REPÚBLICA BOLIVARIANA DE VENZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LAS FUERZAS ARMADAS
NÚCLEO LA ISABELICA
INGENIERIA DE PETROLEO

la ciberseguridad en las estrategias y

planes en la función de control de gestión
de la industrial.

Docente: Integrante:

Pablo nazar Isbely Medina v25535474

Jonmer Blanca
Materia: control deCI: 14202876
gestión
Íngrid Medina
Carrera: IngenieríaCI:
de22730476
Petróleo
Yurimar Martínez
Semestre: 7mo. CI: 21430882
Alison Duno
Turno: Diurno. CI: 23412072
J CI: 142028

Valencia, febrero 2022

 ¿Qué es la ciberseguridad y para qué sirve?

Cuando se habla de ciberseguridad, generalmente se asocia a las

ciberamenazas y al cibercrimen, sin embargo, esta también tiene que ver con
las buenas prácticas a implementar para proteger la información y prevenir o
detectar los ataques cibernéticos a los que está expuesta cualquier
organización o persona.

Las amenazas a la seguridad informática llegan a través de programas

dañinos o maliciosos que se instalan en un dispositivo o acceden por medio de
la nube.

¿Cuál es la importancia de la ciberseguridad en las empresas?

Protege la productividad del negocio. Inspira confianza a los clientes,

puesto que tener una buena política de ciberseguridad es un claro signo de que
sus datos estarán guardados y operados de manera segura. Evade posibles
demandas legales a causa de una pérdida de información clasificada.

La importancia de la estrategia de ciberseguridad para la industria;

Durante las últimas décadas, se ha producido un proceso de digitalización de la
sociedad sin precedentes, tanto a nivel laboral como personal. Todas las
empresas estaban interesadas en obtener los últimos equipos para facilitar las
tareas y aumentar su productividad. Este proceso implicó consecuencias a
nivel de seguridad, puesto que los nuevos requerimientos y necesidades de
comunicación implicaban mayor exposición de la información. Se entendió que
era necesario tomarse la seguridad muy en serio y aplicar políticas que
permitiesen un uso seguro y responsable de la tecnología.

¿Qué es una política de ciberseguridad?

Se trata de un documento derivado de las regulaciones, estándares y
guías de buenas prácticas, donde se recogen los planes, procedimientos y
procesos que dictaminan cómo ha de proteger una compañía su información y
sus activos. Dada su naturaleza, se le suele considerar como un documento
vivo, lo que significa que está en constante cambio y ampliación a medida que
la tecnología avanza, la compañía crece y se añaden las lecciones aprendidas
en las respuestas dadas a incidentes recientes. Este documento tiene como
objetivo principal preservar la confidencialidad e integridad de la información,
así como la disponibilidad de los sistemas, incluyendo ahora también a los SCI.
Debería contemplar, principalmente, la manera con la que los empleados de la
compañía interactúan con las otras políticas de la empresa e informarles sobre
sus responsabilidades, de cara a proteger los activos y la información
propiedad de la compañía.
La política de ciberseguridad de la empresa suele ser un documento
bastante genérico que se apoya en el resto de políticas, entre las que
destacan:

 Control de acceso.
 Clasificación y manejo de la información.
 Seguridad física y ambiental.
 Uso adecuado de activos.
 Transferencia de información.
 Dispositivos móviles.
 Restricciones del uso e instalación de software.
 Copias de respaldo.
 Protección ante software malicioso.
 Gestión de vulnerabilidades.
 Relaciones con proveedores.
 Gestión de incidentes de ciberseguridad.
 Plan de continuidad del negocio.
 Formación y concienciación en ciberseguridad.
 Seguridad de las operaciones.

Dichas políticas pueden ser aplicables tanto a sistemas TO, como TI, por lo que
es necesario particularizarlas a SCI y al tipo de proceso de cada industria,
teniendo en cuenta sus características particulares. Por ejemplo, en la política
de seguridad física deberán incluirse aquellas situaciones en las que existan
estaciones remotas en el proceso, como en un parque eólico, donde éstas
podrían ser accesibles para cualquier persona ajena a la empresa.
¿Por qué debo disponer de una estrategia de ciberseguridad en mi
industria?

Hay muchos aspectos que determinan la necesidad de disponer de una

estrategia clara en ciberseguridad en una industria, ya que hay varios aspectos
que las hacen cada vez más similares a las organizaciones TI tradicionales.
Entre las más destacables se encuentran:
 La dependencia de las industrias a la infraestructura de red en sus
procesos productivos.
 El software malicioso como una amenaza de primer nivel.
 Cualquier negocio puede ser atacado por estas vías.
 La existencia de casos conocidos específicos para sistemas de control.
 El cibercrimen se ha convertido en un gran negocio muy lucrativo, sobre
todo a raíz del auge del esquema de negocio cybercrime-as-a-service.
 El cibercrimen como servicio, facilitando actividades ilegales en la red
mediante el provisiona miento de servicios.
Para apoyar esta necesidad, se estima que el coste del cibercrimen aumentará
hasta los 6 billones de dólares en 2021. El cibercrimen se ha convertido en un
asunto de gran relevancia, más aún si tenemos en cuenta el peligro añadido
que conlleva una disrupción en los sistemas pertenecientes a infraestructuras
críticas.
Además de proteger una compañía contra las ciberamenazas y disponer de
una política de seguridad, tiene, entre otros, estos beneficios:
 Contribuye a los fines de la compañía. Juega un papel muy importante
en las decisiones de una compañía y la ayuda a conseguir sus objetivos.
 Ayuda a que la compañía cumpla con estándares de calidad más
exigentes y con las guías de buenas prácticas.
 Permite a los empleados que trabajan en entornos SCI e infraestructuras
críticas sentirse seguros en su espacio de trabajo.
 Ayuda a proteger la productividad del negocio.
 Inspira confianza en los clientes, puesto que tener una buena política de
ciberseguridad es un claro signo de que sus datos y pedidos serán
guardados y operados de la manera más segura posible. Este punto
 también supone la evasión de posibles demandas legales a causa de
una pérdida de información clasificada, por ejemplo.

