La integración de la ciberseguridad en los entornos industriales era hasta hace poco un terreno prácticamente inexplorado. Fabricantes de automóviles, componentes para aeronáutica, alimentos procesados tenían como prioridad mantener la disponibilidad de sus operaciones, enfocándose en su “core” de negocio.
Y es que sus sistemas raramente se conectaban a Internet y los sistemas de proveedores y socios; pero hoy esa tendencia ha cambiado. Además, la ciberseguridad en el sector industrial cobra mayor relevancia también debido a, entre otros factores, un crecimiento acelerado de las amenazas informáticas. Tal es el caso de Dragonfly, Sandworn o CosmicEnergy, malwares que tienen como blanco a las redes OT, y que han tenido alta actividad en los años recientes.
Hay que considerar también que solamente el 35% de las vulnerabilidades en los sistemas industriales han sido explotadas, lo que habla de riesgo potencial que tienen los sistemas industriales.
Esto se agrava si se considera que los atacantes están descubriendo la falta de controles de ciberseguridad tecnológicos y físico, lo que aumenta exponencialmente los riesgos y su impacto en los procesos operativos.
Tres aristas clave
A partir de este contexto, es de suma importancia que los encargados de la seguridad de las plantas industriales definan una estrategia de ciberseguridad efectiva, la cual debe estar basada en tres aristas clave: garantizar la disponibilidad de las operaciones, reforzar la seguridad a lo largo de la cadena de valor y cubrir el tema del cumplimiento. A fin de entender en qué consisten y su alcance, revisemos cada una de estas.
1. Garantizar la disponibilidad de las operaciones
El punto de inicio es entender perfectamente cuál es el core del negocio. ¿Qué es lo verdaderamente importante para una industria? ¿qué producen y cuál es su producto estrella? ¿cómo les afectaría que su línea de producción se detuviera algunas horas o semanas?
Asimismo, es fundamental identificar los riesgos que existen para la infraestructura de una planta y el impacto en caso de que se materialice un ataque, así como identificar y priorizar las “joyas de la corona” que deben protegerse en primera instancia, que representan el objetivo en el que se concentrarán los atacantes cuando exploten una vulnerabilidad.
2. Asegurar la cadena de suministro
Debe incluirse a todos los elementos y etapas de la cadena de suministro. Las preguntas que deben formularse para hacerlo de manera efectiva incluyen, ¿cómo se deben implementar los controles de seguridad y dónde? ¿se necesita integrar una solución de seguridad o definir una política que contribuya a concientizar a los usuarios? ¿la estrategia de ciberseguridad se aplicará en otras plantas y ubicaciones?
3. Procurar el cumplimiento
En esta arista es importante definir un modelo de gobierno que determine a los responsables de implementar controles, evaluar el core del negocio y determinar si se utilizarán tecnologías de seguridad. Debe cuestionarse también la manera en que se va a medir la eficacia de la estrategia de ciberseguridad a implementar, así como el potencial para realizar una mejora continua y evaluar si la estrategia debe replantearse o modificarse con el tiempo.
Con base en estas tres aristas y sus preguntas con sus respectivas respuestas, puede ayudar a trazar la ruta hacia una definición holística de una estrategia de ciberseguridad para los entornos industriales.
Los habilitadores de la estrategia de ciberseguridad
En la implementación efectiva de una estrategia de ciberseguridad hay una serie de habilitadores que desempeñarán un papel de gran relevancia.
- Estándares y metodologías. Tanto los estándares como las metodologías deben estar probados y ser utilizados a escala global, en diferentes industrias y empresas. Específicamente, estamos hablando de definir la estrategia de ciberseguridad tomando como base estándares internacionales, frameworks, buenas prácticas, y metodologías, etc., que conformarán una estructura con los controles de ciberseguridad diseñados ex profeso para los ambientes industriales.
- Modelos de protección. La definición de los modelos de protección corre en paralelo al entendimiento de la operación y la cadena de valor, lo que se deriva en cubrir los objetivos de la protección que son la disponibilidad de la operación, asegurar la información crítica del negocio y proteger la cadena de suministro, donde participa no solamente la empresa sino terceros.
- Tecnologías de seguridad. Cada vez son más las plantas interconectadas, lo que demanda una protección integral que incluye un monitoreo constante y seguridad a nivel de redes, para concentrar todo en un solo punto unificado y tener el control. Lo anterior se complementa con protección a nivel del análisis de datos y eventos de seguridad de todos los dispositivos; así, es posible hacer un perfilamiento de las amenazas apoyado por tecnología de proveedores especializados.
- Evaluaciones del riesgo. Las amenazas, los riesgos y las vulnerabilidades están en constante cambio y evolución, por lo que una evaluación hecha hace unos meses es obsoleta hoy y se vuelve imperativo a realizar una nueva. Partir de la premisa de que todo permanece estático es un grave error. Incluso cuando se realiza una actualización o un cambio importante, es vital realizar la evaluación y realizar las modificaciones necesarias a la estrategia de ciberseguridad.
Por tanto, una estrategia robusta de ciberseguridad debe integrar estos cuatro habilitadores, los cuales pueden adaptarse a cada industria de acuerdo con el contexto de negocio actual. Asimismo, es importante resaltar, y hacer que los responsables de proteger las plantas industriales estén conscientes de ello, que la ciberseguridad es un importante catalizador del negocio.
De ser blanco de un ataque informático, las consecuencias se resentirían a nivel operativo, financiero, reputacional y de mercado. Hay que tener presente que el sector financiero o empresarial no son los únicos objetivos de los malos, hoy ven al sector industrial como una mina de oro.
