Como es sabido, los entornos OT (Operational Technology) y la ciberseguridad industrial son dos conceptos fundamentales en el ámbito de la seguridad; no sólo cuando hablamos de las infraestructuras críticas, sino en la protección de los sistemas industriales en general.
Hablar de entornos OT refiere a los sistemas y dispositivos utilizados para controlar y supervisar las operaciones en entornos industriales, como plantas de energía, plantas químicas, redes de suministro de agua y sistemas de fabricación. Estos entornos incluyen tecnologías como sistemas de control industrial (ICS), sistemas de automatización, sensores y actuadores, y equipos especializados. La meta principal de los entornos OT es asegurar que los procesos industriales operen de manera segura y eficiente.
Toda empresa que desarrolle su actividad en los entornos previamente descritos debería de contar con un buen responsable de OT. Este sector de empresas son el objetivo habitual de ataques que vienen tanto de dentro como de fuera del entorno. Tal es así, que podemos ilustrarnos con algunos ejemplos, como el exitoso ciberataque a productores de GNL justo antes de la invasión de Rusia a Ucrania, el cierre temporal de 14 fábricas de Toyota después de que un proveedor fuese comprometido, o la vulneración de los sistemas ICS y SCADA de una conocida planta de energía nuclear. Por lo tanto, debemos reconocer que no es suficiente intentar separar las áreas de producción de nuestro negocio, ya que esta no es una solución eficiente ni, en la mayoría de los casos, eficaz.
Explorar las complejidades y el alcance de los entornos OT ha facilitado la identificación de numerosos riesgos potenciales. Con ello, ahora sabemos que los sistemas de defensa ante estos potenciales ataques, implementados por sí solos, son, en su mayoría, ineficientes, saturan a los equipos de seguridad con información sobrante que no saben cómo gestionar y no logran priorizar las alertas según el riesgo, el contexto y su posible impacto. Estas soluciones por sí solas no mitigan el riesgo ni previenen ataques maliciosos que afectan la continuidad del negocio y las operaciones industriales si no son puestas en las manos de personal cualificado que sepa interpretarlas y configurarlas debidamente.
Tener en cuenta todas las áreas y elementos que afectan a la red OT
La mayoría de las soluciones disponibles en el mercado carecen de una perspectiva completa de los riesgos que surgen en el entorno OT y de todos los activos OT-IT-IIoT. Es fundamental disponer de una visión integral.
Por ejemplo, pensando en el uso único y exclusivo de un IDS (Intrusion Detection System), tenemos que ser conscientes de que es probable que la visibilidad de nuestro inventario de activos sea bastante deficiente. Es necesario completar esta información con datos de otras fuentes de seguridad e industriales para tener una visión completa de todos los activos OT y garantizar una mitigación efectiva de riesgos; hemos de ser conscientes de que los equipos de seguridad no pueden solucionar lo que no pueden ver. Por ello, a mayores, debemos tener en cuenta lo siguiente:
- El impacto comercial de cada activo, el contexto operativo y la jerarquía organizativa
- Visibilidad de los controles de seguridad
- Fuentes industriales como OPC, DCS y archivos de proyectos
- Firewalls
- Proxies web
- Vistas detalladas de cada activo y sus configuraciones de seguridad
- Sistemas de gestión
- Servidores
- Dispositivos de red e IDS/IPS
- SIEM
- La cobertura de la red operativa
Ser atento, proactivo y ver el riesgo contextual
Un buen responsable de OT debe de asegurarse de que se lleva a cabo una correcta gestión de las vulnerabilidades, y tener capacidad para reducir el riesgo ante posibles brechas, ya que actuar después de un ataque sería demasiado tarde.
Debe ser capaz de reducir la superficie de ataque operativo de una organización mediante una segmentación adecuada, ayudando a limitar las áreas expuestas a posibles ataques, dificultando el acceso de los ciberdelincuentes.
También debe saber mitigar las vulnerabilidades de los entornos OT-IT-IIoT, identificando y solucionando fallos de seguridad antes de que los ciberdelincuentes puedan explotarlos.
Saber reforzar los activos y sistemas críticos contra el ransomware es clave para proteger los elementos más valiosos y sensibles de la organización para evitar su cifrado o secuestro.
Debe estar abierto a recibir recomendaciones prácticas para implementar medidas preventivas y mejorar la resiliencia de los sistemas frente a posibles ataques, anticipándose a los riesgos.
Por último, es importante estar atento y asegurar la copia de seguridad continua de los sistemas críticos para garantizar su recuperación, ya que nunca hay garantía de que los accesos no autorizados se puedan bloquear por completo.
Trazar una estrategia para reducir los riesgos potenciales
Dado que la mayoría de los analistas de SOC están faltos de habilidades en OT y equipos operativos, otra característica esencial para proporcionar soluciones eficaces de ciberseguridad industrial es darles a estos equipos guías de mitigación claras, precisas y fáciles de usar.
Estas guías deben ser apropiadas para entornos operativos en los que el tiempo de inactividad no es una opción. El objetivo es que los analistas y el personal operativo puedan utilizar las guías sin necesidad de ser expertos en ciberseguridad, al mismo tiempo que estas herramientas deben ser ajustables a las características específicas del entorno industrial de cada organización.
Las guías de mitigación deben de proporcionar contexto para formar a los equipos operativos y de seguridad para reducir de inmediato las exposiciones y vulnerabilidades de seguridad de la red OT. Debemos de tener en cuenta que la simple aplicación de parches puede no ser suficiente, o incluso posible, especialmente para sistemas OT que han sido heredados. Por tanto, el uso de las guías de mitigación fortalece la resiliencia operativa de una organización industrial frente a los riesgos cibernéticos.
Aumentar el ROI en la inversión de seguridad OT
Independientemente de las herramientas de seguridad de OT que nuestras organizaciones ya estén utilizando, estas deben proporcionar una evaluación integral de los controles de seguridad. En otras palabras, deben brindar información valiosa, detallada y eficiente, al tiempo que filtran las soluciones útiles del resto que darían resultados más tardíos.
Mejorar el retorno de la inversión también permite optimizar las ideas en el ámbito de OT, clasificándolas según su nivel de prioridad.
Sabiendo que nuestro enfoque es la ciberseguridad industrial, los equipos deben tener una visión operativa y centrada en la prevención de riesgos y brechas de seguridad. Esto nos fuerza a, si queremos ser buenos responsables de OT, tener ideas flexibles y a adaptarnos según la necesidad del momento y del negocio. Ser previsor con los riesgos, evitará desembolsos no previstos para subsanar brechas que no deberían haberse producido.
Colaboración continua entre el responsable de IT y el responsable de OT
Uno de los principales desafíos actuales es la falta de alineación, o incluso la total desconexión, entre los equipos de OT e IT. Dado que ambos dependen mutuamente para operar de manera eficiente, un buen responsable de OT debe desempeñar el papel de enlace entre ambos, facilitando la reducción de riesgos y garantizando respuestas rápidas y efectivas ante incidentes de seguridad.
Para poder desarrollar una colaboración efectiva, se necesita que trabajen dentro de un contexto conocido. Los equipos de seguridad necesitan comprender cómo son los riesgos de seguridad que impactan las operaciones, el nivel de los daños y las vías por donde actúan. Además, tanto el equipo de OT como el de IT deben tener la potestad de poder tomar decisiones y gozar de flexibilidad dentro de los procesos burocráticos de la organización.
Todos los equipos deben de separar, dentro de las normas establecidas para sus roles, las alertas «de alta prioridad» del resto, así como saber qué acciones se requieren para mitigar dichos riesgos.
Un buen responsable de OT debe favorecer la coordinación de los dos equipos para que se beneficien de una plataforma que les permita colaborar de manera transparente y efectiva, desarrollar la capacidad de delegar tareas y hacer un seguimiento de los progresos de los departamentos. Las organizaciones deben considerar las diferencias en los flujos de trabajo existentes de los equipos, lo que les permite integrar de manera fácil y efectiva herramientas y procesos de seguridad de OT, lo que ayudará a mejorar la colaboración entre los interesados.
InprOTech te ayuda a ser un mejor responsable de OT
En InprOTech, entendemos los desafíos que enfrenta un responsable de OT en un entorno cada vez más complejo y conectado. Por ello, si estás buscando apoyo para formarte y convertirte en un mejor responsable de OT, te ofrecemos soluciones diseñadas específicamente para fortalecer tu gestión y optimizar tus resultados en cada uno de los aspectos clave de tus responsabilidades.
Contacta con nosotros aquí y descubre cómo podemos impulsar tu potencial como responsable de OT.