Proiektuaren azalpena
Orain arte, industria-inguruneetako zibersegurtasuna, zoritxarrez, ez da kontuan hartu enpresa askotan normaltasunez.
Egoera hori ez da kasualitatea, eta industria osoan gertatzen diren baldintza batzuen ondorioa da:
- Zibersegurtasuna diseinuaren ikuspegitik kontuan ez hartzea; horrek esan nahi du ez dagoela segurtasun-kontrolik edo -neurririk.
- Lehendik dauden kontrol industrialeko sistemen arkitekturaren eta osagaien ezagutza xehaturik eza, askotan enpresa hornitzaileetan soilik dagoena.
- Industria-sareetara konektatutako elementuen antzinatasuna, askotan fabrikatzaileen laguntza teknikoaren epetik kanpo eta segurtasun-kalteberatasun ezagunak dituztenak. Horrek esan nahi du zuzenean proportzionala dela sareko gainerako elementuekiko esposizioa.
- Sare-arkitektura egokirik ez egotea segurtasun-irizpide onargarrien arabera.
- Segurtasun-neurri jakin batzuk martxan jartzeko esku-hartzerako leiho egokiak izateko ezintasuna, 24x7 ekoizpenek edo programatutako mantentze-aldiek baldintzatuak.
Beraz, eta neurri zehatzak abian jartzen hasi aurretik –agian lehentasunezkoenak edo egokienak ez direnak–zibersegurtasun industrialaren “ibilbide-orria” definitzeko jarduera logikoak hauek dira:
- Enpresaren zibersegurtasun industrialaren arloko gaur egungo egoera ezagutzea, puntu ahulak eta indartsuak identifikatzeko aukera emango duen diagnostiko baten bidez, balizko mehatxu-agertokiekiko arriskua baloratuz eta erakundeak arrisku-maila onargarria (eta ezaguna) lor dezan egin beharreko jarduerak zehaztuz.
- Plan bat ezartzea, erakundeak bere gain onar ditzakeen denbora-tartearekin eta baliabide-esleipenarekin (pertsonak, ekonomikoak), zehaztu diren zibersegurtasun-proiektuei modu egituratu eta lehenetsian ekin ahal izateko.
Arrisku-maila zehazteko, arriskuen analisi bat egiten da. Jarduera hori zenbait metodologiaren bidez gauza daiteke, merkatuko estandarretan (Magerit, etab.) nahiz antzeko emaitzak lortzeko aukera ematen duten faktura propiokoetan oinarrituta. Azterketak ahalik eta esparru gehien hartzeko erabil daitezkeen informazio-iturriak edo -jatorriak hauek izan daitezke:
- Segurtasun-esparru edo -estandarrekin kontrastatzea, hala nola ISA/IEC 62443, ISO27002, NIST eta abar.
- Intrusio-testak egitea modalitate desberdinetan, instalazioko hari gabeko komunikazioen analisia barne.
- Kalteberatasunak identifikatzeko analisiak egitea.
Arriskuen analisia egitearen ondorioz identifikatzen diren jardueren zerrendak aukera emango du dagokion ekintzaplana ezartzeko.
Helburuak
Proiektu honek helburu hauek lortu nahi ditu:
- Erakundeak industria zibersegurtasunaren arloan duen arrisku-maila identifikatzea, kuantifikatzea eta agerian jartzea.
- Identifikatutako arriskuak arintzen, transferitzen edo ezabatzen dituzten jarduerak zehaztea.
- Proiektuak exekutatzeko egutegi bat ezartzea, erakundeak aurrera eramatea erabaki duen aurreko puntuko jarduerak jasoko dituena, haren arrisku-gosean oinarrituta.
- Enpresako Goi Zuzendaritzari jakinaraztea, proiektu-plana aurkeztuz, balidatuz, babestuz eta hari jarraipena eginez.
Onurak
Hauek izango lirateke proiektua martxan jartzeak ekarriko lituzkeen onurak:
- Erakundeak onar ditzakeen mugetara eramateko behar diren arrisku-maila eta jarduerak ezagutzea, negozioaren jarraipena bermatzen laguntzeko.
- Kostuen eta inbertsioen egutegi bat izatea, finantza-funtzioa planifikatzeko hitzartutako denbora-epe gertagarri batean heldu beharreko segurtasun-proiektuei dagokienez.
- Enpresako Goi Zuzendaritzari jakinaraztea negozioak jasan ezin dituen inpaktuak eragingo dituzten eta espero ez diren etenak eragin ditzaketen arrisku-agertokien aurka jarduteko beharra.
Proiektuaren exekuzioa hobetzen duen zibersegurtasunaren dimentsioak
Estimatutako exekuzio-denbora
Horrelako proiektuak exekutatzeko aurreikusitako denborak orientazio gisa bakarrik adierazten dira.
Enpresa eskatzaileen baliabideen dedikazio-eskakizunak
Jardunbide egokiak proiektua exekutatzean
Horrelako proiektuak behar bezala gauzatzeko, alderdi hauek hartu behar dira kontuan:
- Goi Zuzendaritzaren laguntza: goi-zuzendaritzak ekimenean parte hartzen ez badu, aukera dago proiektuak planaren diseinuaren fasetik harago aurrera ez egiteko. Garrantzitsua da laguntza hori bermatzea eta, batez ere, Planaren balidazio formala bilatzea.
- Konfiantza eta gardentasuna: batzuetan –eta proiektuaren sustatzailearen arabera–, litekeena da informazio jakin bat emateko unean erreparoak izatea edo errealitatearen arabera modu fede-emailean ez transmititzea. Kontuan hartu behar da zibersegurtasunaren arloan erakundeak guztiz sendotu gabe dituen alderdiak agerian jartzeak plan honen bidez alderdi horiek hobetzeko aukera ematen duela.
Lotutako zerbitzuak
- Aholkularitza-zerbitzuak.
Lotutako beste proiektu batzuk
- Industria-sistema kritiko bateko elementuen inbentarioa.
- Intrusio-test industrial bat egitea.
- Hari gabeko industria-komunikazioen auditoriak.
Zibersegurtasun industrialeko laguntzen programako proiektu diruz lagungarriaren arloa
- Industriaren zibersegurtasun industrialaren arloko gaur egungo egoeraren diagnostikoa egitea eta zibersegurtasuna hobetzeko ekintza-plana lantzea. Arrisku industrialaren eta kalteberatasun industrialaren analisia. Industria-sistema kritiko bateko elementuen inbentarioa. Intrusio-test industrial bat egitea. Web-aplikazioetako kalteberatasunen analisia. Hari gabeko industria-komunikazioen auditoriak.
Zerbitzuen edo produktuen enpresa hornitzailearen profila
- Mota honetako proiektuetan sartutako zerbitzuak emateko gaitasuna duten enpresak, “Euskadiko Zibersegurtasunaren Liburu Zuria”n erregistratuta daudenak, kategorizazio honetan sartuta daudenak dira:
| Gaitasuna | Konponbidearen kategoria | Produktu- / zerbitzu-multzoa |
|---|---|---|
| IDENTIFIKATZEA | Negozioaren ingurunea | Negozioko inpaktuaren analisia |
| Gobernantza eta arriskuaren kudeaketa | Betetzea, arriskua eta gobernantza | |
| Arriskuaren analisia | - | |
| Arriskua kudeatzeko estrategia | - | |
| Arriskuaren kudeaketa hornidura-katean | - |
