La criticidad de los entornos de tecnología operativa (OT) cobra hoy gran relevancia el incremento de los ataques dirigidos hacia ellos, y en particular cuando estos dejan de limitarse a las plantas de manufactura tradicionales.
Las amenazas de dirigen con mayor frecuencia y efectividad a infraestructuras cruciales como los sectores de médico, agua, energía, petróleo y gas, entre muchos otros, y las vulnerabilidades presentes en esos ambientes plantean un riesgo inminente no solamente para la economía, sino también para la seguridad y la vida de los ciudadanos.
No se debe perder de vista tampoco el hecho de que la rivalidad entre naciones detona el financiamiento de los ataques y ayuda a integrar tecnología aún más sofisticada en las prácticas de los cibercriminales. De ahí que es vital que las organizaciones y gobiernos no se queden a la zaga en lo que a la protección de las infraestructuras críticas se refiere.
En este contexto, diseñar y ejecutar ejercicios de respuesta a incidentes se vuelve crucial. A continuación, seis pasos fundamentales para crear y ejecutar un ejercicio efectivo de respuesta a incidentes en entornos OT.
1.Diseñar y ejecutar ejercicios de table top en los entornos industriales. El primer paso es crear escenarios que reflejen las particularidades de cada planta o entorno. Mientras que en el mundo de la tecnología de la información (TI) se pueden realizar ejercicios de table top a nivel corporativo, en OT es necesario abordar escenarios específicos para cada planta. Se trata de trasladar las lecciones aprendidas en TI a las infraestructuras críticas.
Desde una fábrica de botellas de plástico hasta una planta de generación de energía, cada entorno tiene su propia arquitectura, fabricantes y funciones de negocio. Es esencial simular situaciones catastróficas para comprender cómo enfrentarlas de manera efectiva.
2. Integrar los escenarios de TI a los de OT. Los ataques cibernéticos no distinguen entre TI y OT, por lo que es crucial integrar ambos entornos en los ejercicios de respuesta a incidentes. Un ejemplo realista puede ser simular un ataque de ransomware que afecte los equipos que gestionan los Sistemas de Control Industrial (ICS) a través de la red de TI. Esto permite evaluar la robustez de la segregación y segmentación de las redes, así como la capacidad de respuesta conjunta de ambos equipos.
La capacitación y preparación del personal son aspectos críticos en la respuesta a incidentes. Es necesario que todos los involucrados comprendan su papel y sepan cómo actuar ante situaciones de crisis. Desde los equipos de respuesta hasta los operadores de planta, todos deben estar preparados para enfrentar el peor escenario posible. La concientización sobre la importancia de la ciberseguridad y la respuesta a incidentes debe ser constante y efectiva.
3. Abordar los obstáculos comunes. En este paso se debe considerar la dependencia con terceras partes, incluidos proveedores de servicio de soporte, áreas legales y de marketing, entre otros.
Al mismo tiempo, el negocio debe incluirse en la respuesta a incidentes en OT a fin de saber la respuesta que se dará a clientes, proveedores y medios sociales. Aquí, las áreas de marketing, legal y de comunicación interna y externa se deben coordinar en torno a los mensajes que se emitirán, así como estar al pendiente de no violar ninguna normatividad.
4. Utilizar herramientas tecnológicas. Este paso contempla el uso de la inteligencia artificial (IA), que puede desempeñar un papel crucial en la detección temprana y la respuesta rápida a incidentes. Desde la identificación de activos hasta la emulación de vectores de ataque, la IA puede mejorar significativamente la eficacia de los ejercicios de respuesta a incidentes.
5. Proteger la disponibilidad ante escenarios catastróficos en los entornos OT. Es fundamental identificar con claridad los activos de información que pudieran ser afectados por un incidente de gran envergadura. El objetivo es bastante claro: evitar a toda cosa que la producción se detenga totalmente, y que tenga un impacto negativo en el ejercicio de respuesta a incidentes.
6. Participación de la alta dirección. Si la alta dirección no se involucra ofreciendo su respaldo, un plan de respuesta a incidentes puede estar condenado al fracaso. Debe asumir el rol de orquestador entre las distintas áreas del negocio para lograr que dicho plan sea altamente efectivo y satisfactorio, y acelerar los tiempos de recuperación.
Sinergia efectiva
Es imperativo reconocer el papel fundamental que desempeña el equipo de TI en la planificación y ejecución de ejercicios de respuesta a incidentes en entornos de tecnología operativa.
Históricamente, el equipo de TI ha acumulado una invaluable experiencia en la gestión de incidentes y la implementación de medidas de seguridad en el ámbito digital. Asimismo, ha enfrentado numerosos desafíos, ha aprendido de sus errores y ha desarrollado estrategias efectivas para hacer frente a las amenazas emergentes. Esta experiencia les otorga una ventaja única en la coordinación y ejecución de ejercicios de respuesta a incidentes en entornos OT.
Al establecerse una sinergia y colaborar como un equipo integrado, las organizaciones pueden fortalecer su postura de seguridad y estar mejor preparadas para enfrentar las crecientes amenazas.
