El buen Responsable de OT. Como es sabido, los entornos OT (Operational Technology) y la ciberseguridad industrial son dos conceptos fundamentales en el ámbito de la seguridad; no sólo cuando hablamos de las infraestructuras críticas, sino en la protección de los sistemas industriales en general.
Hablar de entornos OT refiere a los sistemas y dispositivos utilizados para controlar y supervisar las operaciones en entornos industriales, como plantas de energía, plantas químicas, redes de suministro de agua y sistemas de fabricación. Estos entornos incluyen tecnologías como sistemas de control industrial (ICS), sistemas de automatización, sensores y actuadores, y equipos especializados. El objetivo principal de los entornos OT es garantizar el funcionamiento seguro y eficiente de los procesos industriales.
Toda empresa que desarrolle su actividad en los entornos previamente descritos debería de contar con un buen responsable de OT. Este sector de empresas son el objetivo habitual de ataques que vienen tanto de dentro como de fuera del entorno. Tal es así, que podemos ilustrarnos con algunos ejemplos, como el exitoso ciberataque a productores de GNL justo antes de la invasión de Rusia a Ucrania, el cierre temporal de 14 fábricas de Toyota después de que un proveedor fuese comprometido, o la vulneración de los sistemas ICS y SCADA de una planta de energía nuclear. Por tanto, tenemos que ser conscientes de que no basta con tratar de aislar las áreas de producción de nuestro negocio, no es una solución eficiente ni, en la mayor parte de los casos, efectiva.
Investigar las complejidades y alcance de los entornos OT ha permitido la identificación de muchos riesgos potenciales. Con ello, ahora sabemos que los sistemas de defensa ante estos potenciales ataques, implementados por sí solos, son, en su mayoría, ineficientes, abruman a los equipos de seguridad con información sobrante que no saben manejar y no logran priorizar las alertas según el riesgo, el contexto y su posible impacto. Estas soluciones por sí solas no mitigan el riesgo ni previenen ataques maliciosos que afectan la continuidad del negocio y las operaciones industriales si no son puestas en las manos de personal cualificado que sepa interpretarlas y configurarlas debidamente.
Tener en cuenta todas las áreas y elementos que afectan a la red OT
La mayor parte de las soluciones actuales existentes en el mercado, carecen de una visión completa de los riesgos acontecidos del entorno de OT y todos los activos OT-IT-IIoT. Es preciso contar con una visión integral.
Por ejemplo, pensando en el uso único y exclusivo de un IDS (Intrusion Detection System), tenemos que ser conscientes de que es probable que la visibilidad de nuestro inventario de activos sea bastante deficiente. Es necesario completar esta información con datos de otras fuentes de seguridad e industriales para tener una visión completa de todos los activos OT y garantizar una mitigación efectiva de riesgos; hemos de ser conscientes de que los equipos de seguridad no pueden solucionar lo que no pueden ver. Por ello, a mayores, debemos tener en cuenta lo siguiente:
- El impacto comercial de cada activo, el contexto operativo y la jerarquía organizativa
- Visibilidad de los controles de seguridad
- Fuentes industriales como OPC, DCS y archivos de proyectos
- Firewalls
- Proxies web
- Vistas detalladas de cada activo y sus configuraciones de seguridad Sistemas de gestión
- Servidores
- Dispositivos de red e IDS/IPS
- SIEM
- La cobertura de la red operativa
Ser atento, proactivo y ver el riesgo contextual
Un buen responsable de OT debe de asegurarse e que se lleva a cabo una correcta gestión de las vulnerabilidades, y tener capacidad para reducir el riesgo ante posibles brechas, ya que actuar después de un ataque sería demasiado tarde.
- Reducir la superficie de ataque operativo de una organización mediante una segmentación adecuada.
- Mitigar las vulnerabilidades de OT-IT-IIoT para evitar que los ciberdelincuentes las exploten.
- Reforzar los activos y sistemas críticos contra el ransomware
- Recomendaciones prácticas para acciones proactivas.
- Asegurar la copia de seguridad continua de los sistemas críticos para garantizar su recuperación, ya que nunca hay garantía de que los accesos no autorizados se puedan bloquear por completo.
Trazar una estrategia para reducir los riesgos potenciales
Dado que la mayoría de los analistas de SOC están faltos de habilidades en OT y equipos operativos, otra característica esencial para proporcionar soluciones eficaces de ciberseguridad industrial es darles a estos equipos guías de mitigación claras, precisas y fáciles de usar.
Estas guías deben de ser adecuadas para entornos operativos donde el tiempo de inactividad no es una opción. La idea es que los analistas y el personal operativo no necesiten ser expertos en ciberseguridad para utilizar las guías, a la par que estas herramientas también deben ser adaptables a un entorno industrial específico de cada organización.
Las guías de mitigación deben de proporcionar contexto para formar a los equipos operativos y de seguridad para reducir de inmediato las exposiciones y vulnerabilidades de seguridad de la red OT. Debemos de tener en cuenta que la simple aplicación de parches puede no ser suficiente, o incluso posible, especialmente para sistemas OT que han sido heredados. Por tanto, el uso de las guías de mitigación fortalece la resiliencia operativa de una organización industrial frente a los riesgos cibernéticos.
Aumentar el ROI en la inversión de seguridad OT
Independientemente de las herramientas de seguridad de OT que nuestras organizaciones ya estén utilizando, estas deben proporcionar una evaluación integral de los controles de seguridad. En otras palabras, deben brindar información valiosa, detallada y eficiente, al tiempo que filtran las soluciones útiles del resto que darían resultados más tardíos.
Mejorando el retorno de la inversión también se consigue optimizar las ideas dentro del campo de OT y así categorizarlas según su grado de necesidad.
Sabiendo que nuestro enfoque es la ciberseguridad industrial, los equipos deben tener una visión operativa y centrada en la prevención de riesgos y brechas de seguridad. Esto nos fuerza a, si queremos ser buenos responsables de OT, tener ideas flexibles y a adaptarnos según la necesidad del momento y del negocio. Ser previsor con los riesgos, evitará desembolsos no previstos para subsanar brechas que no deberían haberse producido.
Colaboración continua entre el responsable de IT y el responsable de OT
Uno de los mayores problemas que tenemos en la actualidad es la escasa o nula alineación entre los equipos de OT e IT. Teniendo en cuenta que estos equipos se necesitan mutuamente para trabajar de manera eficiente, un buen responsable de OT debe actuar como puente entre ambos equipos, gestionando la reducción de riesgos y llevando a cabo respuestas oportunas y efectivas ante incidentes de seguridad.
Para poder desarrollar una colaboración efectiva, se necesita que trabajen dentro de un contexto conocido. Los equipos de seguridad necesitan comprender cómo son los riesgos de seguridad que impactan las operaciones, el nivel de los daños y las vías por donde actúan. Además, tanto el equipo de OT como el de IT deben tener la potestad de poder tomar decisiones y gozar de flexibilidad dentro de los procesos burocráticos de la organización.
Todos los equipos deben de separar, dentro de las normas establecidas para sus roles, las alertas «de alta prioridad» del resto, así como saber qué acciones se requieren para mitigar dichos riesgos.
Un buen responsable de OT debe favorecer la coordinación de los dos equipos para que se beneficien de una plataforma que les permita colaborar de manera transparente y efectiva, desarrollar la capacidad de delegar tareas y hacer un seguimiento de los progresos de los departamentos. Las organizaciones deben considerar las diferencias en los flujos de trabajo existentes de los equipos, lo que les permite integrar de manera fácil y efectiva herramientas y procesos de seguridad de OT, lo que ayudará a mejorar la colaboración entre los interesados.