La ciberseguridad para OT avanza y se integra con TI

Debido a que por mucho tiempo los entornos de Tecnología de Operaciones (OT, por sus siglas en inglés) estuvieron aislados de internet, la evolución de la seguridad para estos ambientes estuvo enfocada en el mundo físico y marchaba a pasos más lentos. Con la transformación digital y el auge de la nube, las compañías han tenido que acelerar la renovación en este entorno mejorando sus controles, ampliando sus marcos de control y trabajando en gobierno, políticas y lineamientos.

Erik Moreno, director de ciberseguridad para México
de Minsait 

Erik Moreno, director de ciberseguridad para México de Minsait, una compañía de Indra, compartió con ComputerWeekly su visión de cómo está evolucionando la ciberseguridad en estos entornos OT, cuáles son los principales desafíos que enfrentan las organizaciones en este campo, así como el impacto de los proyectos de internet de las cosas (IoT) e internet industrial de las cosas (IIoT) y cómo manejar la convergencia con la ciberseguridad de TI.

Uno de los principales retos por superar, comentó, es la brecha de talento especializado en ciberseguridad y seguridad de la información.

¿Cómo ha cambiado el panorama de la ciberseguridad en el área de OT de las empresas?

Erik Moreno: Hasta hace unos años, el entorno OT no representaba un riesgo de ciberseguridad para las empresas por una simple y sencilla razón: era un entorno cerrado, era un entorno aislado, en el cual su propia red de manejo de materiales o su red industrial no tenía contacto con el mundo de TI, con el mundo tradicional, ni con internet; no tenía contacto con la nube y no tenía contacto con los proveedores que pudieran gestionar estos temas. Todo se hacía de manera local o, como decía anteriormente, de manera aislada.

Lo que pasa ahora es que vienen nuevas estrategias de transformación digital, nuevas estrategias de omnicanalidad, de externalización de servicios, de mejora en la toma de decisiones con una visión de negocio y para ello necesitamos, como organización, exponer estos servicios hacia este mundo de TI. Con ello, se amplió la superficie de ataque, es decir, este entorno que estaba obsoleto, que muchas veces no tenía los controles y la madurez en temas de ciberseguridad hoy día queda expuesto abiertamente hacia un nuevo entorno de amenazas como puede ser ransomware, infecciones, accesos no autorizados –incluso accesos remotos no autorizados– y el propio uso de la nube. Todo ello, evidentemente, nos trajo estos nuevos retos.

Por necesidad de negocios se tenía que hacer así.  Sin embargo, la evolución de la ciberseguridad en el entorno OT marchaba a pasos más lentos y con esto tuvimos que acelerar la madurez en los controles, tuvimos que ampliar nuestro marco de control –que antes se enfocaba principalmente hacia TI y ahora [tiene que] abarcar el mundo OT– por este foco importante de infección que se tiene ahora.

¿Cuáles son las principales tendencias en ciberseguridad para OT?

Erik Moreno: Principalmente, no se tiene una visibilidad de los inventarios o de los activos de información que involucran las redes industriales, no se tienen inventarios como en el mundo TI y, si no tenemos este aspecto, no vamos a saber qué hacer. Al no conocer los activos de información, no tenemos visibilidad sobre sus amenazas, sus vulnerabilidades y eventualmente, tampoco sobre los inventarios.

La segunda tendencia es proteger a nivel perimetral esas redes. Hacer una segmentación adecuada de las mismas para poder proteger los activos más críticos o sensibles para la organización. Es decir, poder identificar cuáles son las principales vulnerabilidades y amenazas, y con ello poder monitorear de manera proactiva y en un esquema continuo a estas redes industriales y poder contener aquellas amenazas que pudieran materializarse en esta red industrial.

El tercer punto en tendencia, una vez que ya controlamos el perímetro, que sabemos qué proteger y sabemos qué tenemos en términos de amenazas y vulnerabilidades, es proteger los accesos privilegiados remotos. A estas redes industriales tienen acceso proveedores, clientes y usuarios de manera remota, por lo que es muy importante salvaguardar, controlar y monitorear estos accesos remotos privilegiados para así minimizar los riesgos que pudiéramos tener expuestos hacia robos de información, alguna infección del exterior o descuidos en términos de la disponibilidad, que es uno de los puntos más importantes en las redes industriales (causada por estos accesos remotos privilegiados).

¿Cuáles considera que son los principales desafíos actuales de OT en términos de ciberseguridad?

Erik Moreno: Un desafío, que no es tanto tecnológico, sino que es más estratégico, es el que viene de la misma problemática: establecer un marco de Gobierno de ciberseguridad y de seguridad de la información en las redes industriales.

Ya no hablemos de implementaciones tecnológicas, hablemos de esa madurez que muchos entornos de TI ya tienen; actualmente ya se tienen marcos de gobierno, normativas, políticas, estándares y lineamientos que salvaguarden las redes de TI. Ese mismo marco de gobierno es, creo, uno de los principales desafíos que hoy también tienen las empresas que tienen redes industriales a cumplir. De esta forma, se marcan desafíos a nivel estratégico, desafíos a nivel táctico y desafíos a nivel operativo en el día a día de las redes industriales.

¿Cuál es el impacto que tiene el crecimiento de IoT e IIoT en la ciberseguridad de OT?

Erik Moreno: Es bueno. El impacto es favorable en términos de crecimiento, pues evidentemente es importante –aunque no lo puedo cuantificar en número–, pero nos está duplicando hoy en día las necesidades, desde personal capacitado, hasta las necesidades de tecnología, de normativas y estándares.

