FEDER
C/María Berdiales, 20, 4ª Vigo (Spain)
+34 886 251 058
info@inprosec.com
Español
English
¿Hablamos?

Guía de buenas prácticas para la monitorización de redes OT

Techpapers

Bien sabido es que las redes OT son fundamentales en el sector industrial y exigen el cumplimiento de una serie de características para mantener su operabilidad y el control sobre los diferentes procesos físicos que puedan darse en ella. Algunas de ellas son su presumible alta disponibilidad y fiabilidad, su comunicación en tiempo real y rápida respuesta, su necesidad de disponer de unas bases sólidas en ciberseguridad o su integración con dispositivos especializados como PLCs y sistemas SCADA.

Una monitorización eficaz de nuestras redes OT no sólo nos permiten adecuarlas a estos requisitos y cumplir con las regulaciones vigentes, sino que nos ayudan a proteger los sistemas industriales y a los datos que contienen de amenazas, garantizando así la continuidad operativa y la eficiencia en los procesos.

Objetivos de buenas prácticas

  • Seguridad física. Implementar buenas prácticas de monitorización enfocadas mantener la seguridad de la red OT permite proteger sus procesos físicos e infraestructura, evitando ataques que puedan causar daños sobre sus elementos y provocar riesgos humanos.
  • Disponibilidad y continuidad operativa. Mantener buenas prácticas de monitorización minimiza el riesgo de interrupciones y pérdidas en la producción.
  • Cumplimiento de estándares y normativas. Las buenas prácticas de monitorización acercan a las redes a los estándares y regulaciones en seguridad.
  • Protección de datos sensibles. Las redes OT, comúnmente, manejan información crítica. Las buenas prácticas aseguran que estos datos estén protegidos contra accesos no autorizados.
  • Mayor capacidad de recuperación ante amenazas. Las buenas prácticas permiten a las organizaciones adaptarse y responder eficazmente a las amenazas vigentes, facilitando los protocolos de actuación en caso de ser afectadas.
  • Robustez y confianza. La capacidad de mantener operaciones seguras garantiza la tranquilidad de sus administradores y fortalece la confianza de los clientes, socios y reguladores en la organización.

Buenas prácticas sobre redes OT

  • Identificación de puntos críticos. Un análisis completo de vulnerabilidades puede ayudarnos a encontrar y proteger los principales puntos de ataque de nuestra red, especialmente si son activos críticos. Lo recomendable es comenzar por los Sistemas de control Industrial (ICS), como los PLCs y los sistemas SCADA. Además, pondremos especial atención en aquellos dispositivos de red que conecten nuestros sistemas OT, como router, switches y firewalls.
  • Implementación de herramientas de monitorización. El uso de herramientas y de procesos automáticos pueden aportarnos una visión global de nuestra red. Se recomienda que estas herramientas proporcionen visibilidad en tiempo real del tráfico de red, así como información sobre eventos de seguridad en forma de notificaciones o alertas. Además, es importante segmentar la red para mejorar la gestión y limitar el alcance de los atacantes.
  • Uso de Sistemas de Detección de Intrusiones (IDS). Estos sistemas pueden estar basados en firma o en anomalías. Los primeros identifican y comparan las anomalías con una base de datos de firmas mientras que los segundos se enfocan en detectar comportamientos inusuales que puedan indicar una amenaza.
  • Gestión de accesos. La limitación de accesos a los activos del sistema previene aquellos realizados sin identificar y nos permite acotar el número de responsables, para una mayor organización interna. Los controles de acceso deben ser estrictos, con autenticación multifactor y contraseñas robustas para proteger los sistemas críticos.
  • Actualizaciones de ciberseguridad. Es crucial, tanto de manera puntual como programada y periódica, mantener todos los sistemas y dispositivos actualizados con los últimos parches de seguridad.
  • Formación del personal. Se recomienda que los empleados estén capacitados en prácticas de ciberseguridad y sepan cómo responder ante incidentes. Esto puede lograrse con cursos y sesiones de formación específica, actualizados a las necesidades vigentes de nuestros sistemas.

Errores comunes

  • Sobrecarga de la red. Se recomienda evitar la instalación de demasiados sensores y dispositivos de monitorización que puedan afectar al rendimiento. Lo ideal es ubicar el número indispensable para cubrir los puntos de ataque con más criticidad de la red.
  • Ignorar las alertas de seguridad. A la hora de confiar en un sistema de alertas, es común esperar falsos positivos. Incluso si resultan serlo, no se deben pasar por alto las alertas de seguridad.
  • Tomar la decisión de no segmentar la red. Un ataque en una red no segmentada tendrá una propagación más rápida.
  • Integración insuficiente de la ciberseguridad. No considerar la ciberseguridad desde el diseño e implementación de los sistemas OT puede crear brechas fácilmente explotables.
  • Obsolescencia. No aplicar parches y actualizaciones de seguridad regularmente, posponer su aplicación o utilizar dispositivos obsoletos provoca que los sistemas queden vulnerables a ataques conocidos actuales que son perfectamente evitables.
  • Acceso poco seguro a internet. Debe evitarse conectar sistemas OT a redes sin las medidas de seguridad adecuadas, pues aumenta la superficie de ataque y expone los sistemas a amenazas externas.

Guardian y monitorización en redes OT

Con Guardian, tratamos de ofrecer una solución avanzada diseñada específicamente para la monitorización y protección de redes OT. A continuación, se detalla lo que se ha tenido en cuenta para su diseño a modo de ejemplo práctico:

  1. Visibilidad Completa: Guardian intenta proporciona una visibilidad integral del tráfico de red y de los eventos de seguridad en tiempo real, permitiendo una detección temprana de amenazas y anomalías.
  2. Segmentación de la Red: Guardian facilita la segmentación de la red OT, lo que ayuda a limitar el alcance de posibles ataques y a mejorar la gestión de la seguridad sin que resulte tedioso para los administradores.
  3. Detección de Anomalías: Guardian integra un sistema de detección de intrusiones (IDS) basados en firmas y algoritmos de Machine Learning que analizan el comportamiento del tráfico, sus estadísticas, y las variables de los procesos operativos (UEBA, User Entity Behavior Analytics), para identificar comportamientos sospechosos, amenazas conocidas o desconocidas, e incluso problemas de seguridad física (safety) de empleados o clientes.
  4. Actualizaciones de Seguridad: Ayuda a mantener todos los sistemas y dispositivos actualizados con los últimos parches de seguridad, reduciendo las vulnerabilidades.
  5. Formación del Personal: nuestra empresa incluye módulos de capacitación para asegurar que el personal esté preparado para responder ante incidentes de seguridad.

Conclusiones

La implementación de buenas prácticas de monitorización en redes OT es esencial para garantizar la seguridad, disponibilidad y eficiencia de los sistemas industriales. Soluciones como la que ofrecemos en Guardian proporcionan las herramientas necesarias para proteger los procesos físicos, la infraestructura y la información sensible, minimizando los riesgos de interrupciones y ataques cibernéticos. 

Al seguir estas prácticas, las organizaciones pueden cumplir con las normativas de seguridad, mejorar su capacidad de recuperación ante amenazas y fortalecer la confianza de clientes, socios y reguladores.

Recursos

  1. https://inprotech.es/guardian/
  2. incibe.es/sites/default/files/docs/senior/guia_ciberseguridad_para_todos.pdf
  3. SOC OT: La importancia de la monitorización avanzada para la ciberseguridad industrial | INCIBE-CERT | INCIBE

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Archivos

keyboard_arrow_up