 |
La seguridad de la tecnología operativa (OT) está recibiendo más atención que nunca, pero muchas organizaciones siguen sin comprender adecuadamente lo que se necesita para evitar violaciones. |
Sin embargo, en la mayoría de las estrategias de protección de OT de las empresas persiste un fallo común: la excesiva dependencia de la seguridad de los productos.
Comprender el reto de la ciberseguridad de los sistemas OT
En muchas organizaciones, la gestión eficaz de la ciberseguridad de los sistemas OT es actualmente inexistente. Esto puede deberse a factores que van desde los equipos aislados, la falta de controles de seguridad hasta la insuficiente capacidad de detección y respuesta. Las organizaciones tienen que asegurarse de que su estrategia de ciberseguridad OT tiene en cuenta las debilidades no intencionadas y las tácticas de los atacantes, como el diseño inseguro de los productos, las vulnerabilidades sin parches, los componentes manipulados y la carga de firmware malicioso.
Junto con el reto de encontrar profesionales cualificados y experimentados en este campo incipiente de la ciberseguridad de las tecnologías de la información, los equipos de TI e instalaciones pueden carecer de los conocimientos necesarios para evaluar la postura de ciberseguridad de su infraestructura, y mucho menos para establecer una estrategia de ciberseguridad industrial sólida.
Por ejemplo, un error común que se observa en las conversaciones con los clientes es: Ya tengo un cortafuegos de empresa que también protege el ICS y la red de la planta. ¿No es suficiente?
De hecho, no es suficiente, ya que esos cortafuegos sólo proporcionan una defensa perimetral y son fáciles de configurar mal. Los fallos más comunes son la configuración de un orden incorrecto de las reglas y la activación de interfaces no codificadas. Esto proporciona lagunas para que los atacantes se cuelen a través del cortafuegos.
Reforzar la ciberresistencia con un enfoque a nivel de sistemas
La ciberresistencia consiste en lograr el equilibrio adecuado entre los controles de seguridad proactivos y reactivos. Los marcos de ciberseguridad pueden proporcionar un buen punto de referencia para que las organizaciones comiencen a desarrollar una estrategia integral de ciberseguridad de OT.
Uno de estos marcos es el principio de defensa en profundidad, que implica el diseño y la implementación de múltiples capas de seguridad alrededor de un producto o sistema. Esto aumentaría significativamente el tiempo y el esfuerzo necesarios para comprometer el sistema, y por lo tanto ayudaría a disuadir o detectar cualquier ataque potencial.
Esta estrategia se ha incluido en numerosas normas y marcos normativos, y puede aplicarse a una amplia gama de sistemas OT, como los entornos ICS, Internet de las cosas (IoT) y SCADA (control de supervisión y adquisición de datos).
Aplicando el principio de defensa en profundidad al escenario del cortafuegos, las organizaciones pueden dividir las redes ICS en capas o zonas basadas en la función de control. Cada zona tiene una frontera claramente definida, y las conexiones entre las zonas, llamadas "conductos", pueden proporcionar las funciones de seguridad que permiten que las diferentes zonas se comuniquen de forma segura.
Este concepto de zonas y conductos, que se encuentra en la norma de seguridad ISA/IEC 62443, es sólo parte de una capa de una estrategia de defensa en profundidad. Para desarrollar un programa holístico de ciberseguridad industrial, es necesaria la integración de personas, procesos y tecnología para su éxito.
La importancia de las personas se pone de manifiesto en la guía de seguridad de las tecnologías de la información del Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST), que señala que la gestión y la gobernanza de la seguridad guiarán las decisiones tomadas para las demás capas de defensa en profundidad, por lo que deben abordarse antes de aplicar los demás aspectos, como la seguridad física y de la red.
Por supuesto, los marcos y las normas internacionales son documentos descriptivos. La aplicación efectiva de la seguridad OT depende en última instancia del compromiso de la organización para convertirla en una prioridad y del nivel de criticidad de los sistemas OT. Por ejemplo, muchos procesos OT deben estar disponibles las 24 horas del día, los 7 días de la semana. A veces, las actualizaciones de software y los parches de seguridad se retrasan porque requieren un reinicio del sistema que interrumpe la producción, y tienen que programarse con días o semanas de antelación. Garantizar que los dispositivos y sistemas OT se actualicen a tiempo, aunque sea a costa de la disponibilidad del servicio, requerirá en última instancia la aceptación del equipo de liderazgo primero.
Cuando los líderes empresariales son defensores de la ciberseguridad, esto se traduce en la implementación de procesos y una cultura que da prioridad a la ciberseguridad junto con otros objetivos empresariales. Los indicadores de medición del rendimiento para los equipos de OT, por ejemplo, deberían hacer hincapié en métricas como el tiempo de respuesta a incidentes de seguridad, para reflejar su papel en la contribución a las defensas de ciberseguridad de la organización. También hay que animar a los empleados a que vean la ciberseguridad como una responsabilidad compartida y a que apliquen buenas prácticas de ciberhigiene.
Adelantarse a la evolución de las ciberamenazas
Los atacantes oportunistas evolucionan constantemente para explotar las vulnerabilidades de la arquitectura de la infraestructura. Al aprovechar una estrategia de defensa en profundidad, las empresas estarán mejor equipadas para aprovechar las ventajas de las tecnologías digitales al tiempo que se protegen contra la creciente amenaza de los ciberataques. La propiedad y la responsabilidad claras garantizarán que las partes interesadas clave, ya sea de la dirección, de TI o del equipo de instalaciones, estén facultadas para mantener el programa de ciberseguridad y garantizar la resistencia en un panorama de amenazas en constante cambio.
Fuente: https://securitybrief.com.au/story/best-practices-for-industrial-cyber-resilience