Ciberseguridad Industrial: Aproximación integral en un entorno de transformación digital
La acelerada digitalización de los sistemas de automatización y control, el uso de tecnologías disruptivas y el aumento de la conectividad con otros sistemas, ha supuesto que las organizaciones industriales queden expuestas a riesgos de ciberseguridad para las cuales no estaban preparadas. En este proceso de transformación digital se apuesta a que la industria sea más competitiva mediante la explotación del dato que tenemos en la fábrica. Por ejemplo, a través de la introducción de sistemas IoT se busca sacar el máximo partido a la información con el objetivo final de producir de manera más económica y eficiente, para que nuestro producto tenga una mayor penetración en el mercado. Esto conlleva que los entornos industriales puedan quedar más expuestos a nuevas amenazas que son críticas para la disponibilidad, la integridad y la confidencialidad.
Para protegernos ante esta situación es recomendable incorporar a los entornos operacionales (OT) tecnología de protección específica relacionada con la segmentación de redes, con el análisis y gestión de eventos relacionados con la seguridad, etc. También se deben establecer políticas, procedimientos e instrucciones técnicas que ayuden a fortificar los entornos industriales y de infraestructuras. Y todo ello en un marco de gobierno que asegure la puesta en marcha de un sistema de gestión de ciberseguridad que pueda, a su vez, incorporar los aspectos particulares de cada planta concreta.
«En el ámbito de la ciberseguridad industrial hay que tener en cuenta los siguientes mensajes: la seguridad es seguridad sin importar el ámbito, no importa si hablamos de sistemas IT corporativos o de sistemas operacionales OT; la ciberseguridad no es un aspecto únicamente tecnológico, también incluye a personas, procesos y conocimiento; y por último, debemos desarrollar la política de ciberseguridad desde la premisa de que tarde o temprano vamos a sufrir incidentes» Javier Hidalgo, Arquitecto de Soluciones y Experto en Ciberseguridad del Sector Industria de GMV, durante su intervención en el evento organizado por el Centro de Ciberseguridad Industrial (CCI): La Voz de la Industria 2022 «Gestión y respuesta a incidentes de ciberseguridad industrial».
En GMV apostamos por un tratamiento global de los riesgos de ciberseguridad para las infraestructuras industriales, apoyándonos en buenas prácticas y normativas reconocidas internacionalmente (ejemplos: IEC 62443, ISA 99, NIST 800-82 53, ISO 27001, NERC CIP…), identificando las amenazas existentes, protegiendo los activos, detectando intentos de ataque y, si se producen, restableciendo la situación lo antes posible, todo orquestado mediante los sistemas de gestión más exigentes. Esta aproximación a la gestión de la ciberseguridad es fruto de la larga experiencia cosechada en el ámbito de las Tecnologías de la Información, donde se lleva afrontando este tipo de ciberamenazas, estudiando su evolución, y trabajando de manera continua en su mitigación y prevención desde hace décadas. Sin embargo, no se trata sólo de tener una sólida experiencia previa, sino de ser capaz de transportar esta experiencia a un ámbito de negocio con sus particularidades y necesidades, como es el ámbito industrial. Ser capaz de entender estas especificidades, necesidades propias y diferencias con nuestra experiencia previa es clave para el éxito de un proyecto de ciberseguridad industrial.
Casos de éxito en proyectos de ciberseguridad industrial
Para una organización del sector de producción cementera, GMV ha desarrollado una serie de proyectos encaminados a realizar la separación, segmentación y racionalización de las comunicaciones entre las redes de datos de IT y OT en sus plantas de producción en EMEA. Este tipo proyectos, aparte de la implantación y configuración de sistemas cortafuegos en dichas plantas, implican un proceso de descubrimiento de activos industriales, las comunicaciones de los mismos con el resto de activos –no sólo de la planta, sino también de la empresa e incluso de terceros, como es determinadas administraciones públicas–, y la determinación de las políticas de control de los flujos de información, para acabar definiendo una arquitectura de redes que contemplen los mejores prácticas para evitar accesos innecesarios o indebidos, garantizando la disponibilidad y el correcto funcionamiento de los sistemas de producción industrial.
Otro ejemplo lo tenemos en el sector de automoción, donde el reto planteado era sensorizar la línea de ensamblado de vehículos para optimizar el proceso de logística interna de piezas para los vehículos. En este proyecto GMV contempló la seguridad desde el diseño como pieza clave de la propuesta de arquitectura, lo que conllevó la elección de sistemas IoT cuya funcionalidad incluyera el origen la protección de las comunicaciones, el uso de credenciales a nivel de dispositivo para mitigar el riesgo de aparición de dispositivos maliciosos o que pudieran producir problemas de funcionamiento. Además, se hizo uso de un diseño arquitectura de sistemas, basado en microservicios, que buscan no sólo la granularidad en el desarrollo de elementos software, sino el máximo control de las comunicaciones, tanto a nivel interno del producto desarrollado, sino en las comunicaciones con terceros elementos, como el sistema ERP del cliente, del que depende el suministro final de las piezas.
Cuando la ciberseguridad forma parte indivisible del ciclo de vida del proyecto, se pueden desarrollar con éxito cualquier iniciativa encaminada a desarrollar procesos de digitalización industrial.