Seguridad OT; tan importante es la tecnología como las personas
La ciberseguridad de la industria, ya sean plantas industriales y demás entornos de producción, ha experimentado un incremento de los ataques al igual que los sistemas de TI. La información que se maneja dentro de estos entornos es ciertamente relevante y, además, con la llegada de IoT, se hace imprescindible fortalecer la seguridad con herramientas específicamente diseñadas para este sector.
Asegurar las infraestructuras críticas de cualquier industria es hoy una prioridad sobre todo desde la confluencia de las redes TI y OT. La seguridad de tecnologías de la Operación (OT) está especialmente orientada a dar respuesta a la industria productiva con sus características específicas y sus redes. En la seguridad OT ocurre como en las grandes ciudades, la situación va por barrios, no todos los sectores industriales, es decir, barrios OT, que utilizan tecnologías de operación, han adoptado la ciberseguridad industrial de la misma forma, como se demuestra en el reciente informe Estado de ciberseguridad en sectores industriales de España, publicado recientemente por el Centro de Ciberseguridad Industrial (CCI) . Así lo explica el director de dicho centro, José Valiente.
No todos los sectores han sabido evolucionar de la misma manera en materia de seguridad industrial. Por ejemplo, en los de energía o agua llevan años gestionando el reste tipo de riesgos, mientras sectores como la ingeniería o la fabricación están en etapas tempranas de ciberseguridad. Igualmente, en nuestro país tampoco se ha evolucionado de la misma forma en cuanto a las capacidades de ciberseguridad, ya que actividades que están en un nivel de madurez avanzado, como la concienciación general, la formación especializada, la investigación en ciberseguridad industrial o la creación de guías de buenas prácticas y estándares de referencia, no han ido a la par en todas las áreas.
Como comenta Valiente , “existen retos que están todavía en su fase inicial o en un nivel de desarrollo medio, como por ejemplo, la creación de esquemas de evaluación, la elaboración de marcos regulatorios o la creación de sistemas que incluyan ciberseguridad desde el diseño, como se muestra en el Roadmap de la ciberseguridad industrial en España 2019-2020".
Uno de los problemas específicos de las infraestructuras industriales es su cada vez mayor dependencia de la tecnología con motivo de la trasformación digital
Por su parte, José Luis Laguna, director de ingeniería de sistemas, Fortinet, también resalta la importancia de este tema. En su opinión, en los últimos años hemos asistido a un proceso de apertura de los entornos OT que han abandonado su ostracismo para converger con el entorno TI. Este paso conlleva un mayor nivel de concienciación sobre los riesgos a los que deben enfrentarse. Así lo confirman los datos del último estudio que hemos encargado a Forrester: la mayoría de las compañías líderes en el sector de la fabricación consideran la seguridad OT como uno de los cinco riesgos más importantes para el negocio. El 39%, más de la tercera parte lo situaban en el Top3 . “El nivel de madurez que comentábamos se refleja en que, afortunadamente, el 89% están ya destinando presupuesto para dar respuesta a los retos de ciberseguridad a los que deben enfrentarse”, señala.
Principales ventajas y retos
La seguridad OT se está convirtiendo en un requisito imprescindible en los nuevos proyectos de digitalización industrial, donde se requiere la integración IT y OT, lo que obliga a la Unión Europea y sus estados miembros a trabajar en el establecimiento de regulaciones y esquemas de certificación que pronto verán la luz, según explica el director del CCI, centro que actualmente está trabajando en la construcción de una plataforma, RECIN, para facilitar a las áreas de ingeniería de las organizaciones industriales la incorporación de estos requisitos de forma ágil y basándose en el estándar internacional IEC62443. Además, Valiente señala que el talento es el reto principal al que se enfrenta este campo. La carencia de profesionales con conocimiento y experiencia en seguridad OT es la principal dificultad a la que se enfrentan todos los actores, las organizaciones industriales, las ingenierías, los reguladores, los fabricantes industriales, los proveedores de servicios y soluciones de ciberseguridad.
En cambio, el responsable de ingeniería de sistemas de Fortinet cree que “hoy, la ciberseguridad no es tanto una ventaja como una necesidad”. Los atacantes tienen objetivos muy diversos, desde los que buscan enriquecerse a los que plantean estrategias dirigidas a atacar gobiernos o infraestructuras críticas para paralizar servicios esenciales para la población. Ataques mediáticos como el que sufrieron las centrales eléctricas de Ucrania son un claro ejemplo de la necesidad de proteger los entornos de las infraestructuras críticas. Por eso, y según Laguna, uno de los problemas específicos de las infraestructuras industriales es su cada vez mayor dependencia de la tecnología con motivo de la trasformación digital, a la que se ven obligadas a implementar para mantener la competitividad. El no contar con un plan de ciberseguridad adecuado puede provocar grandes pérdidas económicas y de reputación ante una parada del proceso industrial que, además suelen ser muy superiores a las que provoca un ataque a un sistema IT.
Soluciones acertadas
Para reducir el impacto de los ataques a las redes industriales no sirve aplicar únicamente medidas específicas, es necesario gestionar el riesgo OT de forma completa y continua, según apunta Valiente. Se requiere poner en marcha la ciberseguridad como un proceso de la organización, con el apoyo de la dirección, con un responsable de gestionar este riesgo,evaluando no solo el riesgo de las redes industriales, también de los sistemas industriales, su integración con los sistemas de información y los riesgos asociados a la cadena de suministro.
Para prepararse y anticiparse a los ataques deberán aplicarse medidas acordes a la criticidad de los componentes, pero también disponer de capacidades para gestionar los incidentes que puedan producirse para recuperar el servicio de operación. En conclusión, es necesario incorporar la ciberseguridad como un proceso equivalente al proceso de calidad que tienen todas las organizaciones industriales desde hace años.
La seguridad OT se está convirtiendo en un requisito imprescindible en los nuevos proyectos de digitalización industrial, donde se requiere la integración IT y OT?.
Tal es así que Laguna explica que, “en ciberseguridad siempre decimos que es tan importante la tecnología como las personas”. “En Fortinet disponemos de ingenieros con mucha experiencia en entornos industriales que entienden perfectamente las casuísticas específicas de estos entornos y que pueden, por lo tanto, proporcionar las mejores recomendaciones”, añade. Son entornos con una particularidad que no permiten aplicar sin más las mismas medidas de protección tradicionales en IT.
Y en cuanto a tecnología, desde Fortinet ofrece una solución completa para los entornos industriales, con dispositivos ruggerizados especialmente diseñados para estos entornos y que cuentan con certificaciones específicas. “No se trata solo de instalar firewalls, una correcta protección debe cubrir toda la superficie de ataque y proporcionar una estrategia de defensa en profundidad”, comenta el director de ingeniería de sistemas de la firma de ciberseguridad.
