Gestión de GRC y protección de infraestructura crítica
La gobernanza de riesgos y cumplimiento (GRC) necesita adaptarse para convertirse en una herramienta de gestión de riesgos verdaderamente eficaz para la infraestructura crítica.
Las herramientas de evaluación de riesgos de amenazas a la seguridad en las últimas décadas se utilizaron generalmente para determinar las estrategias de mitigación de la seguridad. La evaluación consistió principalmente en un ejercicio de papel y bolígrafo que pretendía comparar las medidas de seguridad existentes con las prácticas de seguridad aceptadas del día. Una serie de incidentes de seguridad en curso o intensificados a menudo iniciaba con una "encuesta de seguridad". La realización de estas revisiones se basó en la experiencia de un profesional de seguridad que respondió a una serie de preguntas predefinidas sobre prácticas, como seguridad perimetral, iluminación, sistemas de alarma, patrullas de guardia y control de acceso. Estas revisiones se centraron en la seguridad física y ofrecieron un resultado de gestión de riesgos limitado; fueron realmente un ejercicio de base para alinear las prácticas de seguridad del día con la planta o instalación. La seguridad de TI no se involucró en evaluaciones de riesgos o encuestas hasta después del nuevo milenio.
Hoy en día, dentro del mundo cibernético, la evaluación de riesgos a menudo se ha utilizado de manera intercambiable con la evaluación de vulnerabilidades. La evaluación de la vulnerabilidad es una parte importante de una evaluación de riesgos, pero no son equivalentes. Cada vez más, las organizaciones practican evaluaciones de gobernanza, riesgo y cumplimiento (GRC). Dentro de GRC para TI, vemos la formación de una tríada importante en la que la gestión de riesgos se basa en gran medida.
La gobernanza eficaz de la gestión de TI, la gestión integral de riesgos y la gestión del cumplimiento son necesarias para garantizar que los riesgos de TI se gestionen correctamente en toda la empresa. De hecho, cada tramo de la tríada depende del otro. Y GRC tendrá un impacto aún mayor como herramienta de gestión de riesgos de infraestructura crítica si se adapta adecuadamente a las necesidades de protección de la infraestructura.
Normalmente, se hace referencia a la gestión de GRC en el contexto de las necesidades de tecnología de la información. Dentro de las aplicaciones de infraestructura crítica, esto generalmente se traduce en una discusión sobre activos, sistemas y procesos cibernéticos críticos que respaldan la infraestructura. Esto puede extenderse, o no, a tecnologías operativas (OT) como SCADA (tecnología de adquisición de datos y control de sistemas). Sin embargo, para la protección de la infraestructura crítica, hay dos preocupaciones urgentes cuando se habla de la gestión de riesgos; el primero es la necesidad de una evaluación continua en tiempo real (en contraposición a la evaluación periódica) y el segundo se relaciona con las entradas de conciencia física y situacional. Sin estas entradas, la evaluación GRC tiene una eficacia limitada para la gestión de riesgos de infraestructura crítica.
Dentro de la gestión de protección de la infraestructura crítica, un estado de vigilancia constante no es posible ni práctico; Muchos estudios han demostrado que los seres humanos no pueden permanecer en guardia durante largos períodos de tiempo. Siempre debe haber una vigilancia de referencia, pero los sistemas de protección también deben diseñarse para proporcionar alertas avanzadas automatizadas que permitan una escalada hacia una postura defensiva adecuada para amenazas avanzadas y persistentes. Algunas escaladas pueden ser rudimentarias, mientras que otras son más complejas, como la resistencia armada de una instalación nuclear o el proceso de cierre. Hay procesos de escalada aún más complejos que se basan en el intercambio de inteligencia y conducen a una respuesta defensiva coordinada con la policía o el ejército. Tales escaladas normalmente implican el inicio de reglas de seguridad especiales, incluidas reglas de acceso especiales, más patrullas, puestos de seguridad agregados e inspecciones de vehículos.
De forma independiente, las aportaciones a la evaluación de riesgos en curso son necesarias para que se tomen decisiones de gestión de riesgos efectivas en cualquier nivel. El conocimiento sobre amenazas de piratas informáticos dirigidos, complots terroristas o malware complejo puede ayudar a escalar la seguridad en cualquier sector de infraestructura crítica. El conocimiento sobre las capacidades del adversario ayuda a definir los requisitos de protección.
La evaluación de GRC, por lo tanto, tiene dos imperativos para ser efectiva para proteger la infraestructura: debe ser aplicable al entorno físico asociado (plantas, presas, tuberías, edificios, etc.), y también debe ser adaptable a los desencadenantes y cambios que informan las clasificaciones de riesgo y dan como resultado una evaluación adecuada, lo que lleva a un tratamiento de riesgo eficaz.
GRC no puede limitarse a TI y no puede ser una serie de evaluaciones únicas. GRC requiere aportaciones diarias de tantas fuentes relevantes como sea posible para informar la verdadera imagen de riesgo. Es necesario conocer la situación por completo durante los períodos de mayor protección de la infraestructura, como durante un evento deportivo masivo o disturbios civiles. Eso significa monitorear y gestionar las tensiones sobre el medio ambiente en una amplia gama de infraestructura (protección de fronteras, sistemas de transporte, lugares, personas protegidas internacionalmente, etc.) y en una huella geográfica más amplia.
Dadas las complejidades asociadas con la protección de la infraestructura crítica, como la gestión de recursos internacionales en climas de malestar social, GRC puede necesitar aportes aún mayores para convertirse en una herramienta verdaderamente eficaz para la protección de la infraestructura crítica.
Acerca del autor: Doug Powell tiene más de 30 años de experiencia en gestión en la industria de la seguridad. Se graduó en matemáticas en la Universidad de British Columbia y rápidamente transformó su capacidad de resolución de problemas en experiencia en gestión de riesgos. Su experiencia abarca la gestión de riesgos de seguridad empresarial, el desarrollo de programas de seguridad, el diseño de seguridad física, la seguridad de redes inteligentes y el cumplimiento del programa de seguridad, entre otras. Ha impartido conferencias, escrito artículos y es autor de 15 informes técnicos sobre diversos temas de seguridad. También ha desarrollado programas de capacitación en seguridad para ASIS International. Recibió los reconocimientos: CSO del año 2011; Programa de seguridad del año 2012; Premio Roy Bordes 2017 de ASIS International a la excelencia en el liderazgo voluntario.