Con este artículo inauguramos la sección de ciberseguridad en entornos industriales y para ello contamos con la colaboración de Rafael Ruda que aglutina más de 10 años de experiencia en este campo. Os dejo con este artículo introductorio, antesala de los próximos contenidos.
Industria y Ciberseguridad
Dentro de las empresas ha surgido un nuevo reto y una nueva necesidad. Desde hace años, las empresas, da igual su tamaño, han debido adaptarse a un cambio tecnológico que les permita ser competitivos dentro de un mercado cambiante de manera continua y obtener un óptimo proceso productivo.
Este cambio ha supuesto una inversión muy importante, que permite optimizar este proceso y garantizar la producción, pero a su vez nace la necesidad de asegurar el mismo de intrusiones o malas prácticas que pongan en peligro el correcto funcionamiento y las personas que integran el conjunto de lo que yo llamo, un sistema informático industrial.
Hoy en día ha sido tan importante el salto tecnológico, que se necesitan profesionales que sepan asegurar y entender estos entornos de manera equilibrada. Esta nueva figura debe ser capaz de administrar, gestionar y evitar en lo posible intrusiones o ataques que pongan en peligro no solo el sistema industrial o las personas que lo componen, sino la misma continuidad de la empresa.
Operación vs Información
Un entorno industrial está compuesto por sistemas de comunicación en tiempo real. Estos sistemas son capaces de controlar subsistemas conformados por robots, pantallas de visualización, PCs de monitorización, PLCs de control, sensores y otros componentes de campo que interconectan y aseguran lo que se llama hoy en día un entorno OT (Tecnologías de Operación).
Es importante saber diferenciar un entorno OT (Tecnologías de Operación) de un entorno IT (Tecnologías de la Información). Este artículo de Oasys te lo explica.
Teniendo esto en mente, la ausencia de profesionales en sistemas industriales es más que evidente y un verdadero problema dado el profundo conocimiento que se debe tener para poder asegurar, gestionar y administrar un sistema industrial.
- El Proceso Industrial es muy diferente al corporativo. Es imprescindible tener esa visión para poder diferenciar ambos entornos.
- En sistemas IT importa la confidencialidad, mientras que en entornos OT lo que prima es la DISPONIBILIDAD ya que las empresas pueden perder mucho dinero en caso de sufrir una parada de servicio en sus sistemas o plantas.
- Infraestructura OT, clave para lograr objetivos de Producción y Productividad.
Tecnología Operacional (OT)
Sistemas de Control Industrial
Tecnología de la Información (IT)
Sistemas IT Corporativos
Es muy importante entender y comprender que un sistema industrial es un sistema dinámico, que está en constante evolución y debe ser evaluado y monitorizado para poder tomar las decisiones más acertadas y paliar en lo posible los riesgos que puedan poner en peligro el sistema productivo.
En este nuevo escenario que se presenta, los sistemas industriales deben contemplar de manera obligada aspectos de Ciberseguridad que hasta ahora siquiera se tenían en mente, y deben adaptarse para hacer frente a cualquier tipo de amenaza.
El inicio de este proceso debe ser el convencimiento y la necesidad de crear una cultura en Ciberseguridad en los entornos industriales. Aquí se debe aclarar quién está implicado en cada fase de desarrollo a la hora de concebir un sistema industrial, y transmitir la necesidad de ser conscientes de los problemas que pueden surgir y se traten de manera adecuada a la hora de la implantación del nuevo sistema.
El gasto generado en securizar un sistema industrial debe contemplarse a la hora de tomar la decisión de implementarlo.
Recursos de Ciberseguridad en Entornos Industriales
Los recursos para securizar un sistema pasan por incorporar a personal cualificado dentro de la organización. Este personal debe contar con la suficiente experiencia en varias ramas de un entorno industrial y en Ciberseguridad.
Uno de los puntos más importantes y que desgraciadamente no suele proliferar es la formación de personal implicado en Ciberseguridad. Disponer de personal cualificado y de un laboratorio propio es imprescindible si queremos afrontar con éxito ataques o estudiar el comportamiento de un sistema para poder evaluarlo.
En seguridad informática se debe romper con el estereotipo de que con conocer la metodología de los ciberdelincuentes es suficiente. Nada más lejos de la realidad. Ese conocimiento debe formar parte del engranaje que debemos poner en funcionamiento para asegurar nuestros entornos de producción. Tenemos que ser capaces de innovar y probar nuevos métodos que puede ser que todavía no estén en el “mercado” y sean conocidos.
Yo siempre he pensado que cada persona establece su propia metodología y se debe apartar de lo que se considera experto, a personas que lo único que saben hacer es intentar reproducir tipos de ataques que ven en internet y que no se molestan en realizar un estudio de la víctima.
Un ataque debe estar planificado, “cocido a fuego lento”. Es en esa fase cuándo se debe intentar descubrir en nuestro centro de seguridad, anomalías que nos permitan detectar comportamientos inusuales.
Para llegar hasta este punto, la persona o equipo que conforman el departamento de OT, deben entender y comprender puntos imprescindibles de sus sistemas, por ejemplo:
- Fabricante
- Tipos de elementos
- Tráfico generado por estos elementos, Protocolos
- Medidas de seguridad implantadas
- Segmentación de la red
- Frontera entre OT e IT
Es importante, dentro del engranaje que debemos formar para securizar nuestros sistemas, realizar preguntas que sirvan para implementar medidas y confeccionar planillas que ayuden a establecer protocolos de actuación, por ejemplo:
¿Empleados o técnicos de empresas externas en planta podrían infectar la red local mediante memorias USB o PCs externos?
¿Empleados o técnicos de empresas externas tienen acceso no controlado a los sistemas de producción?
¿Existe una normativa interna que permita controlar accesos de empresas externas o personas internas?
¿Existe un plan de contingencia en caso de desastre?
¿Monitorización y Gestión de Eventos de seguridad (SOC)?
¿Se informa al personal interno de los cambios realizados por empresas o departamentos externos?
¿Se tiene en cuenta las recomendaciones de los técnicos?
Una de las preguntas más importante que se debe realizar la gerencia o dirección de nuestra empresa es:
¿QUE IMPLICA TENER UNA PERSONA EXPERTA EN CIBERSEGURIDAD?
Proceso de Ciberseguridad en Entornos Industriales
Después de años de experiencia he comprobado que existe una nueva capa en Ciberseguridad. En mi opinión es la más importante de todas, la concienciación de gerencias y dirección. Sin esta nueva capa implementada las restantes no sirven ante la imposibilidad de ponerlas en práctica.
Entender que la seguridad de la información es un asunto estratégico, en el que deben involucrarse los más altos niveles en la toma de decisiones.
En próximos artículos iré describiendo de manera más detallada cómo empezar a implementar un departamento de OT y todo lo que esto implica, desde cómo elegir a personal cualificado hasta la realización de un laboratorio que permita la práctica y desarrollo de conocimientos, así como el estudio y aprendizaje de un sistema industrial.
Rafael Ruda
- Analista en Ciberseguridad Industrial
- Pentesting
- Perito Judicial Tecnológico
- Implementación de Centros de Seguridad
- Implementación de Software de Monitorización y Diagnóstico
