santiago silver - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cómo realizar una evaluación de riesgos ICS en una instalación industrial

Un paso importante para asegurar una instalación industrial es realizar una evaluación de riesgos de sistemas de control industrial. He aquí el proceso sugerido.

Los gerentes de las principales instalaciones industriales con grandes huellas, como las refinerías o los servicios públicos municipales, tienen un trabajo suficientemente desafiante solo para operar y mantener las instalaciones a diario. Cuando alguien de nivel directivo (C-suite) se acerca y solicita una evaluación de riesgo de los sistemas de control industrial (ICS), se suma a esos desafíos. ¿Qué debe hacer el gerente? ¿Cómo deben manejar una tarea tan grande?

Comprender el proceso general de evaluación de riesgos puede ser útil para los ingenieros de seguridad, inspectores, asesores de seguros y personal de auditoría/control de calidad en general. También puede ser útil para el personal de operaciones y mantenimiento que puede ofrecer una nueva perspectiva sobre la postura de riesgo de la instalación.

El aspecto clave de esta metodología es que simplemente identificar los problemas y sus riesgos asociados es un punto de partida. Es importante mitigar los riesgos identificados para no perder tiempo y recursos.

Auditoría vs. evaluación

Algunas organizaciones pueden sentir que no necesitan otra auditoría. Sin embargo, una evaluación de riesgos de sistemas de control industrial puede ser mucho más útil para un administrador de instalaciones o un ejecutivo que una auditoría.

Una auditoría tiende a estar orientada al cumplimiento y tiene más de un resultado de aprobación-falla. Una evaluación permite a los administradores utilizar su experiencia y conocimiento práctico, junto con estándares y pautas reconocidos, para buscar formas de ayudar al cliente a lograr un mayor nivel de rendimiento y no simplemente lograr el cumplimiento mínimo. Los gradientes de riesgo se pueden identificar mediante una evaluación.

Además, las evaluaciones le dan al cliente un sentido de su realidad de seguridad actual y su nivel de riesgo. Las evaluaciones de riesgo también tienden a estar más basadas en el rendimiento que una simple lista de verificación de aprobación-falla.

Tres fases primarias

A continuación se muestra una vista de alto nivel del proceso de evaluación de riesgos de ICS. Hay tres fases principales: planificación y preparación, realización de la evaluación y redacción del informe.

Fase 1: Preparación

Benjamín Franklin escribió una vez: "Al no prepararse, usted se prepara para fallar". Esto es cierto para las evaluaciones de riesgo. Una vez que llegue al sitio y evalúe la tarea en cuestión, puede sentirse abrumado de inmediato.

Al prepararse para una evaluación, los administradores deben comprender primero los resultados deseados y los propósitos de la evaluación. Por ejemplo, si la visita al sitio es para comprender un problema limitado, como el riesgo cibernético de los controladores lógicos programables, es posible que no sea necesario dedicar tiempo a las características de seguridad física de la planta. Alternativamente, si la evaluación tiene como objetivo brindar al cliente una visión general de la postura de riesgo del sitio, tal vez sea apropiada una perspectiva de todos los riesgos.

Una vez que conozca y comprenda los resultados y propósitos deseados de la evaluación de riesgos de ICS, asegúrese de que los miembros de su equipo estén informados y a la altura de la tarea. Los tamaños de los equipos pueden variar desde uno o dos miembros hasta 10 o más miembros. Nuevamente, el tamaño de su equipo puede depender del tamaño de la instalación, el conocimiento requerido del equipo y el propósito de la revisión.

Sus metas también pueden ser prescriptivas o amplias. Ejemplos incluyen:

  • Revisiones de documentación.
  • Arquitectura y disección y valoración de redes.
  • Entrevistas al personal
  • Evaluaciones de componentes específicos
  • Revisiones de configuración, como el análisis de reglas de firewall
  • Observación del trabajo realizado por operadores de campo.
  • Caminatas de seguridad física.
  • Escaneo de puertos y vulnerabilidades y pruebas de penetración.

Una vez que el equipo y la administración del sitio han establecido los objetivos de la evaluación, pueden comenzar la preparación, que puede incluir solicitar documentación, como diagramas de red, flujos de proceso, políticas y procedimientos de selección, etc., del personal del sitio.

Finalmente, aproximadamente dos semanas antes de llegar al sitio, el equipo de evaluación debe realizar una llamada o una reunión cara a cara con la administración del sitio para revisar las metas, los objetivos, los miembros del equipo y la logística del sitio. Este es un buen momento para identificar solicitudes de documentación específicas para ayudar con la preparación de la evaluación y para satisfacer los objetivos de la evaluación.

Fase 2: Realización de la evaluación

La evaluación de riesgos en el sitio de ICS comienza en serio cuando el equipo llega al sitio y se lleva a cabo la primera reunión de ingreso con la administración de la planta. La reunión de entrada es un inicio formal de la evaluación y normalmente incluirá temas clave como:

  • la presentación de los participantes clave tanto para el equipo de evaluación como para el sitio;
  • el motivo de la evaluación, las metas, los objetivos y las actividades planificadas/propuestas cada día mientras se encuentran en el sitio;
  • planes para entrevistas, toma de notas, escaneo del sistema/red; si está planeado, inspecciones visuales, recorridos del sistema, fotografías, etc .;
  • logística del sitio para el tiempo restante en el sitio. ¡No olviden el almuerzo!

Cada día, los evaluadores deben dedicar tiempo a las áreas de revisión asignadas. Dicho esto, deben asegurarse de que los asesores también estén conscientes de su entorno y puedan compartir inquietudes y mejores prácticas con el equipo y con el gerente de la planta. Por ejemplo, si se enfocan en las actividades de la sala de control, aún deben aumentar la concienciación si observan alguna deficiencia de seguridad física en el perímetro del sitio cuando se transita hacia la sala de control.

Los evaluadores deberán realizar entrevistas como parte del proceso de evaluación. Las entrevistas están destinadas a obtener información del personal del sitio con respecto a las operaciones, la seguridad y las metodologías del sitio. Convertirse en un entrevistador efectivo requiere práctica, no espere ser un entrevistador premier de inmediato. Un nuevo entrevistador debe tener excelentes recursos disponibles para ayudar.

Los miembros del equipo deben documentar hechos y perspectivas que el líder del equipo puede usar para elaborar un informe completo. Una técnica es escribir una observación al final de cada día, incluidos los eventos clave observados, las fortalezas, las deficiencias y las sugerencias para mejorar. Escribir este mini informe al final de un largo día puede parecer oneroso, pero es una excelente manera de captar pensamientos nuevos en lugar de postergarlo hasta unos días después, cuando los detalles son un poco confusos.

En el último día en el sitio, es habitual celebrar una reunión de salida para revisar las fortalezas, inquietudes y otros puntos informativos identificados. El enfoque principal de esta reunión es ofrecer una revisión resumida de las acciones tomadas y los sitios/instalaciones visitados durante la evaluación. Luego, el equipo puede revisar cualquier fortaleza o área que necesite mejorar. La reunión debe ser un diálogo, ya que algunos temas pueden ser asuntos de opinión en lugar de solo temas de cumplimiento de aprobación o rechazo.

Después de esta revisión, el líder del equipo debe seguir los siguientes pasos para el desarrollo y la entrega de informes con el administrador del sitio.

Fase 3: Redacción del informe

Escribir el informe de evaluación de riesgos de ICS es más que un ejercicio trivial; es una forma muy importante de documentar la perspectiva del equipo sobre el perfil de riesgo del sitio y debe incluir elementos positivos y negativos.

Al revisar todas las observaciones, notas, fotos y conversaciones diarias de la reunión del equipo, deben asignarse niveles de riesgo relativos a cada hallazgo. No olviden que la intención de la asignación de riesgos no solo es identificar la gravedad de la inquietud, sino también ayudar al administrador del sitio a encargarse de los problemas de mayor riesgo.

Finalmente, el informe debe recomendar acciones para corregir los hallazgos. La intención aquí es ayudar al administrador del sitio a resolver el problema.

Esta es una revisión de alto nivel del proceso de evaluación de riesgos. Cada evaluación de riesgos es única y tiene sus matices. En general, sin embargo, el proceso es básicamente el mismo. Las actividades de evaluación de riesgos se pueden documentar para identificar diferentes técnicas, enfoques y herramientas que los equipos pueden usar para lograr una revisión exitosa.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close