¬°Hub de contenido!
Acceso a contenido educativo gratis.
Comience a aprender

Los 10 mandamientos de la ciberseguridad

A medida que el acceso remoto, las iniciativas de transformaci√≥n digital y los esfuerzos de integraci√≥n de sistemas en toda la empresa contin√ļan expandi√©ndose, la ciberseguridad es una preocupaci√≥n creciente. ¬ŅC√≥mo prepararse?

Los 10 mandamientos de la ciberseguridad

Por David Miller

La industria 4.0 y la Internet industrial de las cosas (IIoT) han abierto vastos horizontes de nuevas eficiencias de producción para fabricantes de todo tipo a través de la adquisición y el análisis de datos. Sin embargo, la adopción de estas tecnologías puede ser un arma de doble filo si no se implementa correctamente. A medida que el software y los dispositivos hasta el nivel del sensor se transforman cada vez más en posibles puertas de enlace de red, pueden aparecer vulnerabilidades de ciberseguridad nunca antes vistas.

Cada vez más empresas están conectando sistemas de control industrial (ICS, por sus siglas en inglés) previamente aislados al nivel empresarial para permitir todo, desde análisis de datos de nivel superior y acceso remoto hasta simulaciones de gemelos digitales. Con el COVID-19 expandiendo la necesidad de conexión remota, se espera que esta tendencia se acelere.

Estas crecientes conexiones son parte de la raz√≥n por la que la √ļltima d√©cada ha sido testigo de una explosi√≥n de preocupaciones de ciberseguridad, con el mundo testigo de amenazas a todos los sectores imaginables de la industria, desde el petr√≥leo y el gas y la fabricaci√≥n en general hasta la infraestructura el√©ctrica cr√≠tica.

Los atacantes detr√°s de estas incursiones van desde delincuentes organizados que intentan robar propiedad intelectual o informaci√≥n personal con fines de extorsi√≥n; hackers activos que pretenden destruir activos cr√≠ticos y causar caos para atraer la atenci√≥n del p√ļblico; empleados actuales y anteriores descontentos; e incluso actores extranjeros respaldados por el Estado que participan en actividades de espionaje con fines pol√≠ticos. Y aunque los ataques a infraestructura cr√≠tica como la red el√©ctrica o las instalaciones de tratamiento de aguas residuales son m√°s comunes, la amenaza para los fabricantes tambi√©n es real.

A pesar de que los l√≠deres de la industria como Kellogg's est√°n invirtiendo m√°s recursos para proteger su red y sus activos y compartir sus conocimientos, a√ļn queda mucha incertidumbre. Seg√ļn una encuesta de Deloitte de 2019 a m√°s de 4.200 profesionales, cuando se les pregunt√≥ qu√© tan seguros estaban de que los productos conectados, los dispositivos u otras "cosas" de su organizaci√≥n eran seguros, solo el 18% dijo que se sent√≠a muy seguro, mientras que el 51% dijo que ten√≠an algo de confianza, el 23% dijo que no estaba seguro y el 8% dijo que no ten√≠a ninguna confianza.

Para aquellas organizaciones que caen en las √ļltimas categor√≠as, Ilan Shaya, CEO de ICS Security, una compa√Ī√≠a que desarrolla medidas de seguridad para sistemas de control industrial, recientemente comparti√≥ sus "10 mandamientos" de ciberseguridad durante la Ignition Community Conference de Inductive Automation.

Los 10 mandamientos de la ciberseguridadLos "10 mandamientos" de seguridad cibernética de Ilan Shaya llegan en un momento en que el aumento del acceso remoto, la proliferación de sensores y las redes de planta a empresa están creando preocupaciones sin precedentes sobre la seguridad de los activos de las empresas.Mandamiento 1: Shaya recomendó, ante todo, que los operadores identifiquen todas las conexiones a su red de Supervisión, Control y Adquisición de Datos (SCADA) y ejecuten un análisis de riesgo exhaustivo de cada una. Esto incluye redes locales internas y redes de área amplia, como redes comerciales, conexiones a Internet, dispositivos de red inalámbrica, enlaces ascendentes satelitales e incluso conexiones de módem y de acceso telefónico donde todavía están en uso.

 Mandamiento 2: Adem√°s de determinar el nivel de riesgo que presenta cada conexi√≥n y tomar medidas para protegerla, Shaya recomend√≥ que los operadores se pregunten si cada conexi√≥n es realmente necesaria para minimizar las vulnerabilidades potenciales siempre que sea posible. Debido a que cada conexi√≥n tambi√©n crea un riesgo de seguridad asociado, las redes SCADA deben aislarse del nivel empresarial tanto como sea posible. En los casos en los que exista una necesidad real de que los ICS se integren con la red empresarial, se debe utilizar una zona desmilitarizada (DMZ) o un almac√©n de datos. Adem√°s, las conexiones restantes deben someterse a pruebas de penetraci√≥n y an√°lisis de vulnerabilidad.

