InfoSecMan Blog

Hace ya unas cuantas semanas que iniciábamos la serie de Ciberseguridad en los Entornos Industriales y Protección de Infraestructuras Críticas. Muchos viajes, distintos estudios y proyectos, no me han dejado incluir el último punto de la misma: mitigando el riesgo en la ciberseguridad en los entornos industriales. Llega ya el momento de hacerlo.

Las amenazas están ahí fuera, las vulnerabilidades existen, el impacto de su explotación en estos entornos es elevado y la obligación de cumplimiento de protección de las infraestructuras, no sólo desde el punto de normativa interna sino de legislación pública, es un hecho. Por tanto es evidente que toda organización en este ámbito debería tomar las medidas técnicas y organizativas adecuadas para disminuir e intentar mitigar el riesgo al que están expuestas.

Buenas prácticas mínimas y habituales en el ámbito de las Tecnologías de la Información, como la segmentación de redes, la defensa en profundidad, la autenticación, criptografía o la detección y prevención de intrusiones, entre otras, deberían incorporarse a los diseños y arquitecturas de los proyectos para garantizar unos niveles de seguridad adecuados a los requisitos de disponibilidad, confidencialidad e integridad característicos de estas instalaciones, sin dejar de lado aspectos organizativos como la segregación de funciones, la adecuada gestión de personal o el cumplimiento normativo, por ejemplo.

Como recomendación mínima, recogeré a continuación a modo de breve resumen, 6 aspectos básicos para la mejora de la seguridad en estos entornos que pueden mejorar considerablemente la seguridad de una infraestructura y disminuir radicalmente el nivel de riesgo al que se ve expuesta. No se trata de volver a inventar la rueda, sino de aplicar los mismos paradigmas, principios y conceptos que llevamos empleando en las últimas décadas en el entorno de las TIC al escenario industrial, eso sí, con las consideraciones y cautelas particulares que sus especiales características requieren:

 1. Defensa en Profundidad. Se trata este de un paradigma o estrategia de defensa por el que, en lugar de establecer un único perímetro o línea de protección, se colocan distintas líneas de protección consecutivas (podríamos hacer el símil con una cebolla y sus capas, o un castillo y sus distintos niveles de protección) de forma que si una de ellas se supera o rompe, siguen existiendo mecanismos de defensa adicionales, teniendo que destinar un número de recursos mucho mayores, en cualquier caso, para intentar superar las distintas líneas de protección.

 2. Segmentación. Toda instalación o infraestructura debería ser dividida o segmentada en distintos dominios de seguridad, esto es, en distintas áreas o segmentos de red que compartan las mismas características en lo que a niveles de protección se refiere de forma que puedan configurarse las medidas técnicas de seguridad adecuadas y realizar un control de las mismas y del acceso entre segmentos o dominios en base a unas políticas y reglas definidas.

 3. Introducción de dispositivos de seguridad como Firewalls, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Sistemas de Gestión Unificada de Amenazas (UTMs) o “Diodos de Datos”. La introducción de estos dispositivos de seguridad en los puntos de interconexión de los distintos segmentos y dominios de seguridad de las redes de la organización permitirán aplicar las políticas de seguridad adecuadas en forma de reglas de control de acceso, de detección de actividad maliciosa o de monitorización de la información transmitida por esos segmentos (basándose en protocolos, acciones, servicios, orígenes, destinos, rango horario, etc.). La regla de oro a seguir siempre será denegar todo acceso y actividad salvo  aquellos permitidos explícitamente (prohibición por defecto).

 4. Análisis de vulnerabilidades y Tests de Intrusión. Es conocido, y así lo he expuesto en otros posts anteriores, la existencia de vulnerabilidades en los sistemas y aplicaciones existentes en la organización. Muchas de estas vulnerabilidades pueden existir originalmente en los productos o desarrollos, o aparecer tras cambios, modificaciones, actualizaciones, etc. por lo que es de vital importancia la ejecución periódica (cada ciertos meses, cada año…) de análisis de vulnerabilidades (o incluso tests de intrusión) de los sistemas (de TI tradicional e industriales) que integran la infraestructura de la organización. Estos análisis y auditorías deberán ser realizados por expertos en este tipo de entornos dadas las especiales características y condiciones de los mismos.

 5. Estándares. Para la gestión de la seguridad de los distintos procesos, políticas y prácticas de producción, fabricación e industriales, deberían seguirse estándares internacionalmente reconocidos, probados e implantados. Existen estándares como la ISO 27001 para la gestión de la seguridad de la información, la norma británica BS 25999 para la gestión de la continuidad del negocio o la ISO 20000 para la gestión de servicios de tecnologías de la información. Sin embargo, sin duda en estos entornos es de mayor (y previa) aplicación la norma ISA 99, relativa al Establecimiento y Operación de un Programa de Seguridad de Sistemas de Control y Automatización Industrial, respectivamente. ¿Por qué reinventar la rueda si existen alternativas excelentes en la actualidad? Existen otros estándares o guías de buenas prácticas excelentes, y aplicables a distintos sectores, por lo que a día de hoy, y hasta que exista una referencia clara a nivel Europeo o sectorial, la recomendación es realizar un estudio de los estándares y buenas prácticas existentes en el sector y seleccionar los de mayor aplicación a nuestro caso.

 6. Formación y Concienciación. El último aspecto clave, pero no por ello el menos importante, es la formación y concienciación de los profesionales de planta y producción por una parte y de tecnologías de la información y seguridad por la otra. El ámbito de la ciberseguridad en estos entornos suele ser desconocido para ambos grupos de profesionales, desconociendo en muchos casos las consecuencias, características e impactos ya comentados por lo que deberían establecerse planes de formación adecuados para los distintos colectivos partiendo siempre de un nivel mínimo que recoja al menos los aspectos básicos de concienciación comentados someramente en este documento.

Teniendo en cuenta como línea base mínima estos 6 aspectos, cualquier organización podrá mejorar ostensiblemente la seguridad de sus infraestructuras, lo que redundará en una garantía de disponibilidad de sus servicios que, agregado a otras organizaciones, áreas geográficas e infraestructuras, elevará el nivel de seguridad de las infraestructuras esenciales para la nación.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog