Crece la conciencia de ciberseguridad TO, pero aún falta camino por recorrer

La llegada de la internet de las cosas, entre otros cambios, impulsó la integración de los sistemas de tecnología operativa a internet a través de sistemas de conectividad empresarial, lo que permitió mayor control y flexibilidad en este entorno, pero abrió también la puerta a una serie de riesgos y vulnerabilidades de seguridad que los equipos todavía están luchando por controlar y mitigar.

En especial, por la resistencia al cambio que existe entre los operadores, así como por los dispositivos y sistemas heredados que no pueden actualizarse con la misma frecuencia que los sistemas de tecnologías de la información, según explicó Jade Tamayo, Solution Account Manager para Tecnologías Operativas en Fortinet para México, Centroamérica y el Caribe, en entrevista con ComputerWeekly en Español.

¿Crees que existe una buena conciencia de ciberseguridad con respecto a la tecnología TO?

Jade Tamayo.

Jade Tamayo: No, no todavía. Aún es un trabajo que estamos haciendo. De hecho, en Fortinet, nuestro CEO prevé que para el 2028 será el pico del requerimiento de esta solución. Si pensamos en el mercado latinoamericano, estamos todavía en esa transición de digitalización.

La pandemia sí vino a acelerar algunos procesos de digitalización dentro de enterprise, servicios corporativos y tradicionales, como administración y contabilidad. Sin embargo, para tecnologías operativas, hay segmentos o verticales específicas que ya alcanzaron esa digitalización y están más concientizadas, pero es una concientización bastante fragmentada.

Por ejemplo, si piensas en la industria automotriz, ellos ya tienen normativas que les piden ciberseguridad para su entorno operativo. También en Oil & Gas, en México, ya hay normativa que pide ciberseguridad, al igual que en el sector eléctrico. Pero no en otros segmentos como las áreas hospitalarias, farmacéuticas, producción de bienes de consumo. Es ahí donde todavía hay trabajo por hacer. Yo diría que estamos en un 25 % de concientización.

En el reporte de Tecnologías Operativas [de Fortinet], se determinó que ya hay una conciencia del 98 % entre los CIO o responsables de ciberseguridad. Ahora falta bajar esas ideas y aterrizarlas con la gente de operaciones, los que están en el día a día involucrados con la tecnología.

¿Por qué crees que la conciencia de ciberseguridad para TO está yendo de arriba hacia abajo, y aún no alcanza a todos los operadores?

Jade Tamayo: Recordemos que la ciberseguridad tiene un impacto directo en las finanzas. Cuando una empresa pierde data crítica, pierde la visibilidad de cuánto está generando, muchas veces deja de operar, y eso le crea un impacto. Muchas veces, las personas responsables de riesgo financiero visualizan la ciberseguridad como algo que tiene un impacto directo, y piensan en ella dentro de una estrategia financiera responsable.

Sin embargo, hay entornos operativos que todavía están desconectados, [y donde se piensa que] todavía no hay necesidad [de incluirlos en la estrategia de ciberseguridad en ellos]. Muchas veces, trasladar ese riesgo o decir: ‘oye, ¿qué proyectos tienes de ciberseguridad para tu entorno, o para esta nueva tecnología que me estás solicitando y que ya requiere internet, o que es monitoreada de manera remota incluso desde otro país?’ [es algo que no se hace]. Así que va más alineado a eso, al riesgo financiero que se percibe en un ciberataque.

¿Cómo manejar la complejidad que tienen ahora en sus manos los responsables de la ciberseguridad con la IoT, la conectividad y la integración de entornos TO?

Jade Tamayo: La complejidad se va a reducir cuando nosotros visualicemos y estemos concientes de lo que tenemos conectado. Cuando empiezas a analizar cada una de las partes de tu proceso, dices, ‘en esta área de proceso tengo tecnología que ya tiene muchos años, que quizá de momento no pienso cambiar, pero que ya tiene vulnerabilidades identificadas’. Ahí no podemos llegar con el mismo discurso de TI de actualizar todos tus sistemas operativos porque sí podrías poner en riesgo una parte de la operación.

Entonces, lo que hacemos, o al menos cómo lo gestionamos, es recomendarle a nuestros clientes que visualicen, que conozcan su tolerancia al riesgo dentro de la operación. A partir de ahí, les vamos asesorando de una manera un poco más acompañada, comprendiendo las arquitecturas basadas en procesos, viendo el valor de la operación que se genera, las vulnerabilidades identificadas, y desde ahí ofrecemos algunas soluciones.

