Ciberseguridad en la Industria 4.0

¿Estamos seguros en un mundo cada vez más digitalizado? ¿Cuáles son las amenazas del mundo digital? ¿Qué herramientas dispongo para proteger mi organización?

Las redes industriales suelen estar formadas por PLCs, SCADA, HMI, MES, hubs, switches, routers, firewalls, etc., se caracterizan por ser sistemas en los que es necesario asegurar la disponibilidad, integridad y confidencialidad de los equipos y comunicaciones que en ella se realizan.

Con la llegada de las tecnologías de la información (IT) al sector industrial, el mundo operacional (OT) se ha visto profundamente beneficiado. Sin embargo esta irrupción también ha conllevado que los riesgos del IT lleguen al OT.

En el nuevo paradigma de Industria 4.0 es importante tratar de forma holística toda la organización, sin descuidar ningún ámbito o aspecto de la empresa. La ciberseguridad es un punto fundamental de la cuarta revolución industrial.

El pasado 11 de abril el Centro de Ciberseguridad Industrial (CCI) celebró en Sevilla un encuentro dirigido a la industria andaluza: “La Voz de la Industria Andaluza“; y al que tuve el placer de asistir.

En el encuentro, el CCI compartió con los asistentes un avance de un estudio sobre el estado de ciberseguridad en la industria de Andalucía que están elaborando. Algunas de las claves expuestas en la jornada intentaré compartirlas en este post.

Además, el encuentro sirvió para transmitir algunas experiencias de responsables de ciberseguridad de diferentes organizaciones industriales mediante varias ponencias y una mesa de debate.

La voz de la Industria

El encuentro giro en torno a presentar la anatomía de la ciberseguridad industrial, mostrar como la inteligencia artificial se está convirtiendo en clave para la industria y su protección, política de ciberseguridad de administraciones públicas.

Dentro de este encuentro también se abordó la fuerte integración de IT y OT (convergencia IT/OT) y como aplicar la ciberseguridad en el desarrollo de software industrial. Y más que a la convergencia, a la creación de un modelo de trabajo ágil, incrementando el conocimiento, la comunicación, la colaboración y la coordinación entre IT y OT.

Durante el encuentro, Alfonso Tena Venegas, Jefe de Servicio de Planificación Tecnológica de la Dirección General de Telecomunicaciones y Sociedad de la Información de la Junta de Andalucía presento las iniciativas en ciberseguridad que están impulsado.

Wellness Telecom estuvo representada por Francisco Perez Fernandez. “Paco” realizó un gran exposición sobre la patología en la ciberseguridad industrial, al fin y al cabo Wellness Telecom son expertos en tecnologías de la información (IT) y tecnologías operativas (OT) y en soluciones end-to-end para IoT.

Por otro lado, Ramses Gallego (Symantec) trató la importancia de la inteligencia artificial en la ciberguerra por el control de la información.

Por su parte, Ana Ayerbe Fernández-Cuesta (Tecnalia) habló sobre la Industria 4.0 y el papel de la ciberseguridad en este nuevo paradigma, la importancia del desarrollo de Software desde el punto de vista de la Ciberseguridad y la utilización de Tecnologías Cloud.

La verdad es que eche en falta la representación de la Universidad en este encuentro y el punto de vista que puede aportar la investigación.

Todos los sectores industriales estamos en el inicio de la transformación digital y debemos abordar la ciberseguridad como pilar del nuevo escenario industrial en pleno crecimiento.

Las nuevas tecnologías, han hecho que podamos manejar y rentabilizar mejor la información para el desarrollo de nuestro negocio, pero también ha aumentado la exposición a nuevas amenazas, que hacen más fácil la fuga de información confidencial, ya sea por agentes internos (descuidos, empleados descontentos, etc.) o externos (ataques con malware o intrusiones de ciberdelincuentes).

Resultados preliminares del estudio

Es importante compartir el conocimiento.

Al tratarse de un estudio es de vital importancia la aportación que las empresas, prestando su conocimiento al bien común. Es curioso cómo aún no está arraigada en la sociedad la importancia de prestar el conocimiento a terceros, por miedo a… “crecer”. Puesto que ese será el resultado, el crecimientos de todos más rápidamente que si no existiera esa transferencia de saberes.

Aprender a intercambiar conocimientos es una actividad social que se lleva a cabo entre individuos o entre organizaciones; de aquí, que las prácticas relacionadas con las personas, la cultura y el contexto en el que éstas se encuentran o en las que ejercitan su actividad son muy complejas, ricas y globalizadoras.