Claves de una buena estrategia de ciberseguridad

A continuación, se detallan algunas claves para ayudar en el desarrollo de una
correcta estrategia de ciberseguridad:
 Elaborar políticas y procedimientos adecuados a la industria: en
primer lugar, se deberían identificar los elementos más importantes para
el proceso productivo, así como la manera con la que los empleados
interactúan con ellos. En este punto, se debería establecer una
definición de ciberseguridad; sus objetivos, basados en la identificación
previa de los activos a proteger; y su importancia en la misma. Estas
políticas se pueden dividir, principalmente, en tres ramas:
o Prevención: para un buen control de ciberseguridad. Por
ejemplo, control de acceso, identificación y autenticación,
seguridad de las comunicaciones, etc.
o Detección: identificar las desviaciones que se produzcan,
violaciones o intentos de violación de la seguridad.
o Recuperación: una vez detectado un incidente de
ciberseguridad, se aplicará esta medida para restaurar el
funcionamiento normal. Por ejemplo, la continuidad del negocio.

Nueva política de Informar a los Evaluación de la

contraseñas empleados implantación

Resultado: una Premiar a los que la

protección mayor siguen y castigar a

de las contraseñas. los que no

 Organización de la seguridad: en todas las empresas se realizan una
infinidad de tareas muy diferentes, algunas relacionadas con la línea del
negocio principal que se desarrolla y otras más enfocadas al
mantenimiento, propiamente dicho, de la compañía y sus instalaciones.
Por ello, es importante estructurar una red de personal responsable de la
ciberseguridad en sus respectivos campos. Éstos deberían ser
designados por los directores de cada departamento y serán los
encargados de proveer a sus subordinados directrices claras sobre
cómo llevar la ciberseguridad a su respectivo departamento. También
serán las personas que responderán ante la dirección de la empresa en
el caso de que su departamento sufra un incidente de ciberseguridad.
Además, es muy importante que tanto los responsables, como la
dirección muestren compromiso con las políticas de ciberseguridad
establecidas, con el fin de dar ejemplo e incentivar a sus empleados a
seguirlas.
 Establecer una cultura de ciberseguridad: es vital para el
mantenimiento y cumplimiento de las políticas. En esta medida se
contemplan, entre otras, las siguientes actuaciones:
o Aplicar y mejorar las políticas acordes a los cambios de la
compañía, así como en base a los incidentes que hayan ocurrido,
porque de los errores se aprende más que de los aciertos.
o Elaborar un plan de formación eficaz para los empleados,
donde se les enseñe conceptos básicos sobre seguridad
informática, herramientas y buenos usos, como aplicar los
controles de seguridad física (accesos autorizados,
acompañamiento de visitas, etc.), la protección adecuada del
equipo personal, los riesgos, el uso de dispositivos móviles y los
métodos para reconocer ataques de ingeniería social. La
formación debe ser acorde a sus funciones, es decir, la formación
que se le dé a un administrativo será diferente a la que se le dé a
un técnico que trabaja con SCI.
 o Se debe realizar un plan de concienciación continuo mediante
acciones divulgativas y píldoras de información. Se busca la
motivación de los empleados para cumplir con las políticas,
puesto que nunca se debe olvidar que el empleado es el eslabón
más importante en la cadena de seguridad de la empresa.
o El responsable de cada departamento se encargará de la
implantación y supervisión de las políticas, de realizar
auditorías internas regulares, de monitorizar los recursos y
sistemas utilizados frecuentemente y de informar a sus
empleados sobre los métodos de monitorización empleados por la
empresa.

 Disponer de un plan de continuidad del negocio: debe ser obligatorio

en las empresas que manejan Sistemas de Control Industrial o
designadas como infraestructuras críticas, donde mantener la
disponibilidad de los sistemas es vital. En este plan se deben recoger y
especificar los objetivos de recuperación en caso de disrupción del
servicio, donde se incluya una evaluación detallada de la criticidad de
cada elemento que compone el sistema productivo, con el fin de
establecer un orden de recuperación del proceso. También se debe
hacer un análisis del impacto y de las consecuencias asociadas a un
incidente en cada sistema. Tal y como se ha comentado anteriormente,
debe existir un equipo designado de ciberseguridad que asegure la
continuidad del negocio, donde se debe asignar la prioridad a los
sistemas SCI con el fin de reestablecer las operaciones .

En conclusión, como podemos ver la ciberseguridad debe ser un

asunto prioritario para todas las industrias, sin importar el tipo de
sector en el que operen. El coste de sufrir un ciberataque es cada vez
mayor, ya que son cada vez más sofisticados y destructivos. Por ello,
es necesario tomar medidas al respecto, y disponer de una estrategia
de ciberseguridad clara, acorde con el negocio productivo y
comprensible para poder ser aplicada a todo el sistema de control.