Nuestro laboratorio de investigación FortiGuard Labs ha desarrollado más de 3.000 APIs para aplicaciones de control que nos van a permitir brindar esta protección sin necesidad de estar actualizando todo, sin necesidad de hacer refresh tecnológicos. Cuando hay muchos equipos al límite de su ciclo de vida, y el cliente está conciente de que sí los tiene que cambiar, ahí sí proponemos un refresh tecnológico.

¿Pero, qué pasa si recientemente acaban de adquirir una nueva red LAN, acaban de hacer alguna inversión importante en renovar la tecnología, pero resulta que no tomaron la mejor decisión porque siguieron eligiendo una tecnología de nicho y consideraron aparte la ciberseguridad? Entonces, ahí la recomendación siempre es escuchar las prioridades del cliente, que ellos sean concientes de esa tolerancia al riesgo, que establezcan sus prioridades y que se dejen acompañar, que se dejen ayudar.

Hay mucho recelo. La gente que trabaja en planta, en muchos casos, son gente que está altamente especializada y profesionalizada en su proceso, y cambiar o hacer un switch hacia esa idea de asumir que algo tiene un riesgo cibernético, es un paso muy grande. Entonces, ahí es un acompañamiento.

Pero lo primero que yo hago con mis clientes es preguntarles: ¿conoces lo que tienes conectado? ¿identificas cuál es tu área de proceso con más riesgo? ¿identificas la que te genera más valor? Y empezamos por ahí.

Es decir, ¿lo primero es la visibilidad?

Sí, en cierta manera visibilidad y control, gobernanza de tus dispositivos.

¿Cómo se define una estrategia de ciberseguridad TO? ¿También se hace en capas, como en TI, que ahora se enfoca en proteger los datos?

Jade Tamayo: Sí, hay un modelo de referencia que nosotros utilizamos. Normalmente, para tecnologías de la información se hace uso del modelo OSI; algo similar, pero más enfocado en tecnologías operativas, es el modelo Purdue.

Más allá del dato, creo que hay que visualizar el riesgo en la capa física y comprender que todo es una recolección de datos. A fin de cuentas, los sensores nos van a dar justamente una medición exacta de qué es lo que está pasando en la capa física. En el último Reporte de Vulnerabilidades y de Amenazas Avanzadas de Fortinet, se notó mucho el incremento de los RAT, Remote Access Trojans, que son virus troyanos un poquito más ligeros, que afecta y se instalan en dispositivos con poca memoria.

De hecho, se empiezan a ver un montón de temas nuevos. Ahora resulta que un virus puede abarcar la memoria que tú necesitas para procesar un dato, y la capa física para esa recuperación. [Frente a ello, es necesario] hacer un backup muy pequeño de esa información, garantizar que es un dato verdadero, que no ha sido afectado, que no se ha quedado ‘pegado’, por así decirlo –solemos decir vulgarmente que ‘se quedó pegado el dato’–, y no me está reportando lo que está pasando en la realidad, en tiempo real, o si empieza a ver un delay en el envío de la información.

El comportamiento que se llega a notar en un ciberataque a esos niveles puede ser que el equipo se esté reiniciando constantemente, y no comprendemos por qué. Entonces, en lo que se reinicia y carga parámetros, si mi proceso [se mide en] milisegundos, ya estoy afectando una parte de la visibilidad. Ahí, lo que toca visualizar es, si mi proyecto al inicio tenía un delay de tantos milisegundos, ¿por qué un año o dos años después el envío de la data tiene una diferencia tan amplia que me está restando visibilidad?

Lo que nosotros abordamos sí es en parte el dato, porque si estamos hablando, por ejemplo, de infraestructura como Oil & Gas, el dato es relevante porque nos habla de máximos y mínimos puntos críticos o porcentajes de pérdida, nos habla de niveles de presión, nos habla de niveles de temperatura que, a fin de cuentas, si rebasan [ciertos parámetros] puede causar una catástrofe. Ya se ha visto en otros lados: en refinerías  en Estados Unidos; en Europa, en el sector eléctrico; en México, hemos visto diferentes explosiones offshore. Eso pasa, justamente, cuando se pierde la visibilidad de esa data crítica. Sin embargo, también hay que preguntarse si el dispositivo que tenemos instalado es el más actual o quizá ya quedó obsoleto. Quizá no estamos visualizando lo que tenemos que visualizar y toca generar nuevas políticas para tener notificaciones más acertadas o para darles contexto.

