Seguridad IT versus Ciberseguridad Industrial

La seguridad IT (Information Technology) persigue la protección de la información que manejan las organizaciones, de los sistemas transaccionales que gestionan esta información, de las infraestructuras que albergan estos sistemas e incluso, tras los últimos ataques realizados por “ejércitos ciberterroristas”, de las naciones que agrupan estas infraestructuras. Centrándonos en el concepto de ciberseguridad industrial, esta pueda definirse como la disciplina que persigue proteger:

• La información que se maneja en los entornos OT (Operation Technology) tanto en sectores industriales como en infraestructuras.
• Los sistemas y dispositivos que gestionan esta información (SCADA Servers, Historian Servers, OPC Servers, PLC, RTU, DCS…)
• Las plantas industriales y las infraestructuras (generalmente críticas) que albergan estos sistemas.

¿Por qué surge el concepto de ciberseguridad industrial? Porque la seguridad de las plantas industriales e infraestructuras se ha visto cada vez más amenazada en los últimos años con el surgimiento de diferentes formas de ciberterrorismo y cibercrimen, con la proliferación del acceso web a los sistemas SCADA, con la adopción de los paradigmas cloud, móvil y BYOD (Bring Your Own Device) y con la estandarización de tecnologías IT en el ámbito industrial.

Profundizando en este último punto, actualmente las redes de control o de operaciones (OT) y las redes que conectan los sistemas transaccionales (IT) suelen estar integradas. Esto es debido a que ambos entornos necesitan compartir información entre ellos, en tiempo real en muchas ocasiones, y además, a que se suele requerir que esta información así como algunas aplicaciones de supervisión y control de proceso, sean accesibles desde el exterior de la planta. Esto que permite dotar de flexibilidad y rapidez de actuación a la organización, puede convertirse en un problema si no se adoptan medidas que aseguren que el tránsito y/o compartición de información se lleva a cabo de forma segura.

Por otro lado, la utilización de tecnologías típicamente IT (Ethernet, TCP/IP, etc…) hace que el entorno industrial pueda verse afectado por las mismas vulnerabilidades y amenazas asociadas al entorno IT, heredando sus debilidades.

Lo peor, es que en muchas ocasiones, la criticidad y especificidad del entorno industrial no permite implementar las mismas contramedidas que en un entorno IT tradicional. De hecho existen claras diferencias entre los ámbitos IT y OT, que justifican la necesidad de abordar del desarrollo e implantación de programas de ciberseguridad industrial específicos que estén alineados con las políticas de seguridad IT de la organización. En la siguiente figura se describen dichas diferencias.

Por último, teniendo en cuenta la idiosincrasia de los sectores industriales y de infraestructuras es importante resaltar que el desarrollo e implantación de los programas de ciberseguridad industrial debe llevarse a cabo considerando tres pilares: sistemas, procesos y personas.

• En cuanto a los sistemas es recomendable incorporar a los entornos OT sistemas específicos relacionados con la segmentación de redes, con el análisis y gestión de eventos relacionados con la seguridad, etc.
• Por cuanto a los procesos deben establecerse políticas, procedimientos y programas que ayuden a fortificar los entornos industriales y de infraestructuras.
• Por último, el tercer pilar y sin duda el más complejo de gestionar, las personas, es necesario crear equipos multidisciplinares (Red Teams) que sean capaces de identificar posibles amenazas y vulnerabilidades, de gestionar los SGSI y de adaptar los procesos propuestos en las normativas y documentos de referencia a cada planta concreta.