Por lo tanto, las prácticas y los conocimientos no sólo se transfieren de unos a otros, sino que se realizan y se desarrollan de forma firme y eficaz de manera que resulten provechosos; en este sentido, es necesario poner a todos los individuos, agentes, organizaciones que estén preparados y dispuestos a este intercambio de profundos conocimientos en contacto entre sí, para así poder transferir los conocimientos que cada uno posee y almacena, intercambiando y compartiendo. Este es el fin de muchas jorandas, mesas redondas, seminarios, etc., como el organizado por el CCI.

Del mismo modo es importante participar en estudios y encuestas de empresas especializadas, ya que al igual que participamos a enriquecer el conocimiento colectivo, tenemos la oportunidad de obtener feedback con el saber de otras agentes.

En estos encuentros se muestran cultura, medios tecnológicos, infraestructura y sistemas de producción de las diferentes entidades. Ciertamente no basta con uno sólo de ellos por muy significativo y ventajoso que éste sea, todos deben funcionar en una perfecta armonía y sintonización si queremos obtener buenos, positivos, satisfactorios y exitosos resultados el bienestar de la sociedad.

Si las personas son el motor del saber, deben tener la responsabilidad de identificar, mantener, aumentar y compartir su base de conocimiento, dado que el conocimiento es información en acción” Carla O’Dell.

Responsables de ciberseguridad en las organizaciones.

Dentro del ámbito organizacional actual la falta de responsables, es decir, la inexistencia de responsabilidades directas en cuanto a las estrategias de seguridad de la información afecta directamente a la eficacia de la estrategia de seguridad de nuestros datos y, por ende, de la información en la organización. Esto provoca que la ciberseguridad sea vista como uno de los grandes desafíos, así como aspectos como la sofisticación de las amenazas y el desarrollo de tecnologías emergentes.

La seguridad de la información es un asunto de personas, procesos y tecnología“, Bruece Schneier.

Puesto que las amenazas en cuestiones de ciberseguridad han venido a raíz de la interconectividad de las organizaciones, se puede responsabilizar al departamento de IT de mantener seguro nuestro entorno industrial.

Sin embargo, cuando se trata de una organización, ya sea grande o pequeña, la seguridad cibernética es transversal a toda la empresa y tiene que empezar por sus empleados.

La cadena más fuerte siempre se rompe por el eslabón más débil“.

Debemos que tener en cuenta que el factor humano es la forma más fácil de entrar en una red. Por muy sofisticada que sea la linea de defensa de una empresa, compleja la red de trampas de seguridad o robusto el firewall corporativo, simplemente con la contraseña de alguien y navegar a través de la red, los ciberdelincuentes pueden encuentrar lo que están buscando.

Por lo tanto, la formación, concienciación y la dirección siguen siendo algunos de los componentes más esenciales del plan de seguridad de una empresa. El departamento IT es el idóneo para liderar la gestión de la ciberseguridad; acompañado y secundado por los responsables de OT. No debemos descargar todo el trabajo sobre unas pocas personas.

La seguridad cibernética es responsabilidad de todos. La dirección debe proporcionar la estrategia global para proteger los intereses de la empresa. Los responsables IT deben mantenerse al día con las últimas tendencias y desarrollos para mantener tanto a su personal y al resto de empleados informados. Los responsables de OT deben implementar las medidas y recomendaciones provenientes del IT. Los empleados deben ser conscientes del riesgo que podrían representar para la red de la empresa.

Bajo nivel de capacitación sobre ciberseguridad

La ciberpreparación la lideran las grandes corporaciones de más de 250 empleados, con un 15% de empresas ciberexpertas y un 18% de ciberintermedios, y se confirma la falta de preparación de las pymes españolas, con un porcentaje de cibernovatos que alcanza el 79%.

El estudio del CCI también revela la falta de formación y cualificación en temas de ciberseguridad que muestran las empresas. Pese a ser un factor clave para las organizaciones.

Las 5 variables que definen a un ciberexperto o una buena preparación ante posibles ciberataques son: tener definida una estrategia, estar preparados para gestionar un ataque, tener un programa de formación para empleados, desarrollar simulacros para medir la preparación y tener un seguro de ciberriesgos.

Cualquier empresa, no importa su tamaño o actividad, es vulnerable a sufrir ataques cibernéticos tanto internos como externos. Es necesario que las compañías estén preparadas, con el fin que la repercusión del ataque en el negocio sea mínima.

Desgraciadamente un gran porcentaje de las empresas son vulnerables, o muy vulnerables, ante ataques por no contar con personal cualificado al respecto.

Diseño de la ciberseguridad.

Reza el refrán: “Más vale prevenir que curar“. Y en cuestión de ciberseguridad también es aplicable este refrán.

A la hora de acometer un nuevo proyecto debemos empezar a tomar medidas sobre ciberseguridad. Entre los requisitos al inicio de proyecto es necesario ir planteando cuestiones relacionada con la protección de nuestros datos.

Las empresas deben realizar preguntas a los proveedores de IT (internos o externos) tales como: estrategia cibersegura, estándares en los procesos, ley, marco regulatorio, recursos humanos, I+D, verificación, gestión de terceros proveedores, fabricación, resolución de problemas, defectos/vulnerabilidades de los sistemas y, finalmente, auditoria.

El informe del CCI revela que la medidas actuales van encaminadas a proteger la LAN y los datos. Del mismo modo, expone que aún las empresas no están concienciadas sobre la WAN. Cosa muy grave, ya que la “nube” se puede ver comprometida por este tipo de descuidos.

Principales medidas que suelen tomar las empresas.

Para proteger la información de nuestras empresas debemos mantener su confidencialidad, disponibilidad e integridad de nuestros datos. Por este motivo se deben crear políticas de seguridad que incluyan, tanto las medidas preventivas como las correctivas. De esta forma evitaremos robo, manipulación y fugas de información.

Entre las principales medidas que suelen tomar las empresas nos encontramos las siguientes:

  • Firewalls. Los cortafuegos son una parte esencial del sistema, están diseñados para bloquear el acceso no autorizado permitiendo, al mismo tiempo, comunicaciones autorizadas. Se trata de dispositivos configurados para permitir, limitar, cifrar y/o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
  • Antivirus. Programas cuyo objetivo es detectar y/o eliminar virus informáticos, malware, spyware, gusanos, troyanos, rootkits, virus zombie, etc.
  • Backups. Llámalo como quieras: copia de seguridad, copia de respaldo, copia de reserva o backup. Pero tener una copia de los datos originales para disponer de un medio para recuperarlos en caso de su pérdida te quitará muchos dolores de cabeza tener en caso de algún incidente.
  • IDS, Cifrado,… . La detección de intrusos a nivel de red (IDS) y el cifrado de comunicaciones también son medidas que suelen tomar las empresas para proteger los datos de la organización. De hecho, el motivo por el cual las comunicaciones suelen cifrarse es para que ningún elemento intermediario pueda entender los datos entre cliente y servidor.
  • White Listing. Una lista blanca o lista de aprobación es una relación o registro de entidades que, por una razón u otra, suelen ser de nuestra confianza y poseer algún privilegio particular, servicio, movilidad, acceso o reconocimiento.

Estas son las principales, aunque podemos tomar muchas más. Las medidas de seguridad deben adaptarse a las características concretas de cada empresa. Según el INCIBE las medidas básicas a aplicarse independientemente del tamaño o actividad de la empresa son:

  1. Control de acceso a la información. Tomando como norma el principio del mínimo privilegio, debemos permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad. Las aplicaciones y sistemas empresariales deben estar correctamente actualizados a sus últimas versiones y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad. Copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa, conservándolas en un lugar seguro alejado de la fuente de datos original.
  4. Cifrado de la información. Cifrado de los soportes que almacenan los datos y de las comunicaciones con las que los transmitimos.
  5. Contraseñas robustas. Admin/Admin; Usuario/1234; root/toor; etc/ect., ¿Cuándo nos daremos cuenta de la importancia usuario/contraseña?. Proteger mediante contraseñas robustas y personalizadas la información de nuestras empresas es el primer paso para la ciberseguridad.

Marco regulatorio

Es importante la existencia de un marco regulatorio respecto a ciberseguridad. Un marco regulatorio es una compilación ejecutiva de las leyes y reglamentos referentes a un tema concreto. La importancia del mismo es establecer un punto de partida y unos requisitos mínimos para, al menos, tener nuestros mínimamente respaldados.

En la sociedad del conocimiento, la información es uno de los principales activos de las organizaciones. La defensa de nuestros datos es una tarea esencial para asegurar la continuidad y el desarrollo de los negocios, así como también debe ser una exigencia legal (protección de la propiedad intelectual, protección de datos personales, servicios para la sociedad de la información).

Ya que no todos somos unos expertos respecto al tema, el marco regulatorio nos ayudará a conocer aquellas reglas básicas a tener en cuenta. El informe del CCI curiosamente remarca que las empresas utilizan la LOPD para proteger los datos (es un punto de partida, no cabe duda). Y aquellas con mayor conocimiento, aplican la ISO 27001 de Sistemas de gestión de la seguridad de la información.

