Skip to main content

Estandarren jardunbide egokiak ezartzea

Proiektuaren azalpena

Tradizioz, informazioaren segurtasunaren gobernantza ahalbidetu duten kudeaketa-sistemak ezarri izan dira –batez ere ISO27001 arauan oinarrituta–; aspaldi honetan, erreferentzia-estandarrak eta -esparruak sortu dira industria-eremu hutsean antzeko funtzioa inplementatzeko aukera emateko, hala nola: ISA/ IEC 62443, NIST CSF, etab.

Informazioaren segurtasuna eta eragiketa-prozesuena batera kudeatzeak erakunde osoaren zibersegurtasunaren kudeaketa sistema bakar batean integratzea dakar. Hala eta guztiz ere, industriak, gaur egun, industria-sektore gehienetan aplika daitekeen IT eta OT zibersegurtasuna kudeatzeko esparru bakar bat identifikatzeko premia du. Izan ere, gabezia horren aurrean, araudi sektorialak garatu dira (baita enpresa bakar baten esparru esklusiboak ere), oro har lehen aipatutako araudien eta estandarren birformulazioak besterik ez direnak.

Alde horretatik, askotan enpresek estandar horietan zehaztutako jardunbide egokiak abian jarri direla ohartarazten dute, zibersegurtasunaren kudeaketa beste helburu osagarririk gabe hobetzeko bide gisa; baina beste kasu batzuetan beharra hirugarrenen (normalean bezeroen) eskakizunetatik dator, halakoek eskatzen dutelako enpresak zibersegurtasuna modu arduratsuan kudeatzen duela frogatzeko, ziurtagiri jakin batzuk lortzeko betebeharra barne.

Erreferentzia-esparru edo -estandar horiek erakundeak ezarri beharko lituzkeen segurtasun-kontrolen multzo bat ezartzen dute, erakundearen ezaugarri zehatzetan oinarrituta aplikagarriak diren ala ez kontuan hartuta, eta zibersegurtasunarekin lotutako alderdi guztiak hartzen dituzte barnean: pertsonak, prozesuak eta teknologia.

Zibersegurtasun industrialaren irismenari edo aplikagarritasunari dagokionez, ISA/IEC 62443 arauak segurtasunkontrolen multzo osoa eskaintzen du hainbat rol edo ikuspegitatik: instalazioen jabea, sistemen integratzailea edo osagaien fabrikatzailea. Osagaien fabrikatzailearen rolaren kasuan, estandar horrek erreferentzia-esparru bat ezartzen du osagaien garapen segururako (ISA/IEC 63442-4-1), bai eta inplementatu beharreko segurtasun-kontroletarako ere (ISA/ IEC 62443-4-2), lortu beharreko segurtasun-maila objektiboaren arabera.

Beraz, etorkizun hurbilean alderdi hauek barneratu, inplementatu eta, batzuetan, erakunde ziurtagiri-emaile independente batek emandako ziurtagiri bidez frogatu beharko dira:

  • Zibersegurtasuna industria-inguruneetan kudeatzea (IT eta OT inguruneak modu integratuan barnean sartuz), erakundearen prozesu korporatibo gisa tratatuz.
  • Osagai batean inplementatutako zibersegurtasunaren arloko diseinuan, garapenean eta funtzionaltasunetan segurtasuna izatea.

Helburuak

Proiektu honek helburu hauek lortu nahi ditu:

  • Negozioaren jarraipena bermatzea, bertako zibersegurtasunaren kudeaketan oinarrituta.
  • Erakunderen arriskua ez ezagutzearen ondoriozko segurtasun-gorabehera bat gauzatzeko probabilitatea murriztea.
  • Erakundeak zibersegurtasunaren arloan duen arrisku-mailaren ikuspegi iraunkorra izatea.
  • Zibersegurtasuna prozesu korporatibo gisa txertatzeko egiturazko eta etengabeko sistematika bat ezartzen laguntzea.
  • Erakundeak onargarritzat jotzen dituen mugen barruan arrisku-mailari eusteko bitarteko eta baliabide egokiak esleitzea.