Mandamiento 3: Debido a que los sistemas pueden estar expuestos a ataques por los servicios de red predeterminados, Shaya enfatiz√≥ que, adem√°s de limitar los puntos de acceso, los servicios de red innecesarios tambi√©n deben eliminarse o desactivarse cuando sea posible. ‚ÄúLos servidores y clientes SCADA no necesitan ninguna aplicaci√≥n o software, sino la interfaz hombre-m√°quina (HMI) y sus controladores y bases de datos de lenguaje de consulta estructurado (SQL)‚ÄĚ, dijo. "Por lo tanto, no es necesario que se ejecute ning√ļn servicio, excepto el servicio HMI".

Mandamiento 4: Depender de protocolos patentados o valores predeterminados de f√°brica tambi√©n puede ser peligroso, dijo Shaya. Por ejemplo, aunque Modbus se usa a menudo para conectar controladores l√≥gicos programables (PLC) de diferentes proveedores, hacerlo puede aumentar los riesgos de seguridad. En su lugar, Shaya recomend√≥ usar protocolos abiertos como Profinet u OPC UA. Adem√°s, se√Īal√≥ que los usuarios finales deben exigir a su proveedor que revele cualquier puerta trasera que pueda permitir que su equipo interact√ļe con el sistema SCADA.

Mandamiento 5: En lugar de dar por sentada la seguridad, los propietarios de sistemas SCADA deben insistir en que el proveedor de su sistema implemente funciones de seguridad en forma de parches o actualizaciones de productos. Shaya ha observado que muchos sistemas no tienen ninguna medida de seguridad por defecto. Sin embargo, como algunos dispositivos SCADA m√°s nuevos ahora incluyen funciones de seguridad b√°sicas, los usuarios finales deben preguntar a su proveedor si pueden comprar un dispositivo o una licencia con funciones de seguridad adicionales.

Mandamiento 6: Se deben establecer fuertes controles y medidas de autenticaci√≥n sobre cualquier medio que pueda funcionar como una puerta trasera en una red SCADA. Con m√°s dispositivos m√≥viles que se utilizan para monitorear los procesos de la planta, los puntos de acceso inal√°mbricos est√°n aumentando. Seg√ļn Shaya, si se van a utilizar estos dispositivos inal√°mbricos, se deben tomar precauciones de seguridad adicionales. De hecho, recomend√≥ no usar una red inal√°mbrica a menos que sea absolutamente necesario. Si se requiere una red inal√°mbrica, el acceso entrante debe desactivarse siempre que sea posible, ya que no todas las redes y dispositivos de control industrial requieren tr√°fico entrante y saliente.

Mandamiento 7: Se deben realizar auditorías completas en todas las redes SCADA para eliminar los caminos de menor resistencia para los piratas informáticos y otros actores mal intencionados. Una vez que se identifican los problemas a través de una auditoría, se debe volver a probar todo el sistema para garantizar que se resuelvan. Shaya también recomendó documentar cuidadosamente cada punto de falla a través de documentos como hojas de cálculo de Microsoft Excel y diagramas de Microsoft Visio para facilitar la visualización, organización y accesibilidad para todas las partes interesadas.

Mandamiento 8: Debido a que cualquier sistema SCADA puede presentar un objetivo para los piratas inform√°ticos, tambi√©n se deben realizar evaluaciones de seguridad de sitios f√≠sicos y remotos. Con el acceso remoto que abarca √°reas cada vez m√°s grandes, es posible que incluso un peque√Īo conmutador no administrado en un sitio distante pueda ser aprovechado para obtener acceso a un sistema. El consejo de Shaya: realice una encuesta de seguridad f√≠sica adem√°s de las auditor√≠as de red, cree un inventario de todos los puntos de acceso y elimine los puntos √ļnicos de falla. Los puntos de acceso a la red en vivo en sitios remotos y sin vigilancia nunca deben permitirse simplemente por conveniencia.

Mandamiento 9: La direcci√≥n debe establecer procesos de gesti√≥n de la configuraci√≥n claros y eficaces tanto para el hardware como para el software. ‚ÄúLos cambios en el hardware o software pueden introducir f√°cilmente vulnerabilidades que socavan la seguridad de la red‚ÄĚ, dijo Shaya.

Mandamiento 10: Si bien el objetivo es siempre prevenir las brechas de seguridad, en el caso de que ocurra, es fundamental que las empresas tengan planes preparados con anticipaci√≥n para manejarla. Deben existir copias de seguridad del sistema y los planes de recuperaci√≥n ante desastres deben incluir la posibilidad de un ciberataque. Seg√ļn Shaya, gran parte del enfoque de una organizaci√≥n para esto puede depender de cu√°nto tiempo su sistema puede permanecer fuera de l√≠nea. Por ejemplo, si un tiempo de inactividad es aceptable, tener a mano repuestos y servidores puede ser una soluci√≥n viable. Sin embargo, en el caso de que un sistema no se pueda apagar ni siquiera por un breve momento, los servidores redundantes que pueden funcionar localmente ya deber√≠an estar en su lugar para que los operadores puedan responder de inmediato a una crisis sin inactividad.