Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El cumplimiento de la infraestructura crítica se beneficia del conocimiento de la situación

El Manual de Campo del Ejército de los Estados Unidos define la conciencia situacional como «conocimiento y comprensión de la situación actual que promueve una evaluación oportuna, relevante y precisa de operaciones amigas, enemigas y de otro tipo dentro del espacio de batalla para facilitar la toma de decisiones».

Pero el conocimiento de la situación no es solo para las fuerzas armadas: las empresas dentro del sector de infraestructura crítica pueden y deben mejorar la protección de los sistemas de control industrial ayudando a su personal a desarrollar el conocimiento de la situación.

Sin embargo, desarrollar conciencia de la situación puede ser un desafío para el personal que gestiona sistemas de control industrial dentro de infraestructuras críticas. Las infraestructuras críticas modernas, como los sistemas de servicios públicos, son muy complejas, y las variables de ciberseguridad en constante cambio y las amenazas en evolución superan exponencialmente a muchas tecnologías de sistemas de control industrial.

La clave para combatir estos desafíos es la capacitación continua en torno a las reglas y políticas de cumplimiento, en particular en torno a los sistemas de control de supervisión y adquisición de datos (SCADA). Los sistemas SCADA permiten el comando y control de procesos de infraestructura crítica que utilizan sistemas de control industrial como tratamiento y distribución de agua, recolección y tratamiento de aguas residuales, oleoductos y gasoductos, transmisión y distribución de energía eléctrica, atención médica, sistemas de sirenas de defensa civil, servicios financieros, transporte y grandes sistemas de comunicación.

Para aumentar la conciencia situacional y cibernética de los sistemas SCADA, debe concentrarse en capacitar al personal en seguridad de contraseñas, operación y funcionalidad de los botones del panel frontal, programación y reprogramación, equipo de comunicación remota y uso de dispositivos como Bluetooth.

CONTENIDO RELACIONADO  Seguridad de IoT: se trata de identidad

Las empresas del sector de la infraestructura crítica deben tomarse en serio la capacitación en cumplimiento. De hecho, ciertos requisitos federales de capacitación en cumplimiento deben ser obligatorios como condición de empleo para todo el personal, incluidos los contratistas. Más allá de esos requisitos, su organización puede tener necesidades adicionales de capacitación en cumplimiento, adaptadas a los sistemas que utilizan.

Los miembros del personal con un nivel bien desarrollado de conocimiento de la situación pueden evaluar con precisión las operaciones actuales (y las vulnerabilidades) dentro de la infraestructura crítica. Una vez que se identifican las vulnerabilidades y sus exploits, el personal de seguridad de la información debe realizar un análisis adicional sobre su gravedad y si inhibirían la capacidad de la infraestructura crítica para proporcionar los servicios previstos. El personal de seguridad de la información también puede utilizar estrategias de ciberseguridad, como la detección de intrusiones, para mitigar cualquier anomalía antes de que pueda tener un efecto negativo en las operaciones.

Las agencias gubernamentales de EE. UU. Muestran preocupación por los lapsos de cumplimiento. De hecho, el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. Publicó recientemente nuevos estándares de cumplimiento para infraestructuras críticas. Este comunicado, llamado Mejora de la Orden Ejecutiva 13636 de Ciberseguridad de Infraestructura Crítica: Marco Preliminar de Ciberseguridad, abordó cómo los propietarios y operadores de infraestructura crítica podrían reducir las amenazas cibernéticas en industrias como las telecomunicaciones, el transporte, la atención médica y la generación de energía.

El Departamento de Comercio de EE. UU., En cumplimiento de sus responsabilidades estatutarias en virtud de la Orden Ejecutiva 13636, elaboró ​​el Borrador público final de la Publicación especial 800-82 Revisión 2 del NIST: Guía para la seguridad de los sistemas de control industrial (ICS). Esta publicación establece que «un programa formal documentado de capacitación y concientización sobre seguridad está diseñado para mantener al personal actualizado sobre las políticas y procedimientos de seguridad de la organización, así como sobre los estándares y prácticas recomendadas de seguridad cibernética de la industria. Sin capacitación sobre políticas y procedimientos específicos de ICS, el personal no puede se espera que mantenga un entorno ICS seguro «.

CONTENIDO RELACIONADO  Los fabricantes comienzan a adoptar el software ERP en la nube

Esta superposición se basa en NIST SP 800-53 revisión 4, Controles de seguridad y privacidad para sistemas y organizaciones de información federales, que proporciona un catálogo de controles de seguridad y privacidad para organizaciones y sistemas de información federales. También proporciona orientación para seleccionar controles para proteger las operaciones de la organización (incluida la misión, las funciones, la imagen y la reputación), los activos de la organización, los individuos, otras organizaciones y la nación de un conjunto diverso de amenazas que incluyen ataques cibernéticos hostiles, desastres naturales, fallas estructurales. y error humano.

La conciencia situacional y la ciberseguridad se complementan: a medida que aumenta la conciencia, también aumenta la seguridad, y este énfasis en la seguridad aumenta la conciencia. Las estrategias de conciencia situacional y ciberseguridad que inicialmente se basan en estándares de cumplimiento (pero que no dependen únicamente de ellos) juegan un papel importante en la detección de amenazas cibernéticas y la prevención de ataques ICS. Por el contrario, la falta de énfasis en la conciencia y la seguridad puede dejar a la fuerza laboral de una organización particularmente vulnerable a amenazas como los ataques de ingeniería social que se aprovechan de la conciencia cibernética y situacional humana inadecuada.

Sobre el Autor:
Daniel Allen es investigador en el Center for Climate and Security, donde se centra en la intersección de estrategias para la seguridad cibernética y los riesgos de seguridad del cambio climático. También es presidente de N2 Cyber ​​Security Consultants, LLC, y ha trabajado como científico investigador para el Centro de Investigación de Salud Naval / Planificación de Recursos Médicos, y es un veterano del Ejército de los Estados Unidos / Tormenta del Desierto e instructor de climatología y ciencias en la escuela secundaria. Tiene una Maestría en Seguridad Cibernética y Aseguramiento de la Información de la Universidad Nacional, designado por la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional como un «Centro Nacional de Excelencia Académica en Educación de Aseguramiento de la Información».

CONTENIDO RELACIONADO  La herramienta de desarrollo de código bajo de Alpha Software se dirige a aplicaciones móviles
¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Tendencias de ataque de IoT y cómo mitigarlas

Hace dos años, los ataques de IoT se consideraban exóticos, una aberración de interés principalmente para aquellos en la industria y los teóricos de la conspiración. No más. La reciente violación de datos del «oso

Biblioteca de videos de Windows Server

La actualización hace que el servicio de migración de almacenamiento sea más compatible con la nube La última versión del Centro de administración de Windows viene con un refinamiento de una de sus herramientas para

Herramientas de monitoreo del sistema de Windows 7

Microsoft ha mejorado enormemente la profundidad y la usabilidad del Monitor de recursos y el Monitor de rendimiento de Windows 7. Los proveedores de soluciones deben considerar ambas utilidades como elementos esenciales en su conjunto

¿Cómo afecta la utilización y los costos?

Mi empresa está analizando nuestras estructuras de costos y una de las cosas que estamos considerando es cambiar nuestros acuerdos de nivel de servicio (SLA) con nuestros proveedores de centros de llamadas. Para diferentes niveles

Conozca la historia de la asociación VMware-IBM

Desde que IBM y VMware se asociaron en 2016, los dos han trabajado para integrar sus productos de nube y administración. Ambas empresas se han beneficiado del acuerdo, pero un panorama de la nube en

Dar marcha atrás a las manecillas del tiempo

Los viajes en el tiempo no ocurren solo en una serie de ciencia ficción. Con VMware Workstation, puede retroceder en el tiempo con instantáneas. Las instantáneas de VMware pueden capturar un estado del sistema, como

¿Qué es Microsoft FIM (Microsoft Forefront Identity Manager)?

Microsoft Forefront Identity Manager (FIM) es un paquete de software de administración de identidades de autoservicio para administrar identidades, credenciales y políticas de control de acceso basadas en roles en entornos informáticos heterogéneos. FIM incorpora

Asegurar el escritorio virtual basado en la nube

Nota del editor: En esta sesión de preguntas y respuestas, Mark Nunnikhoven, ingeniero principal de la nube y tecnologías emergentes para el proveedor de seguridad Trend Micro Inc., habla sobre Amazon Web Services con la

Acelere la TI con entrega continua y DevOps

Nota del editor A los humanos les encanta ir rápido. Esa emoción puede extenderse al código de software con la combinación de integración continua / entrega continua y DevOps. La integración continua (CI), la entrega

Lo que las empresas deben saber sobre el futuro de IoT

La industria de IoT ha experimentado una buena cantidad de exageraciones en los últimos años, pero parece que finalmente la industria está comenzando a cumplir con algunas de las expectativas más elevadas. Se prevé que

¿Qué es Sage Group plc?

Sage Group plc es un proveedor global de software empresarial. Su cartera de software empresarial incluye contabilidad, ERP, nómina, gestión de relaciones con el cliente (CRM) y gestión de capital humano (HCM). Si bien el

¿Qué es un Data Lakehouse?

¿Qué es una casa de lago de datos? Un data lakehouse es una arquitectura de gestión de datos que combina los beneficios de un data warehouse tradicional y un data lake. Busca fusionar la facilidad

¿Qué hace vRealize Operations Service Discovery MP?

Los usuarios de VMware vRealize Operations Manager pueden emplear el complemento vRealize Operations Service Discovery Management Pack, que es capaz de descubrir máquinas virtuales, detectar dependencias entre máquinas virtuales e identificar servicios que se ejecutan

Integración continua: mejores prácticas ágiles

Hablemos de integración continua. Y sí, me refiero a «integración continua», no a «entrega continua». La integración continua, la técnica ágil de verificar el código en pequeños incrementos y probarlo con la base de código

Siete opciones de software hiperconvergente para HCI DIY

El término hiperconvergente generalmente se asocia con dispositivos de hardware; en general, es software que se entrega… con herrajes Pero el núcleo de la hiperconvergencia es el software inteligente. Probablemente espera que un producto de

¿Qué es el análisis ABC (análisis de Pareto)?

El análisis ABC, también conocido como análisis de Pareto, es un método utilizado para categorizar algo de acuerdo con su importancia o valor en un contexto dado. La práctica se usa comúnmente en TI (tecnología

¿Qué es Data Core? – Definición de Krypton Solid

DataCore es una empresa de almacenamiento definido por software (SDS), así como uno de los primeros proveedores de software de virtualización de almacenamiento, en Fort Lauderdale, Florida. El software SANsymphony insignia de DataCore agrupa la

¿Qué es la manufactura esbelta?

La manufactura esbelta es una metodología que se enfoca en minimizar el desperdicio dentro de los sistemas de manufactura al mismo tiempo que maximiza la productividad. El desperdicio se considera todo aquello que los clientes

¿Qué es WePow? – Definición de Krypton Solid

WePow es un proveedor de software de reclutamiento y entrevistas por video. El proveedor ofrece actualmente dos productos: WePow Interview y WePow Attract. WePow Interview es una plataforma de entrevistas en video que permite a

Información y recursos tecnológicos de servicio al cliente

Tecnología de servicio al cliente Noticias 15 de diciembre de 2021 15 Dic’21 La asociación ServiceNow-Qualtrics aborda la experiencia total El director ejecutivo de ServiceNow, Bill McDermott, compró Qualtrics cuando dirigió SAP, que se separó

Cómo cambiar el tamaño de un volumen de EBS

Amazon Web Services aumentó recientemente los tamaños de volumen para su Elastic Block Storage, lo que permite a los desarrolladores crear volúmenes de uso general que pueden almacenar hasta 16 terabytes y hasta 10,000 IOPS.

Deja un comentario