Onurak

Onurak

Hauek izango lirateke proiektua martxan jartzeak ekarriko lituzkeen onurak:

  1. Zibersegurtasunaren beharraren kultura bultzatzea negozioaren jarraipena bermatzeko funtsezko oinarri gisa.
  2. Zibersegurtasuna kudeatzeko prozesu formal korporatiboak ezartzea, halakoen eraginkortasuna kontrolatzeko eta hari jarraipena egiteko neurriak ezartzeko aukera emanez.
  3. Zibersegurtasunaren arloko rolak eta erantzukizunak zehaztea eta esleitzea, batez ere askotan IT eta OT inguruneen arteko mugak oso lausoak direnean.
  4. Zibersegurtasuna diseinutik txertatzea kontrol industrialeko sistemak martxan jartzean enpresen instalazioetan bertan.
  5. Osagaiak zibersegurtasunaren ikuspegitik garatzeko aukera ematea.
  6. Erakundeari berari edo merkaturatzen diren produktuei aplikatutako zibersegurtasunaren arloan baimendutako ziurtagiri-erakunde independenteek egiaztatutako aitorpena lortzea.
  7. Bezeroek eta hornitzaileek eskakizun berriak betetzea arrisku teknologikoen murrizketari, informazioa baliatzeari eta hornidurak bermatzeari dagokienez, besteak beste.

Proiektuaren exekuzioa hobetzen duen zibersegurtasunaren dimentsioak

PROIEKTUAREN EXEKUZIOA HOBETZEN DUEN ZIBERSEGURTASUNAREN DIMENTSIOAK

Estimatutako exekuzio-denbora

Horrelako proiektuak exekutatzeko aurreikusitako denborak orientazio gisa bakarrik adierazten dira.

ESTIMATUTAKO EXEKUZIO-DENBORA

Enpresa eskatzaileen baliabideen dedikazio-eskakizunak

Enpresa eskatzaileen baliabideen dedikazio-eskakizunak

Jardunbide egokiak proiektua exekutatzean

Horrelako proiektuak behar bezala gauzatzeko, alderdi hauek hartu behar dira kontuan:

  • Goi Zuzendaritza proiektuaren sustatzaile gisa: IT eta OT segurtasuna kudeatzeko sistema bat ezartzeak nahitaez enpresako Arlo ia guztien parte hartzea eta baliabideak bideratzea eskatzen duenez, proiektua Goi Zuzendaritzak egindako eskaera gisa sortu behar da, hark lortu nahi duen helburua ezta hura gauzatzeko erabili beharreko baliabideak ere zalantzan jarri ahal izan ez daitezen.
  • Aldaketaren kudeaketa: prozesu berriak ezartzeak edo zibersegurtasun-eskakizunen arabera egiteko moduetan aldaketak egiteak aldaketaren kudeaketa ona eskatzen dute, erakundeak modu positiboan eta naturalean aldaketak bere gain hartu ahal izan ditzan denbora-tarte labur batean.

Lotutako zerbitzuak

  • Aholkularitza-zerbitzuak.

Lotutako beste proiektu batzuk

  • Zibersegurtasun industrialaren arloko araudietara edo sektore- eta enpresa-eskakizunetara egokitzea.
  • Segurtasunaren Eskema Nazionala –SEN– betetzeko egokitzea (3/2010 Errege Dekretua).
  • PIC Erregelamendura egokitzea (704/2011 Errege Dekretua).

Zibersegurtasun industrialeko laguntzen programako proiektu diruz lagungarriaren arloa

  • Zibersegurtasun industrialeko estandarretan (ISA/IEC 62443 edo baliokideetan) edo Zibersegurtasuna kudeatzeko bestelakoetan (ISO 27001 edo baliokideetan) jasotako jardunbide egokiak txertatzea. Segurtasunaren Eskema Nazionala (3/2010 Errege Dekretua), PIC Erregelamendua (704/2011 Errege Dekretua) betetzeko egokitzea. Zibersegurtasunaren kudeaketa-prozesua etengabe hobetzea, neurri espezifikoak hedatuz edo neurri horiek lehendik zeudenetara baino heldutasun-maila altuagoetara eramanez.

Zerbitzuen edo produktuen enpresa hornitzailearen profila

Mota honetako proiektuetan sartutako zerbitzuak emateko gaitasuna duten enpresak, “Euskadiko Zibersegurtasunaren Liburu Zuria”n erregistratuta daudenak, kategorizazio honetan sartuta daudenak dira:

Gaitasuna Konponbidearen kategoria Produktu- / zerbitzu-multzoa
IDENTIFIKATZEA Negozioaren ingurunea Negozioko inpaktuaren analisia
Gobernantza eta arriskuaren kudeaketa

Segurtasun-ziurtagiria

Betetzea, arriskua eta gobernantza
Arriskuaren analisia -
Arriskua kudeatzeko estrategia -
Arriskuaren kudeaketa hornidura-katean -

Partekatu

Linkedin partekatu