La Disponibilidad como el primero de los 3 ejes fundamentales de la Ciberseguridad Industrial
En el III de Congreso Iberoamericano de Ciberseguridad Industrial se llevaron a cabo una serie de ponencias de Ciberseguridad en entornos Industriales y de Infraestructuras. En este post definimos una...

El pasado 7 y 8 Octubre de 2014, responsables del área de negocio de High Availability de Logitek estuvieron presentes en el III de Congreso Iberoamericano de Ciberseguridad Industrial. En este evento se llevaron a cabo una serie de ponencias relativas a las tendencias, retos y futuro de la Ciberseguridad en entornos Industriales y de Infraestructuras.
Uno de los mensajes fundamentales como conclusión de este congreso es que el objetivo de la ciberseguridad es el de garantizar la disponibilidad, integridad, y la confidencialidad de los sistemas de información así como de las propias infraestructuras que soportan la prestación de servicios ampliamente utilizados o que manejan información clasificada o sensible para los intereses ‘nacionales’.
Para ello, es importante definir unas prioridades y un plan de acción sobre las denominadas Infraestructuras críticas: servicios esenciales para el funcionamiento de la sociedad.
Los Planes Sectoriales
En España el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) acaba de aprobar los cinco Planes Sectoriales (PES) que abarcan los sectores de la energía (electricidad, gas y petróleo), el nuclear, y el financiero.
Encontrándose en una fase previa otros siete Planes Sectoriales correspondientes a los sectores de Transporte (aéreo, marítimo, carretera y ferroviario), Agua y Tecnologías de la Información y Comunicación.
¿Qué procedimientos se siguen en los Planes Sectoriales – PES?
- Definir los servicios esenciales de un sector
- Definir el funcionamiento de los mismos
- Estudiar cuales son las vulnerabilidades y amenazas del sistema
- Calcular las posibles consecuencias potenciales de la inactividad de alguno de ellos
En el último capítulo se recogen las medidas a adoptar desde el punto de vista técnico y organizativo: están dirigidas a gestionar las capacidades operativas de respuesta dirigidas a la prevención y la reacción y mitigar las consecuencias en caso de que se pudieran producir los diferentes escenarios identificados.
Algunos sectores
Los siguientes son ejemplos en sectores de Gas y Petróleo:
- Plan Sectorial Gas: el principal objetivo es que se garantice la continuidad del servicio, por eso se ha determinado la obligatoriedad mínima de la asistencia mínima del suministro durante 20 días y la diversificación para optar y hacer llegar el gas a todo el territorio nacional. Es un sector importante por la fuerte dependencia de España respecto al extranjero.
- Plan Sectorial Petróleo: énfasis en suministro y almacenamiento por la dependencia española del exterior.
Sobre las ponencias: Un caso real de una empresa de Petróleo
Una de las ponencias que más llamó la atención, fue el caso real de una empresa de petróleo que explicó, de forma general, su ruta en la carrera de la Ciberseguridad, tanto desde el punto de inicio, la evolución y el plan de trabajo desde el minuto cero en que la Ciberseguridad empezó a ser un tema a tener en consideración.
¿Cómo empezó todo?
Todo empezó durante una reunión del departamento de OT (Operations Technology Department) en la cual, uno de los miembros lanzó una pregunta: ¿qué estamos haciendo en torno a la seguridad de los sistemas a nivel industrial? ¿estamos preparados para enfrentar un ciberataque? A partir de aquí y desde el 2009, algo que para ellos era un término totalmente desconocido, empezó a tomar mayor importancia.
Lo principal para ellos es siempre la seguridad y la integridad de las personas (SAFETY) bajo tres principios fundamentales de la ciberseguridad: la disponibilidad, la integridad, y la confidencialidad.
¿Qué importancia tiene la disponibilidad?
Dentro de los objetivos de una política de ciberseguridad se encuentra el de asegurar la continuidad de los servicios y eso sólo se puede conseguir con las estrategias adecuadas, basadas en soluciones de alta disponibilidad.
¿Por dónde empezar?
Algunos de los pasos que han tenido que dar son:
- Paso 1: Inventario de activos ( incluye dispositivos y personas)
- Paso 2: Prioridades
- Paso 3: Definición de arquitecturas seguras.
Sobre el plan de trabajo, destaca la importancia de registro de incidencias, una estrecha relación con los proveedores, verificaciones internas del plan, divulgación del plan a nivel corporativo, creación de manuales de procedimientos, estrategias de copias de seguridad, etc), verificaciones de detalle, integración de comités IT-OT, análisis de vulnerabilidades, mediciones mediante el uso de indicadores. Prevención de intrusos.
Algunos de los factores clave en este proceso:
- Defensa en profundidad. Mínimo privilegio (muy importante, hay que definirlo al inicio) .
- IT-OT: sinergias. Visión empresarial. Aprender de los dos mundos. Relacionar la seguridad con los objetivos de la empresa. No son los mismos riesgos y mucho menos las mismas consecuencias. Siempre visión empresarial IT-OT unidos.
- Proveedores: siempre contar con su apoyo. Siempre tener un proveedor colaborador y siempre dispuesto a ayudar. La realidad la tiene el cliente. No todas las herramientas sirven al cliente final.
Lo más importante de todo:
- Alineación con la estrategia de la empresa. Crear conciencia (las personas son importantes)
- Establecer lineamientos claros pero flexibles.
- Estar siempre pendiente del entorno (siempre informados, tendencias)
- Monitorización continua de sus riesgos. Hacer verificaciones anuales.
- Trazabilidad: en seguridad de la información todo debe ser trazable.
- Crear un comité de seguridad. El líder puede ser el de Seguridad de la Información y OT participa en las reuniones. El responsable puede ser IT pero OT tiene su representante.
Conclusión (desde el punto de vista de la Disponibilidad)
De la asistencia a este congreso, concluimos que la disponibilidad es un concepto que juega un papel fundamental en la «carrera de la ciberseguridad industrial».
Una de las grandes diferencias entre ciberseguridad IT y ciberseguridad OT es que las prioridades son distintas. Para Ciber IT, las prioridades son: CIA (Confidentiality, Integrity, Availability) por su parte para Ciber OT las prioridades son AIC (Availability, Confidentiality, Integrity).
Por ello, cumplir con estas prioridades en nuestro mundo OT, es necesario conocer los métodos y estrategias que tenéis a vuestra disposición para asegurar la disponibilidad de los sistemas que hacen parte de un proceso automatizado: servidores, estaciones de operación y dispositivos de automatización (PLCs, SCADAs, HMIs,Robots).
Entre estos métodos encontramos:
- A nivel de servidores: servidores tolerantes a fallos con disponibilidad continua 99.999%
- A nivel de estaciones de operación: uso de clientes ligeros que permitan un nivel de seguridad superior (por ejemplo deshabilitar los USBs) junto a una herramienta de gestión que permita, entre otros, la ocultación de credenciales de usuario.
- A nivel de copias de seguridad: utilización de herramientas que os permitan tener, de forma automática, un repositorio central seguro de los programas y configuraciones de vuestros dispositivos de automatización, (PLCs, SCADAs, HMIs, Robots, Variadores, etc) asegurando la trazabilidad y un plan de contingencia en caso de desastre (….ciberataque).