Introduction
Desarrollar la Evaluación de Riesgos Cibernéticos Industriales cumpliendo con todos los requerimientos de la serie de normas ISA/IEC-62443 con facilidad, rapidez y asegurando su cumplimiento.
La metodología correcta es fundamental para tomar las decisiones acertadas y crear infraestructuras industriales resilientes a todo tipo de amenazas. Evitar demoras y errores típicos por falta de gestión, conocimiento o experiencia.
Course Outline
AL FINALIZAR EL CURSO ESTARÁ EN CONDICIONES DE:
• Interpretar adecuadamente los requerimientos de la serie de normas ISA/IEC-62443 para la fase de Evaluación de Riesgo Cibernético (ASSESSMENT).
• Desarrollar todas estas actividades de evaluación de riesgos con éxito empleando una mínima cantidad de tempo, dedicando la mayor parte sobre las actividades de valor.
• Identificar correctamente al sistema bajo consideración ya sean estos sistemas existentes o futuros comenzando en etapas de ingeniería.
• Colaborar, participar y/o liderar una evaluación el riesgo cibernético detallado basado con la evaluación de escenarios y consecuencias realistas.
• Tomar buenas decisiones de forma consistente con otras disciplinas de riesgo industrial.
• Asistir o desarrollar un plan de acción efectivo, eficiente y suficiente para mitigar todos los riesgos de acuerdo con el riesgo tolerable por la organización.
CONTENIDO
- Interpretar los requerimientos de la metodología WBS para cumplir con los requerimientos de las normas y tomar buenas decisiones.
- Comprender las actividades necesarias a realizar durante la fase de Evaluación de Riesgo Cibernético (ASSESSMENT).
- Comprender las entradas necesarias antes de comenzar cada actividad.
- Comprender las salidas a producir como resultado de cada actividad.
- Fijar y conocer las expectativas, roles y responsabilidades de cada participante.
- Estimar, tiempos, duraciones y recursos necesarios para completar la evaluación de riesgos.
- Analizar, comprender y modelar zonas y conductos.
- Identificar con precisión el listado completo de ciber-activos que componen el sistema bajo consideración, incluyendo Hardware, Máquinas Virtuales y Software.
- Emplear métodos y técnicas pasivas no intrusivas para identificar ciber-activos y desarrollar estudios de vulnerabilidades en sistemas existentes 7x24 o futuros.
- Identificar vulnerabilidades públicas (existentes en bases de datos globales), privadas (propias de la instalación particular del SuC), y del día cero.
- Clasificar vulnerabilidades como administrativas, cibernéticas y físicas.
- Modelar la matriz de riesgos de Ciberseguridad Industrial a utilizar para calcular el Riesgo Cibernético Industrial de una forma repetible y auditable.
- Desarrollar una evaluación de madurez en la organización contra mejores prácticas globales, incluyendo ISA/IEC-62443 y regulaciones para energía, petróleo y gas.
- Desarrollar evaluaciones de brechas de seguridad contra mejores prácticas globales, incluyendo: ISA/IEC-62443 y otras.
- Modelar los activos físicos de la compañía e identificar todas las potenciales consecuencias por medio de la técnica de identificación de peligros y análisis de criticidad.
- Participar y/o conducir una evaluación de riesgos cibernéticos detallados según la metodología para la evaluación de riesgos de ISA/IEC-62443-3-2.
- Producir las recomendaciones necesarias para llegar el riesgo tolerable por la organización.
- Producir los informes necesarios con las recomendaciones necesarias y suficientes a nivel de procesos, tecnología, sistemas, políticas, procedimientos y mejores prácticas.
PERFIL DEL PARTICIPANTE
Está dirigido a todo personal de Energía, Petróleo y Gas que estén relacionados con las actividades de protección de la infraestructura crítica y sistemas de control. Es recomendada la participación de responsables de seguridad de IT, integradores de sistemas, proveedores de sistemas de control industrial, ingenieros de planta, gerencia de producción y operación de planta, seguridad industrial, especialistas en sistemas instrumentados de seguridad y personal de mantenimiento; ya sean de mandos altos o medios.
RECONOCIMIENTOS
Todos los participantes que cumplan con los requisitos del curso y que aprueben satisfactoriamente el examen final con una buena calificación serán galardonados con una Insignia Digital. La Insignia digital certifica que el participante ha asistido al curso de capacitación EN60 y ha realizado la prueba de evaluación final con una buena calificación, verificando que dicho participante ha asimilado los nuevos conocimientos de forma razonable.
REQUERIMIENTOS:
No tiene requisitos específicos. Es recomendable que el profesional posea conocimientos de algunos de los siguientes: Gestión de Proyectos según metodología PI/PMBOK, Normas de Ciberseguridad Internacional por consenso de la industrial ISA/IEC-62443, Normas de Ciberseguridad Corporativa o de seguridad de la Información ISO-27000, Normas de gestión de riesgo industrial como ISA/IEC-61511, seguridad funcional, Regulaciones y/o normas nacionales como NIST, NERC, y otras; Experiencia en la gestión de proyectos corporativos y de gestión de cambio cultural, Otras normas de gestión de riesgo industrial (seguridad de trabajadores, seguridad ambientaL, etc.).
