LA INDUSTRIA DE HOY DÍA NO SERÁ INDUSTRIA SIN CIBERSEGURIDAD (1ª Parte)

Hoy día, las nuevas tecnologías permiten capacidades más avanzadas en apoyo de las necesidades de las empresas.

Las organizaciones están compartiendo, cada vez, más información entre los sistemas de control industrial, entorno de operación y los sistemas empresariales.

Este mayor nivel de integración proporciona importantes beneficios comerciales, entre otros, mayor visibilidad de las actividades, sistemas integrados de fabricación y producción, interfaces comunes que reducen los costos o supervisión remota de sistemas.

Aunque estas relaciones pueden ser buenas para los negocios, aumentan el riesgo potencial de comprometer la seguridad de los entornos industriales. A medida que aumentan las amenazas a las empresas también lo hace la necesidad de seguridad.

¿Porque hay que introducir ciberseguridad Industrial?

 No podemos permitirnos una seguridad perfecta, porque puede que esto implique que nuestro negocio no funcione. La seguridad es una gestión de riesgos, y la reducción del riesgo se debe equilibrar con el costo de las medidas para mitigarlo.

Los sistemas de control industrial funcionan en entornos complejos. La comprensión detallada de estos entornos es un requisito previo esencial para garantizar su seguridad.

La seguridad de la información (IT) se ha centrado tradicionalmente en el logro de estos tres objetivos: Confidencialidad, Integridad y Disponibilidad; que a menudo se abrevian con el acrónimo “CIA”.

Una estrategia de seguridad de la tecnología de la información (IT) para los sistemas típicos empresariales puede dar la máxima prioridad a la Confidencialidad y a los controles de acceso necesarios para lograrla. La Integridad podría tener una segunda prioridad, siendo la Disponibilidad la más baja.

Imagen1_art290520

En los entornos de operación (OT), la prioridad general de estos objetivos suele ser diferente. La seguridad en estos sistemas se ocupa principalmente de mantener la Disponibilidad de todos los componentes del sistema. Por lo tanto, la Integridad es, a menudo, la segunda en importancia. Siendo usualmente la Confidencialidad de menor importancia, porque los datos son crudos en su forma y deben ser analizados dentro del contexto para tener algún valor. Sin embargo, esto no significa que los datos no tengan importancia, porque, ¿qué pasaría con la seguridad del dato (Patentes, formulas secretas, etc.)?

Pero, lo que debe de considerase más importante en el entorno OT, es la “Seguridad”, tanto la seguridad de la salud de las personas como del medioambiente.

Al ser los requerimientos de Seguridad distintos en un entorno u otro, es por lo que la ciberseguridad industrial debería de “independizarse” de la seguridad de la información (IT), y una manera de hacerlo es denominarlas de manera distinta, llamando a parte industrial como ciberseguridad OT o ciberseguridad ICS.

Hago aquí este apunte ya que creo que es importante, cuando hablamos de seguridad. A mí me gusta usar las palabras inglesas SAFETY y SECURITY, ya que hacen una distinción que considero fundamental a tener en cuenta. En castimagen2_artblog_280520ellano se utiliza la misma palabra para conceptos distintos.

Esta distinción, sobre todo me gusta hacerla, porque en el entorno industrial para mucha gente el concepto Seguridad (Safety) está relacionado con la seguridad del proceso, donde suelen aplicarse las normas IEC-61508 y IEC-61508. Estas normas establecen los requisitos para Sistemas de control empleados en Seguridad. Mientras que el concepto de Seguridad (Security) es un concepto que está empezando a utilizarse en el mundo industrial, y aunque las normas safety, han incluido un informe técnico, con gran valor, que referencia a Ciberseguridad, no llega a profundizar tanto como los estándares dedicados.

¿Qué es la ciberseguridad industrial?

La ciberseguridad industrial es un campo que está tomando mucha importancia a nivel internacional y hay muchas regulaciones/estándares como CFATS, AGA, FERC, FISMA, NERC CIP, NIST, ISA, IEC estos estándares son documentos voluntarios impulsado bajo un consenso y suelen ser solicitados en los contratos nuevos, siendo el NITS-framework el más solicitado. Sin embargo, de un tiempo a esta parte el standard ISA99/IEC-62443 está tomando fuerza en el mundo industrial ya que está siendo desarrollado por expertos en el mundo industrial ISA99 e IEC-52443 consultado con ISO/IEC2700x. Imagen3_artblog290520

ISA99/IEC-62443, aplica a cada uno de los implicados en el entorno industrial, desde el propietario de la planta, indicando como debería ser un programa de ciberseguridad, hasta el proveedor de los componentes que se suministran, mostrando las características técnicas que deberían tener los componentes suministrados en base a criterios de diseño.Imagen4_artblog290520

La ciberseguridad industrial es algo más que la tecnología que se utiliza en los sistemas de control, también incluye a la gente y a los procesos necesarios para su implementación. Si la gente no está suficientemente entrenada, si el riesgo y las contramedidas tecnológicas y los procedimientos necesarios no están desarrollados durante el ciclo de vida de una planta, seremos vulnerables.

En base a estas premisas se debe desarrollar la ciberseguridad industrial.

Las amenazas externas no deben ser la única preocupación. Las personas con conocimiento de causa, con intenciones maliciosas o incluso un acto inocente no intencionado, pueden suponer un grave riesgo para la seguridad. La modificación o prueba de los sistemas operativos ha llevado a efectos no deseados en las operaciones del sistema.

David Marco Freire
Iberia OT Security Lead (ACCENTURE)
Miembro Grupo Industria Conectada 4.0 en ISA Sección Española

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *