Las infraestructuras críticas y los sistemas de control industrial se han convertido en objetivos primarios para los ciberataques, lo que resalta la urgente necesidad de mejorar la seguridad de los productos OT. La guía enfatiza que los actores de amenazas tienden a comprometer componentes de OT específicos en lugar de atacar a organizaciones enteras, lo que significa que los productos individuales pueden ser vulnerables. Muchos de estos productos no fueron diseñados con los principios de Secure by Design, lo que resulta en debilidades que pueden ser fácilmente explotadas por los cibercriminales.
Por ello, es fundamental que los propietarios y operadores de OT seleccionen productos de fabricantes que prioricen la seguridad. La guía proporciona información y criterios que pueden utilizar los clientes al evaluar las ofertas de distintas empresas, instando a tener en cuenta factores de seguridad desde el inicio de la discusión de adquisición.
CISA también menciona que, si se desean más detalles sobre las preguntas críticas a considerar durante las adquisiciones, se puede consultar otro documento titulado «Guía Secure by Demand: Cómo los clientes de software pueden impulsar un ecosistema tecnológico seguro». Asimismo, la guía se complementa con información sobre los principios y prácticas de “seguridad mediante diseño”, donde se detalla cómo integrar medidas de seguridad desde la fase de desarrollo de un producto.
Un aspecto clave de la guía es su enfoque en la selección de fabricantes que muestren un compromiso con la seguridad a largo plazo, lo que incluye la mejora continua de productos y la adopción de mejores prácticas. Esto es especialmente importante en un contexto donde las amenazas cibernéticas son cada vez más sofisticadas, y las fallas de seguridad pueden resultar en consecuencias graves, no solo para las organizaciones, sino también para la seguridad nacional y la confianza pública en las infraestructuras críticas.
Adicionalmente, la guía subraya la importancia de una visión colaborativa entre las entidades gubernamentales, las empresas privadas y los usuarios finales para promover un entorno más seguro. Los propietarios y operadores deben trabajar activamente para hacer preguntas clave sobre las prácticas de seguridad de los fabricantes y sobre cómo estas se implementan en los productos que están considerando. Al hacerlo, se busca fomentar una cultura de seguridad que reduzca el riesgo de ataques y mejore la resiliencia de las operaciones de tecnología operativa.
Por último, se recalca que la seguridad no debe ser considerada solo como un requisito al final del proceso de adquisición, sino que debe estar integrada en cada etapa del ciclo de vida del producto. Esto implica colaboración y comunicación constante entre todos los actores involucrados, garantizando así que cada decisión de compra se alinee con los criterios de seguridad establecidos en la guía de CISA. La implementación efectiva de estos principios no solo fortalecerá la seguridad individual de los productos, sino que también contribuirá a un ecosistema tecnológico más seguro en general.
Enlace de la fuente, haz clic para tener más información