Auditoría de seguridad OT

Cliente: Grupo Mahou San Miguel.
Año: 2021.
Proyecto: Auditoría de seguridad OT.
Duración: 6 meses.
Tecnología: ISO 2001, ISO 62443, IEC 62443, MAGERIT, Framework MITRE ATT&CK, OSSTMM, OWASP.

Responsable comercial y de la entrega del servicio del proyecto, consistente en la realización de una auditoría de los sistemas OT de Mahou con el objetivo de detectar los posibles puntos de mejora frente a amenazas relacionadas con la seguridad de la información que exista dentro de la infraestructura de tecnología. Dicha auditoría consistirá en la evaluación de las principales vulnerabilidades y riesgos presentes.

• Auditoría de seguridad externa: Análisis de vulnerabilidades y test de intrusión externos con el objetivo de conocer el grado de exposición de la compañía.

• Análisis de madurez de medidas de seguridad implantadas en los sistemas y comunicaciones. En este sentido, se contemplarán los siguientes estándares de seguridad:

– La norma internacional ISO 27001, cuyo Anexo A identifica un listado de objetivos de seguridad y de controles de seguridad para conseguir tales objetivos, de forma que es posible cuantificar objetivamente el estado de cumplimiento de cada uno de ellos y marcarse unos objetivos cuantitativos de mejora (la norma ISO 27002 ofrece la guía de implementación de estos controles).

– Medidas de seguridad del estándar internacional de ciberseguridad industrial IEC 62443 .

• Análisis experto de la arquitectura y configuración de seguridad de los sistemas y redes, incluyendo un análisis exhaustivo de la seguridad de la red OT.

• Análisis de riesgos de seguridad de los sistemas, en el cual para cada elemento del sistema y cada una de las dimensiones de la seguridad (confidencialidad, integridad, disponibilidad) se calculará el grado de exposición a las diferentes amenazas de seguridad. Para realizar una cuantificación objetiva del estado de riesgo se usará la metodología MAGERIT, que permite calcular cuantitativamente el estado de riesgo de los activos.