Es muy habitual que una de las primeras intervenciones que requiera una organización preocupada por mejorar los niveles de seguridad OT, sea llevar a cabo una evaluación de su nivel de madurez actual con respecto a la ciberseguridad de sus entornos industriales y/o infraestructuras críticas. Para ello, existen diferentes marcos de referencia, mejores prácticas, normativas y/o estándares que ayudan a realizar este análisis. Entre ellos podemos destacar los siguientes:

  • C2M2 (Cybersecurity Capability Maturity Model)
  • NIST Cybersecurity Framework 1.1
  • DHS Catalog of Control Systems Security: Recommendations for Standards Developers
  • NERC Critical Infrastructure Protection (CIP) Standards 002-009
  • NIST Special Publication 800-82, Guide to Industrial Control Systems Security
  • NIST Special Publication 800-53, Recommended Security Controls for Federal Information Systems
  • NIST Cybersecurity Framework NRC Regulatory Guide 5.71 Cyber Security Programs for Nuclear Facilities
  • Committee on National Security Systems Instruction (CNSSI) 1253
  • INGAA Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry
  • NISTIR 7628 Guidelines for Smart Grid Cyber Security.

Como decíamos al principio, la mayoría de ellos ayudan a las organizaciones a evaluar su nivel de madurez respecto a la ciberseguridad de sus entornos industriales, establecer el nivel objetivo que la organización quiere alcanzar en este ámbito y definir un conjunto de iniciativas y/o proyectos que permitan alcanzar dicho nivel objetivo en un tiempo y recursos a determinar.

En este whitepaper esbozamos el alcance de dos marcos ampliamente utilizados: El Cybersecurity Framework v1.1, desarrollado por el NIST (National Institute of Standards and Technology)y el Cybersecurity Capability Maturity Model (C2M2) 1.1, desarrollado por el DHS (Department of Homelando of Security) y a su vez, avalado por el NIST.

Además, proponemos una serie de criterios que ayudarán a las organizaciones a seleccionar el marco más adecuado, teniendo en cuenta su idiosincrasia, así como sus restricciones temporales y presupuestarias.