Ruslan Grumble - Fotolia
Los entornos de tecnología operativa requieren estrategias de ciberseguridad a medida
Para afrontar las amenazas y reducir el riesgo en las redes de tecnología operacional, las organizaciones industriales deben analizar su entorno y tener una perspectiva más amplia de lo que pueden hacer para protegerse, dice Minsait.
Durante mucho tiempo, las redes de tecnologías de información (TI) y de tecnología operativa (TO) han corrido de forma paralela e independientes entre sí, pero más recientemente, como resultado de la creciente digitalización, han comenzado a converger, impulsando así la conectividad y la mejora en la toma de decisiones en las organizaciones.
Si bien son más los puntos de coincidencia, cada una conserva un ámbito bastante bien definido. TI está a cargo de la gestión y control de la información de las organizaciones, mientras que TO es responsable de hacerlo con los equipos de operación crítica que sirven como motor de los sectores de manufactura, energía, agua, petróleo y gas, y consumo, entre muchos otros. Ambos tienen un rol igualmente relevante en la continuidad y éxito del negocio.
No obstante, esta convergencia está ampliando considerablemente la superficie de riesgo en los entornos TO, provocando importantes impactos a la organización. Hace poco menos de una década, en 2015, la red eléctrica ucraniana se paralizaba debido a que un empleado abrió un correo electrónico que contenía phishing; dos años después, delincuentes fueron capaces de paralizar el sistema de protección de una planta petroquímica en Medio Oriente utilizando la misma técnica.
Más recientemente, en 2021, el mayor oleoducto de Estados Unidos se vio obligado a detener el suministro de combustible después de que la contraseña de un empleado se comprometiera y se utilizara para atacar con ransomware el sistema de control principal, teniendo impactos a nivel nacional y al ciudadano común.
Motivaciones de los ataques a TO
Los ataques a TO, asegura Gartner, tienen tres principales motivaciones: Hacer daño real, ocasionar vandalismo comercial y afectar la reputación corporativas.
Según sus estimaciones, el impacto financiero de estos ataques ascenderá a $50.000 millones de dólares para este 2023. Muchos de estos costos estarán asociados a compensaciones, demandas, seguros, multas y pérdida de confianza.
IDC, por su parte, prevé que, para 2025, el 50 % de las organizaciones aumentará el uso de soluciones de ciberseguridad para TO e IoT en el borde, con lo que podrían reducirse las brechas de ciberseguridad TO a la mitad.
Ciberseguridad para entornos industriales
Para afrontar las amenazas y reducir el riesgo en las redes de TO, las organizaciones industriales requieren analizar su entorno y tener una perspectiva más amplia de lo que pueden hacer para protegerse más efectivamente contra las amenazas. Para lograrlo, el punto de partida debe ser una estrategia de ciberseguridad creada exprofeso para entornos industriales. Para ello, pueden apoyarse en asesores especialistas que puedan darles una visión agnóstica de los componentes imprescindibles de un plan de protección acorde a las actividades críticas que desempeña.
Parte de esta estrategia es colaborar con el área de TI, mas no dejar en sus manos toda la responsabilidad de ciberseguridad. TI tiene, sin duda, un gran conocimiento en la protección de datos y sistemas empresariales, pero no el suficiente para entender las necesidades de un ambiente TO, donde se tiene tecnología, infraestructura y operaciones altamente especializadas.
En este sentido, el reto radica en lograr una colaboración sinérgica entre ambas áreas, que logre elevar los niveles de protección para la empresa.
A lo anterior se suma el hecho de que la tecnología de monitoreo, detección y protección de amenazas está lejos de estandarizarse. Hoy, los distintos fabricantes desarrollan sus soluciones y mecanismos de ciberseguridad para entornos TO bajo sus propios enfoques y distintas ramas industriales.
A diferencia de TI, en donde los estándares están mucho más definidos y enfocados en la integridad y confidencialidad de los datos, en TO deben encaminarse hacia a la protección de una infraestructura altamente crítica y a garantizar la continuidad de las operaciones.
