementar nuevos requisitos de ciberresiliencia en sus operaciones.
  • Establecer una cadencia habitual de informes de ciberresiliencia por parte del ejecutivo responsable del riesgo cibernético y de la ciberresiliencia.
  • Colaborar con las unidades de negocio y las funciones de riesgo para adaptar el enfoque de riesgo cibernético a las necesidades de negocio.
  • Establecer un programa de concientización sobre ciberseguridad ajustado a las necesidades de cada unidad de negocio y sus riesgos específicos.
  • Capacitar al personal para que puedan identificar y gestionar los riesgos cibernéticos.
  • Garantizar el diseño para la integración de las actividades de ciberresiliencia, protección, detección y respuesta con las actividades técnicas y comerciales.

Las métricas sugeridas pueden incluir lo siguiente:

  • El porcentaje de procesos de la unidad de negocio que adoptan e integran prácticas de diseño de ciberresiliencia.
  • El porcentaje de empleados que realizan la capacitación sobre ciberresiliencia y concientización (adaptada a los diferentes niveles).
  • El porcentaje de proyectos faro que sirven como modelo para contemplar el diseño de ciberresiliencia. El término faro denota que estos proyectos pueden actuar como guías para aquellos que buscan aplicar tecnologías de vanguardia, como inteligencia artificial (IA) y análisis avanzados, para el diseño de sistemas de resiliencia cibernética.
  • Tiempo promedio para detectar un incidente cibernético crítico que produce fallas o interrupciones en el sistema, dar una respuesta y recuperarse posteriormente.

Principio OG3: Responsabilidad corporativa para la ciberresiliencia

La junta de organizaciones en la industria de OG debe recomendar a la gerencia que considere los riesgos cibernéticos en la organización y en el ecosistema más amplio, que examine la cultura y las prácticas cibernéticas de la organización, y que explore la forma de gestionar estos riesgos. 

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones.

  • ¿Cómo advierte la gerencia los riesgos cibernéticos que la organización introduce en el ecosistema, el potencial impacto en cascada y el daño correspondiente a la reputación?
  • ¿Cómo se evalúan y gestionan los efectos principales y en cascada de los riesgos cibernéticos en todos los aspectos del negocio, y cómo se evalúan los posibles impactos en cascada y daño correspondiente a la reputación?
  • ¿Cuál es el plan de la organización para comunicar a quien corresponda un riesgo, una vulnerabilidad o un incidente cibernéticos potenciales introducidos en el ecosistema?

Observemos un ejemplo.

Una compañía energética y petroquímica pasa de la ciberseguridad a la ciberresiliencia

Muchas organizaciones sostienen culturas diferentes con varios niveles de aceptación de riesgo, que pueden ser perjudiciales para la implementación de políticas y mejores prácticas de ciberseguridad en toda la compañía. La aceptación de riesgo es la preparación de la organización o de la parte interesada para asumir el riesgo después de que se implementan los tratamientos del riesgo a fin de lograr sus objetivos. Los requisitos legales y normativos deben considerar esta aceptación de riesgo para que las organizaciones o las partes interesadas se mantengan dentro de los límites establecidos por los entes reguladores.

Con el objetivo de reducir el impacto potencial de los ciberataques en una compañía energética y petroquímica, Alison, la directora general de información, advirtió la necesidad de equilibrar los niveles de aceptación de riesgo dentro de las unidades de negocio con las expectativas de las partes interesadas para implementar la ciberresiliencia de forma holística en toda la compañía. La junta directiva ofreció su apoyo para brindar programas de capacitación y concientización, además de recursos dedicados a desarrollar aún más la resiliencia cibernética de la compañía. Tras asegurarse de que Alison tuviera los recursos y el apoyo adecuados, la junta directiva proporcionó los medios para contar con aliados en la implementación de nuevas políticas y prácticas cibernéticas.

Implementar responsabilidad corporativa para la ciberresiliencia

Entre las actividades sugeridas para la implementación de la responsabilidad corporativa para la ciberresiliencia se incluyen las siguientes:

  • Colaborar con los representantes e individuos de otras unidades de negocio cuya responsabilidad sea integrar la ciberresiliencia en sus procesos.
  • Tomar medidas para abordar el riesgo cibernético interno para los socios de la cadena de suministros y el ecosistema completo en caso de que se produzcan un ataque o una vulneración en la organización.
  • Aumentar la cantidad de planes de continuidad comercial con medidas de recuperación sin conexión, métodos de comunicación fuera de banda y sitios de recuperación independientes para abarcar los eventos relacionados con la ciberseguridad y aumentar el diseño de resiliencia.
  • Establecer actividades de colaboración y de planificación de la resiliencia en todo el ecosistema.

Las métricas sugeridas pueden incluir:

  • La cantidad de riesgos críticos o altos relacionados con proveedores o socios comerciales por estado (aceptado, evitado, mitigado y transferido).
  • La cantidad de incidentes cibernéticos detectados o compartidos dentro del ecosistema y las acciones llevadas a cabo para remediar las vulnerabilidades informadas por trimestre.
  • La frecuencia de revisiones de asignación de recursos y elaboración de presupuestos para garantizar que se refleje adecuadamente la aceptación de riesgo cibernético en la organización.
  • La cantidad de escenarios de incidentes cibernéticos incluidos en los planes de continuidad comercial y de recuperación ante desastres.

Resumen

En esta unidad, aprendimos tres de los seis principios que permiten establecer un modelo integral de regulación de la ciberseguridad para organizaciones de la industria de OG. Además, descubrimos cómo promover una cultura de diseño de seguridad y resiliencia, y la importancia de considerar el riesgo cibernético en la organización y el ecosistema más amplio.

A continuación, aprenderá más sobre cómo implementar un enfoque de gestión de riesgos holístico para ciberresiliencia en la industria de OG, y las acciones que las organizaciones del sector pueden llevar a cabo para fomentar la colaboración.

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios