5 cosas que los CISO deben saber sobre cómo proteger los entornos de OT

Durante demasiado tiempo, el mundo de la ciberseguridad se centró exclusivamente en la tecnología de la información (TI), dejando que la tecnología operativa (TO) se las arreglara sola. Tradicionalmente, pocas empresas industriales tenían líderes de ciberseguridad dedicados. Cualquier decisión de seguridad que surja recayó en los gerentes de planta y fábrica, que son expertos técnicos altamente calificados en otras áreas pero que a menudo carecen de capacitación o conocimiento en ciberseguridad.

En años más recientes, un aumento en los ataques cibernéticos contra instalaciones industriales y la tendencia de convergencia de TI/TO impulsada por la Industria 4.0 han resaltado el vacío de propiedad en torno a la seguridad de OT. Según un nuevo informe de Fortinet , la mayoría de las organizaciones buscan a los directores de seguridad de la información (CISO) para resolver el problema.

Afortunadamente, los CISO no son ajenos a los cambios ni a los desafíos difíciles. La posición en sí tiene menos de 20 años, sin embargo, en esas dos décadas, los CISO han navegado algunos de los eventos de ciberseguridad más disruptivos que fueron realmente momentos decisivos en la tecnología.

Aún así, la mayoría de los CISO han dejado su huella en la protección de entornos de TI, y las estrategias y herramientas de seguridad de TI rara vez se traducen en un contexto de OT. Si bien las habilidades blandas de colaboración y formación de equipos sin duda ayudarán a los CISO a llevar la planta de producción a su ámbito de responsabilidad, también deben hacer un esfuerzo concentrado para comprender la topografía única del paisaje OT y los desafíos de seguridad distintivos.

Seguridad ante todo

La tríada de la CIA (Confidencialidad, Integridad y Disponibilidad) es un concepto clave en la ciberseguridad. De manera crítica, TI y OT priorizan los elementos de la tríada de manera diferente, aunque la seguridad es siempre el denominador común.

En TI, la seguridad significa que los datos están protegidos a través de la confidencialidad. Las personas se lastiman cuando sus datos confidenciales y privados se ven comprometidos. Para la empresa, proteger los datos los salva de infracciones, multas y daños a la reputación.
En OT, la seguridad significa que los sistemas ciberfísicos son confiables y receptivos. Las personas se lastiman cuando un alto horno o una caldera industrial no funciona correctamente. Para la empresa, la disponibilidad mantiene los sistemas funcionando a tiempo hasta el milisegundo, lo que garantiza la productividad y la rentabilidad.

Irónicamente, la tríada AIC del mundo OT ha dado como resultado sistemas y herramientas que priorizan la seguridad física, pero a menudo vienen con pocas o ninguna característica de ciberseguridad. Será responsabilidad del CISO identificar e implementar soluciones de seguridad que protejan los sistemas OT de las ciberamenazas sin interrumpir sus operaciones.

Niveles de segmentación

Tanto en OT como en TI, la segmentación limita la superficie de ataque de la red. En OT, el modelo de Purdue sirve como marco de cómo y por qué los sistemas pueden y deben comunicarse entre sí.

En pocas palabras, el modelo Purdue consta de cinco capas.

Los niveles 4 y 5 son las capas más externas que incluyen servidores web y de correo electrónico, infraestructura de TI y cortafuegos de usuarios de forma remota.
Los niveles 2 y 3 son las capas operativas que operan el software y las aplicaciones que ejecutan entornos OT.
Los niveles 0 y 1 contienen los dispositivos, sensores, controladores lógicos programables (PLC) y sistemas de control distribuido (DCS) que realizan el trabajo real y deben protegerse de interferencias externas.

El propósito de estas capas es crear una separación tanto lógica como física entre los niveles de proceso. Cuanto más se acerque a la operación ciberfísica de sistemas industriales como inyectores, brazos robóticos y prensas industriales, más controles y equilibrios habrá para protegerlos.

Si bien el concepto de segmentación no será nuevo para los CISO, deberán comprender que la separación de zonas es mucho más estricta en los entornos de OT y debe aplicarse en todo momento. Las empresas industriales se adhieren al modelo de Purdue u otros marcos similares para garantizar la seguridad y para cumplir con muchos mandatos de cumplimiento normativo.

El tiempo de inactividad no es una opción

En TI, el tiempo de inactividad para actualizaciones y parches no es gran cosa, especialmente en un mundo de software como servicio (SaaS) donde las nuevas actualizaciones se publican prácticamente en tiempo real.

Ya sea por seguridad o por beneficio, los sistemas OT siempre están en funcionamiento. No se pueden detener o pausar para descargar un nuevo sistema operativo o aplicar incluso un parche crítico. Cualquier proceso que requiera tiempo de inactividad es simplemente imposible para la gran mayoría de los sistemas OT. Por esta razón, los CISO no deberían sorprenderse al descubrir sistemas con décadas de antigüedad (probablemente ejecutándose en software que llegó al final de su vida útil hace mucho tiempo) que aún sirven como una pieza crucial de la operación.

El desafío al que se enfrentarán los CISO será identificar controles de seguridad que no interrumpan ni interfieran con los delicados procesos de OT. Las soluciones correctas «envolverán» la infraestructura OT existente en una capa de seguridad que protege los procesos críticos sin cambiarlos, complicarlos ni sobrecargarlos.

Todo acceso es acceso «remoto»

Tradicionalmente, los sistemas OT se han protegido a través del aislamiento. Ahora que las organizaciones están conectando estos entornos para capitalizar la Industria 4.0 o para permitir un acceso más fácil a los contratistas, todos los accesos deben ser monitoreados, controlados y registrados.

El entorno de TI es un lugar digital donde suceden los negocios. Los usuarios comerciales realizan su trabajo y los sistemas intercambian datos dentro de este espacio, día tras día. Para decirlo de otra manera, los humanos están destinados a participar activamente y realizar cambios en el entorno de TI.
Los sistemas y entornos OT están diseñados para funcionar sin intervención humana: «configúrelo y olvídese». Los humanos están destinados a configurarlos y luego dejarlos correr. Los usuarios no permanecen conectados a un entorno OT todo el día como lo harían los usuarios comerciales en un sistema de TI.

En este contexto, cualquiera que acceda al entorno OT es efectivamente un extraño. Ya sea que se trate de un proveedor que se conecta de forma remota, un usuario comercial que ingresa a través de la red de TI o incluso un operador de OT que accede al entorno en el sitio, cada conexión proviene del exterior. Reconocer este punto clave ayudará a los CISO a comprender que las herramientas de acceso remoto industrial seguro (I-SRA) deben usarse para todos los escenarios de acceso, no solo aquellos que TI consideraría «remotos».

Las herramientas de TI no (siempre) funcionan para OT

Las herramientas diseñadas para TI casi nunca se traducen a OT .

Las funciones básicas, como el análisis de vulnerabilidades, pueden interrumpir los procesos de OT y dejar los sistemas completamente fuera de línea, y la mayoría de los dispositivos no tienen suficiente CPU/RAM para admitir seguridad de punto final, antivirus u otros agentes.
La mayoría de las herramientas de TI enrutan el tráfico a través de la nube. En OT, esto puede comprometer la disponibilidad y no puede admitir los numerosos componentes no conectados comunes a los entornos de OT.
Los ciclos de vida de las herramientas de TI suelen ser mucho más cortos que los ciclos de vida de los dispositivos OT. Debido a la naturaleza siempre activa de los entornos OT, cualquier herramienta que necesite parches, actualizaciones o tiempo de inactividad frecuentes no es aplicable.

Forzar el uso de herramientas diseñadas por TI en entornos OT solo agrega complejidad sin abordar los requisitos y prioridades de seguridad fundamentales de estos entornos. Cuanto antes un CISO se dé cuenta de que los sistemas OT merecen soluciones de seguridad diseñadas para sus necesidades distintivas, más rápido estarán en camino de implementar las mejores herramientas y políticas.

Las habilidades interpersonales son la clave del éxito del CISO

Dado que la mayoría de los líderes de seguridad cibernética actualmente tienden a provenir de roles de seguridad de TI, tiene sentido que muchos CISO tengan un sesgo (quizás inconsciente) hacia las filosofías, herramientas y prácticas de TI. Para asegurar de manera efectiva los entornos de OT, los CISO deberán volver a ser estudiantes y apoyarse en otros para aprender lo que aún no saben.

La buena noticia es que los CISO generalmente tienen una propensión a hacer las preguntas correctas y buscar el apoyo de los expertos correctos mientras siguen empujando los límites y exigiendo resultados positivos. Al final del día, el trabajo de un CISO es liderar personas y equipos de expertos para lograr el objetivo mayor de asegurar la empresa y habilitar el negocio. Quienes estén dispuestos a cerrar la brecha de seguridad de OT a través de un fuerte liderazgo y la voluntad de aprender deberían encontrarse rápidamente en el camino hacia el éxito.

Fuente y redacción: thehackernews.com

Seguridad ante todo

Niveles de segmentación

El tiempo de inactividad no es una opción

Todo acceso es acceso «remoto»

Las herramientas de TI no (siempre) funcionan para OT

Las habilidades interpersonales son la clave del éxito del CISO

Kaspersky Lab detecta ataques cibernéticos a telecajeros en México

Las GPU modernas son vulnerables al nuevo ataque de canal lateral GPU.zip

La nueva ley de Seguridad Cibernética de la Unión Europea