Cabe mencionar que hay avances significativos, como Cibersecurity Frameworks que buscan diseñar los marcos de seguridad 100 % enfocados en un entorno industrial, o normas como ISA/IEC 52443, que establece los lineamientos para la protección de entornos industriales, así como establecer controles a nivel estratégico, táctico y operativo.
Estrategia integral
A fin de conformar una estrategia de ciberseguridad efectiva, se deben considerar cinco procesos clave.
- Visibilidad. Es fundamental visualizar la totalidad de los activos críticos de un entorno industrial que tienen que protegerse.
- Identificación. Se debe identificar las vulnerabilidades y los riesgos, así como los impactos para el negocio derivados de estos. Es importante considerar que cada planta o localidad industrial operan en entornos distintos y están expuestos a diferentes amenazas.
- Protección. Una vez que se han identificado los activos, sistemas y redes materiales críticos, se les debe proteger desde el perímetro, blindarlos y segmentarlos del entorno de TI.
- Atención en sistemas obsoletos. Hay que considerar si los equipos de las redes TO son obsoletos. Con frecuencia, las redes industriales utilizan versiones de software legado y sistemas añejos que pueden hoy ser muy vulnerables, lo que requiere poner especial énfasis en su protección.
- Coordinación. Para la consecución efectiva de la estrategia de ciberseguridad, es importante implementar un SOC (centro de operaciones de seguridad), desde el cual se hará un monitoreo acorde a los requerimientos de los entornos industriales.
En los entornos TO, los principios de confianza cero son fundamentales para la ciberseguridad, pues permiten tener el control del acceso a los activos y sistemas críticos, así como a los recursos de las redes industriales. La confianza cero, por tanto, se convierte en un componente esencial de la ciberseguridad para TO que controlará los accesos y permisos para ingresar a las líneas de producción y hacer los ajustes y modificaciones que sean necesarios.
Se trata de proteger el acceso y manejo de controladores lógicos programables (PLC) desde los que se gestionan las líneas de producción de productos, basados en estándares y lineamientos perfectamente establecidos. Esto evita que, por ejemplo, se modifique una fórmula química de manera intencional, lo que puede impactar la operación, la disponibilidad de un producto o incluso que cueste vidas humanas.
Se sugiere implementar la confianza cero por fases, las cuales integren pruebas piloto o localidades industriales para hacer las segmentaciones y los cambios adecuados para garantizar la continuidad de las operaciones y reducir los posibles márgenes de error.
Coordinación y sinergia
Un proyecto de ciberseguridad de esta naturaleza debe ser liderado por un comité dedicado en el que participe no solamente el director de TI, que domina los componentes de seguridad de datos, sino también el director de TO, quien conoce las “joyas de la corona”, y el responsable de las redes industriales, quien sabe cómo se interconectan todos los componentes. Todos bajo la dirección y supervisión de un CISO corporativo.
Se trata de una suma de esfuerzos y acciones que darán como resultado la máxima seguridad a las líneas de producción y prevenir cualquier paro que pueda afectar al negocio. De igual manera, permitirá crear un ecosistema mucho más seguro en un entorno en el que las amenazas a los entornos TO crecen exponencialmente, a la par que la superficie de riesgo.
Sobre el autor: Erik Moreno es director de Ciberseguridad de Minsait en México. En los últimos años, se ha especializado en el diseño y la entrega de proyectos de ciberseguridad contemplando nuevas amenazas y tecnologías, definición de proyectos e iniciativas, estimando esfuerzos humanos, tecnológicos y económicos acorde al nivel de protección y visión de riesgos que requieren las organizaciones, así como modelos de gobierno y control. Cuenta con 15 años de experiencia asesorando a organizaciones en decisiones estratégicas de seguridad, implementado mejoras operativas y tecnológicas en compañías de industrias como telecomunicaciones, energía, banca, TI, comercio electrónico y del sector gubernamental. Es licenciado en informática por la Universidad La Salle de México.