Compromiso de los CEOs

El compromiso y la responsabilidad de los consejeros delegados es un aspecto crítico para la ciberseguridad de las compañías.

Ellos son la última palabra a la hora de tomar decisiones en aspectos claves para el devenir de las empresas. Por lo tanto también son de ellos los principales promotores de las acciones para proteger las empresas frente a ciberataques.

Las principales motivaciones para tener nuestras empresas protegidas son:

  • Recomendaciones de consultores, proveedores y expertos.
  • Mejora continua de las organizaciones.
  • Incidencias ocurridas
  • Exigencias ante auditorias.
  • Exigencias de los mercados o clientes.
Llegar lejos se consigue acompañado
Si quieres ir rápido camina, solo si quieres llegar lejos ve acompañado

La voz de los expertos.

El CCI, de forma acertada, invitó a una series de expertos en ciberseguridad de diferentes ámbitos de la sociedad. Ellos dieron su visión respecto al tema, clarificando y ampliando los conceptos que se desarrollaron en la jornada.

Formación y Concienciación.

Realizar cursos de formación y planes de concienciación dentro de las organizaciones es de vital importancia en temas de ciberseguridad. Al fin y al cabo son muchas la amenazas producidas por negligencias humanas. Estas medidas van encaminadas a:

  • Explicar los principales problemas y vulnerabilidades asociadas a las redes industriales.
  • Concienciar, dar a conocer y utilizar las principales herramientas que permiten diagnosticar el estado de una red industrial.
  • Enseñar buenas prácticas y tecnologías que permiten incrementar la seguridad de las redes industriales.
  • Esbozar recomendaciones que permitan optimizar, fortificar e incrementar la seguridad de las redes de control industrial en las organizaciones.

Podemos tomar como ejemplo el Kit de concienciación del INCIBE para mejorar la seguridad desde el corazón de nuestras empresas: las personas.

Apoyo de organismos públicos.

La ciberseguridad sigue siendo una asignatura pendientes para muchas pymes. Es necesario el esfuerzo de organismo públicos para concienciar a las empresas sobre la importancia de tener medidas frente a los ciberataques.

Es importante que los entes públicos apoyen con formación, asesoramiento, mentorización, financiación, etc., en medidas sobre la protección de los datos de las organizaciones, para fomentar el crecimiento del tejido empresarial.

Cibermercado negro.

Y es que el robo de información se está convirtiendo en un negocio muy rentable. Los ciberdelincuentes se están especializando y cualquiera puede contratar los servicios de esta nueva clase de criminales.

El negocio del cibercrimen está más profesionalizado que nunca, lo que significa que hay grupos especializados en diferentes aspectos del mismo: creación de malware y exploits, distribución del malware, etc.

Ya están apareciendo los paraísos cibernéticos, lugares donde cometer crímenes digitales no está penado. En este tipo de lugares los delincuentes se encuentran totalmente a salvo de la justicia.

Y es que el mundo cibernético no se queda en nuestras máquina. Se está hablando mucho de la ciberguerra. Más que nunca los ciberataques y la política están relacionados. Parece mentira, pero la ciberguerra y ciberespionaje no son argumentos de películas de ciencia ficción, son hechos que están ocurriendo cada día. Es más económico lanzar un atáque cibernético que mandar un escuadron a una misión vélica.

Y es que todo se reduce a eso, al marco económico. Las cibermonedas, difíciles de rastrear, están facilitando que los criminales digitales actúen y proliferen.

Robar nuestros datos tienen dos objetivos principales: pedir un rescate por ellos o venderlos a terceros.

Según el criterio de los expertos: “Los malos son malos, no tontos“. Cada día que digitalizamos nuestras empresas y nos abrimos al mundo, la superficie de ataque de los cibercriminales aumenta.

No se puede mejorar lo que no se conoce.

Todo pasa por conocer mejor nuestra organización. No tenemos inventariado nuestros equipos, licencias, actualizaciones. Les estamos dejando vía libre a que entren en nuestras organizaciones.

Los equipos están llenos de vulnerabilidades, puertas traseras, puertos abiertos, recovecos por donde los criminales pueden entrar en nuestras organizaciones.

En primer lugar debemos conocernos mejor a nosotros. Una vez realizada esa tarea, debemos conocer mejor a nuestros enemigos. Y para eso la inteligencia artificial es una herramienta fabulosa.

Las nuevas tecnologías no están dotando de herramientas en la lucha contra el cibercrimen. Pero al igual que nosotros hacemos uso de ellas, los criminales también y es que, lo vuelvo a repetir, “los malos son malos, no tontos”.

