Ciberseguridad industrial y aspectos claves a proteger

La seguridad debe asegurar la Confidencialidad, la Integridad y la Disponibilidad de los sistemas.

Integridad it versus disponibilidad OT

En esta entrada introducíamos algunos conceptos asociados a la seguridad en sistemas SCADA. Creemos interesante profundizar en el concepto de ciberseguridad industrial.

Si la seguridad informática (entornos IT) persigue la protección de la información que manejan las organizaciones, los sistemas que gestionan esta información, las infraestructuras que albergan estos sistemas e incluso las naciones que agrupan estas infraestructuras, la ciberseguridad industrial es la disciplina que persigue proteger:

  • La información que se maneja en los entornos OT (Operation Technology) tanto en sectores industriales como en infraestructuras.
  • Los sistemas y dispositivos que gestionan esta información (SCADA Servers, Historian Servers, OPC Servers, PLC, RTU, DCS…)
  • Las plantas industriales y las infraestructuras (generalmente críticas) que albergan estos sistemas.

Es decir, el concepto de ciberseguridad industrial está incluido en el ámbito de la seguridad industrial, entendiendo que la información, sistemas e instalaciones deben ser protegidos de ataques originados principalmente a través de medios telemáticos.

En lo que se refiere a la información y al igual que en los entornos IT tradicionales, la seguridad debe asegurar la Confidencialidad (sólo los usuarios autorizados pueden ver/acceder a la información, la Integridad (sólo los usuarios autorizados pueden realizar cambios en la información) y la Disponibilidad (la información debe estar siempre accesible para los usuarios autentificados y autorizados que la demanden) de los sistemas.

Sin embargo, es necesario remarcar que mientras en los entornos IT transaccionales, la «C» de Confidencialidad es el aspecto más importante a proteger, en los entornos SCI (Sistemas de Control Industrial), es la «D» de Disponibilidad el factor con mayor importancia, no solo para la información sino también para los sistemas y las plantas.

De hecho, en la parte 1 de la normativa ANSI/ISA–99.00.01–2007, en la página 36, se discute este particular.