La ciberseguridad OT es un tema de agenda para muchas empresas… Además de las típicas compañías industriales, los servicios de infraestructura y los laboratorios, son cada vez más las organizaciones que aplican tecnologías de automatización y control…
Sin embargo, mientras algunas pocas compañías tienen una gestión de la tecnología y ciberseguridad que abarca tanto IT como OT, muchas otras siguen lidiando con áreas, gestiones y estrategias separadas…
¿Por qué sucede esto?
La convergencia IT/OT es un desafío principalmente cultural y está íntimamente vinculada con el nacimiento de una nueva área de conocimiento denominada Mecatrónica que representa la intersección de las ingenierías mecánica, electrónica e informática.
Estas tres ramas han evolucionado de forma independiente y con distintos grados de madurez a lo largo del tiempo. Mientras informática, la más reciente, está enfocada en la gestión de información, donde la confidencialidad y la integridad tienen más importancia que la disponibilidad, las otras ramas son más antiguas y están relacionadas con la mecanización, automatización y control (OT) donde la disponibilidad tiene más relevancia que la integridad y la confidencialidad. Como resultado, encontramos profesionales desarrollados bajo perspectivas y valoraciones diferentes y que para enfrentar este nuevo escenario deben adaptarse, respetarse y colaborar.
Ciberseguridad OT: ¿Por dónde empiezo?
1. Evalúe su cultura y capacidades para organizar la convergencia IT/OT.
No hay una solución mágica para organizar la integración de servicios de IT y OT. Es necesario comprender la cultura organizacional, las capacidades de liderazgo y de gestión del negocio para diseñarlo.
2. Realice una evaluación de amenazas de ciberseguridad OT.
Podrá identificar y comprender las amenazas, sus orígenes y el nivel de intervención necesario para abordarlas mediante la realización de un ejercicio integral de evaluación de amenazas de OT.
3. Comprenda su red y sus activos
Muchas veces decimos que lo que no se mide (y registra), no se controla y lo que no se controla no se puede mejorar. Esto también implica que lo que registramos y medimos está directamente influenciado por aquello que deseamos mejorar… Cuando nuestro foco es minimizar cambios y paradas de un proceso industrial es lógico que registremos de una forma diferente a cuando lidiamos con internet, big-data y donde «la única constante es el cambio».
Por ello, no dé por sentado que conoce todo lo que tiene y realice una evaluación detallada de las redes de IT/OT y de todos los activos existentes.
Sin un inventario integrado, es difícil saber qué proteger, lo que puede generar brechas significativas en la postura de seguridad de una empresa.
4. Cree una política de ciberseguridad OT.
La publicación de una política de seguridad de OT servirá para varios propósitos. Puede ser tanto una declaración de intenciones como una declaración de confianza en la necesidad de abordar la ciberseguridad OT.
5. Examinar y parchear todas las vulnerabilidades
Cada vulnerabilidad invita a un hacker a explotarla y atacarla. Ejecute escaneos frecuentes para detectar vulnerabilidades de dispositivos y estado de parches. Responda a las vulnerabilidades descubiertas parcheando todos los dispositivos sin parchear. Programe dichos análisis y prepare laboratorios cuando corresponda para minimizar el impacto de eventuales pen-test sobre dispositivos de alta disponibilidad.
Incluya la exposición al riesgo de OT en su estrategia institucional de gestión de riesgos.
Todos los riesgos de OT identificados deben incluirse en el plan institucional, junto con los plazos para abordar estos riesgos. Si los riesgos de OT no dependen de la infraestructura general, se pueden abordar tácticamente de forma aislada (lo que rara vez es el caso).
Los riesgos asociados con la aplicación de parches a los dispositivos, por ejemplo, pueden abordarse como parte de un plan de ciberseguridad OT, pero ese plan debe vincularse estratégicamente con el plan de gestión de riesgos institucional. Esto aumentará la visibilidad de los riesgos de OT y al mismo tiempo creará conciencia sobre la importancia de abordar los riesgos de OT.
Determinar qué estándares y mandatos se deben cumplir.
Todas las medidas de seguridad deben tener puntos de referencia con los que puedan compararse. Aquí es donde entran en juego NIST CSF, IEC 62443 y otras normas ISO. Muchos países ahora están promulgando leyes que exigen que las empresas cumplan con nuevos y estrictos requisitos de información. Incluso antes de eso, las empresas deben considerar optimizar sus medidas de seguridad y alinearlas con los mejores estándares disponibles. Esto también aumentará la motivación de su equipo de seguridad. Cuando declara que su organización cumple, por ejemplo, con IEC62443, les brinda a sus clientes más confianza para interactuar con usted.