Si bien nuestro principal desafío como profesionales enfocados a los servicios de ciberseguridad es la falta de personal calificado que pueda atender las exigencias de los entornos de amenaza, hoy en día estamos prácticamente duplicando esa necesidad con la incursión de IoT, con la incursión de dispositivos que hoy están interconectados a internet y de estas redes industriales hacia entornos de la nube y de internet.

Ese es uno de los puntos fundamentales: más allá de poder implementar tecnología o normativas, nos hace falta mucho personal capacitado especializado en ciberseguridad para IoT y para redes industriales.

¿Considera que las empresas mexicanas tienen un buen manejo de la ciberseguridad con relación a OT? ¿Cuáles son las verticales más avanzadas en esto?

Erik Moreno: Yo creo que hoy estamos con miras de evolución en la madurez de las estrategias de ciberseguridad para IoT y para OT. Vamos pasos atrás respecto a las estrategias de ciberseguridad en el mundo TI y nos hace falta madurar, no solamente en México, sino a nivel internacional. Estándares y normativas que regulen estos entornos operativos.

Sin duda, creo que las empresas que llevan la punta de lanza deberían ser las empresas del sector energético, puesto que los impactos en la disponibilidad a raíz de una posible infección de alguna amenaza son mayores y los riesgos son exponenciales en estas redes OT. El segundo es todo el sector industrial, todo lo que tiene que ver con manufactura con el sector automotriz, y el sector industrial de alimentos. Estos sectores son los que más están invirtiendo en redes OT y también deben ser punta de lanza, por estos mismos impactos de agentes de amenaza.

¿Quién suele ser responsable de la ciberseguridad en OT en las empresas? ¿Este papel ha cambiado en los últimos años?

Erik Moreno: En este mismo papel de evolución y de madurez del entorno OT y de ciberseguridad, hoy en día las empresas están adaptando su estructura actual; es decir, muchas de las empresas no tienen a un especialista de ciberseguridad para entornos críticos o para IoT. Están tomando de referencia al especialista de ciberseguridad para el mundo TI y están tomando a los oficiales en jefe de ciberseguridad o de seguridad de la información para poder establecer la estrategia o ampliar la estrategia actual corporativa hacia estos entornos operativos.

Creo que es un paso inicial, preferible a no tener nada. Es algo muy bueno que las empresas vayan tomando conciencia sobre estos nuevos riesgos; sin embargo, yo creo que debemos ir pensando en un segundo paso, que es establecer una oficina de ciberseguridad específica para los entornos críticos, IoT y de OT, y que con ello se hable de manera horizontal con el responsable de Ciberseguridad para el mundo de TI.

[Se necesita] poder establecer una estrategia institucional en conjunto, que pueda tener una visión de riesgos institucionales o corporativos, y que la estrategia de protección vaya muy alineada con estos dos mundos porque, evidentemente, tampoco puede verse de manera aislada. Volvemos al punto número uno que mencionaba: hoy estamos en un momento de convergencia de estos mundos de TI y de OT, y el oficial de ciberseguridad también debe estar haciendo esta sinergia de trabajo en conjunto, en una visión corporativa.

¿Cómo se conecta la OT con la ciberseguridad de TI?

Erik Moreno: El punto de inflexión entre estos dos mundos es la segmentación o la segregación de las redes. Es ahí en donde se estaría conectado, a partir de esta conexión a nivel de red y a nivel de segmentación de redes.

El segundo punto donde se está conectando mucho es en los temas de gestión, identidades y controles de acceso que mencionaba, relacionadas en el mundo TI con accesos remotos privilegiados hacia proveedores, clientes y operadores.

El tercer punto es en la parte de observabilidad de las amenazas, vulnerabilidades y de estas estrategias de monitoreo continuo de detección y respuesta ante posibles incidentes de ciberseguridad.

Esos son los tres rubros donde yo veo que se pueden estar interconectando, sin olvidar el cuarto que mencionaba también: lo que va a amalgamar toda esta estrategia va a ser el marco de Gobierno, la estrategia de ciberseguridad corporativa.

¿Qué pasos recomienda tomar para mejorar el enfoque actual de la ciberseguridad de OT en las empresas?

Erik Moreno: Yo creo que el primer paso es tener una visión de qué es lo que queremos proteger. El primer paso es este descubrimiento de activos, el reconocimiento de la arquitectura de la red OT y de IoT para saber cuál es la joya de la corona, cuáles son los segmentos y sectores más críticos. A partir de ahí, hacer un descubrimiento de las amenazas, vulnerabilidades y, eventualmente, tener identificados cuáles son los principales riesgos a los cuales estamos expuestos.

Entonces, establecer una estrategia de protección, detección y respuesta que vaya desde la segmentación, segregación de redes, la protección de endpoint, la protección de estos equipos PLC, HMI, equipos Scada de manera unificada y que va muy ligada con los principales proveedores de estas tecnologías –hay que recordar que son tecnologías obsoletas–. Por último, poder orquestar esta estrategia de protección a través de un monitoreo continuo y trasladar lo que hoy día conocemos como centro de operaciones de ciberseguridad en el mundo TI hacia el mundo de OT, para poder estar vigilando en un esquema 24 por 7 todos aquellos comportamientos anómalos que pudieran representar un riesgo en un incidente de ciberseguridad.

Yo creo que esos serían los pasos por seguir. No es un reto fácil, no es un reto que pudiera implicar, como en el mundo TI, menor tiempo, ya que es bastante complejo establecer esta estrategia en el mundo OT, porque nos vamos a enfrentar a un entorno más complejo, más desagregado y que nos va a llevar más tiempo implementar en el día a día.