Se necesitan organismos multidisciplinares, dotados de herramientas diferentes y cualidades diferentes para luchar en esta guerra que se está librando en el mundo virtual.

La seguridad no es un producto, es un proceso“, Bruce Schneier.

Conclusiones.

El actual escenario económico denominado VUCA (Volatility, Uncertainly, Complexity & Ambiguity; o en español volatilidad, incertidumbre, complejidad y ambigüedad) está forzando a las organizaciones industriales a ser “ágiles”, es decir, disponer de una capacidad de respuesta rápida, flexible y adaptada a los nuevos canales comerciales, a las demandas a corto plazo, y a producir servicios o productos cada vez más personalizados.

En la sociedad del conocimiento la información es uno de los activos más importantes de las organizaciones. Es un tema suficientemente importante para prestarle la atención que se merece.

Las organizaciones industriales requieren que IT (Information Technology) y OT (Operation Technology) adopten un modelo más acorde con las necesidades actuales del mercado. Un modelo de trabajo ágil, incrementando el conocimiento, la comunicación, la colaboración y la coordinación entre IT y OT.

Actualmente no tenemos los perfiles necesarios para llevar a cabo tal misión en nuestras empresas. La falta de capacitación es un problema al que debemos hacer frente más pronto que tarde. Desde todos los estamentos de la sociedad se debe fomentar este tipo de perfiles y que se prevé tendrán un papel fundamental en las empresas del futuro.

Al igual que las personas se realizan chequeos periódicos o visitan al médico para revisar el estado de salud, las organizaciones deberían realizar diagnósticos referentes a la ciberseguridad. La hiperconectividad ha abiertos nuevas puertas (y ventanas) a los ciberdelincuentes. Por este motivo el CCI remarca la importancia de realizar diagnósticos periódicos de ciberseguridad en nuestras organizaciones, bien sean por agentes internos o externos. Y sobretodo debido al crecimiento de las conexiones remotas que tenemos en nuestras organizaciones.

En general, las empresas no tienen o están provista de un protocolo de gestión de incidentes. El informe del CCI identifica que las organizaciones muestran un comportamiento reactivo frente a ciberataques.

Para conseguir esto, existen una serie de buenas prácticas y tecnologías específicas que ayudan a optimizar, fortificar e incrementar la ciberseguridad (disponibilidad, integridad y confidencialidad de los datos) en dichas redes. Entre ellas se pueden destacar las siguientes:

  • La realización de auditorías de red que permiten analizar y conocer el estado actual de su tráfico y de la visibilidad existente entre diferentes segmentos de la red.
  • La identificación de vulnerabilidades específicas asociadas a los sistemas.
  • La segmentación física y lógica de las redes IT/OT y la fortificación mediante firewalls, zonas críticas y/o la aplicación de normativas.
  • La incorporación de sistemas de detección de intrusos no invasivos, basados en comportamiento o en firmas o señuelos (honeypots).

Fuentes

La importancia de compartir conocimientos

¿Quién es el responsable de ciberseguridad en su organización?

Expertos en ciberseguridad, uno de los perfiles más buscados en 2018

Huawei establece los requisitos de ciberseguridad para empresas TIC

Las 5 medidas básicas para proteger tu principal activo: la información

Certificación ISO 27001 de Sistemas de gestión de la seguridad de la información

Mejores prácticas y tecnologías para incrementar la seguridad y la disponibilidad de las redes de control industrial
Manufacturing Technology Program

Deja tu opinión

Si te ha resultado útil el artículo. O crees que el contenido es de valor. Si tienes alguna sugerencia u opinión… Te agradezco que dejes un comentario o te pongas en contacto conmigo. De esta forma entre todos iremos mejorando un poco más cada día. Cultiva una cultura Kaizen. Gracias
Contacto

¿Por qué compartir este contenido?

Desde mi punto de vista, compartir conocimiento significa entender la vida desde un punto de vista proactivo. Debido a que nuestro conocimiento está estrechamente ligado a nuestra identidad.

Quizás a veces te hayas preguntado por qué compartir contenido.

Knowledge Transfer

Hoy, más que nunca, compartir es tremendamente sencillo, fácil y accesible. Compartir nos hace sentir generosos y desinteresados, Nos convierte en una fuente emisora de contenido de valor.

Está genial aprovechar conocimiento de los demás, pero ¿no es genial invertir eso y aportar el tuyo también?

Desde aquí me gustaría pedirte que compartas este artículo. Me ayudarás a difundir mis ideas y a hacer mi aportación al mundo un poco más grande.

Deja un comentario