Yo siempre menciono que uno de los principales riesgos para tecnologías operativas es el riesgo físico. A fin de cuentas, tienes una serie de operadores que pueden tener una movilidad muy amplia, o sea, puede que tengan tres turnos –las operaciones muchas veces son 24/7– y tienes un grupo de operadores que entra o sale de tu perímetro, llega, se conecta, tiene acceso a usuarios y contraseñas, tiene acceso a modificar aplicaciones críticas y esa interacción, para decirlo como decimos vulgarmente en tecnologías de información, es ‘error de capa 8’.

Incluso IBM, dentro de su matriz de riesgo, identificó que el error humano seguía representando, en 2020, como el 17 %; actualmente, ha de mantenerse igual o mayor. El error humano sigue siendo un factor importante, y la interacción con los dispositivos de los cuales es responsable siempre va a marcar una pauta muy importante para una estrategia de ciberseguridad.

En tu experiencia, ¿quién suele ser el responsable de la ciberseguridad TO?

Jade Tamayo: Ha habido una transformación. Cuando entré a Fortinet, encontré que el diálogo era con tecnologías de la información. ¿Por qué? Porque es a tecnologías de la información a quienes llegan todas las solicitudes de: ‘acabo de comprar una máquina que me costó casi un millón de dólares y la necesito poner en marcha para la siguiente semana porque ya la tengo en piso instalada, pero ¿qué crees? Necesito conectividad a internet’. Ahí tenemos la crisis.

Normalmente, los equipos de TI son los que tienen más este awareness, esta conciencia del riesgo cibernético. Ellos preguntan: ‘¿Qué tipo de máquina es? ¿Cómo que la van a monitorear desde España o desde Alemania? ¿Te están dando algún reporte de ciberseguridad?’. [Y a veces la respuesta es:] ‘No, pero me tienes que dar la conexión porque mi proyecto o este contrato de producción ya arranca tal fecha, y ya tengo que estar operando’. Entonces, la urgencia viene del equipo de tecnologías de información porque ellos proveen el servicio de conectividad.

Pero sí hemos encontrado, y me da mucho gusto, que ya hay empresas de talla internacional que empiezan a tener cargos de Responsable de Ciberseguridad OT. Lo podemos ver en empresas como Coca-Cola, Sempra Energy, AES, que son transnacionales y que tienen ciertos estándares o cumplimiento corporativo que les obliga a crear un departamento de gente especializada en el segmento. Esto está creciendo. Me da mucho gusto porque encontramos colegas cada vez más especializados, con diferentes perspectivas, y creo que eso siempre nutre el ecosistema.

¿Cómo ves el crecimiento del negocio de ciberseguridad TO en América Latina y México?

Jade Tamayo: Bueno, es bastante diferente. México es un mercado enorme. Yo veo un crecimiento muy positivo, pensando en el revenue de la empresa, pero también porque significa que ya la gente está teniendo más conciencia.

Siento que es un mercado que está creciendo a pasos gigantes. Cada vez encontramos más tecnologías disponibles, cada vez que hay más participantes. Antes ciberseguridad OT era un nicho muy especializado, y ahora tenemos empresas como Schneider Electric, Rockwell y ABB que ya están entrando a incluir o proveer algún servicio, o estamos haciendo alianzas estratégicas con ellos para que, de manera natural, la tecnología que ellos venden vaya acompañada ya de una solución de ciberseguridad. El crecimiento va a ser exponencial.

Creo que es un área de inversión muy importante para todas las empresas que quieran mantener cierta garantía en su continuidad de operaciones.

Para cerrar, quería comentar que John Madison, nuestro Product Marketing Specialist, menciona que cada vez son más las redes, o la tecnología que va a permitir la transición hacia redes, hiperconvergentes. Ya todo es una plataforma unificada y estamos teniendo esquemas que van del sensor a la nube. Antes solo hablábamos de empezar con un firewall, y ahora tienes que incluir alguna solución híbrida que, dentro de la arquitectura de tecnologías operativas, incluya conectividad a la nube, porque el sensor va a enviar el dato directamente a la nube.

El mundo de la tecnología es fascinante, y el mundo de la ciberseguridad aún más. Por eso, los invitamos a seguir aprendiendo, a seguir protegiendo y a seguir educándose en materia de ciberseguridad TO.