Ciberamenazas: ¿Su estrategia de seguridad industrial actual es suficiente?

Es una batalla constante y es mucho lo que está en juego. La lucha contra las ciberamenazas no tiene fin y el entorno cambia continuamente. Puede resultar difícil adoptar una estrategia de seguridad industrial suficiente, pero una cosa está clara: el no estar preparado tiene un alto precio y las amenazas continúan aumentando.

A nadie le sorprende que los ciberdelitos estén aumentando. Desgraciadamente, a los ciberdelincuentes les compensa serlo, pues obtienen cada vez más y más ganancias.  En los últimos dos años, en las compañías se han producido pérdidas aproximadas de 11.700 millones de dólares (9.916 millones de euros) debido a los ataques de ransomware y, al menos, un 53 % de fabricantes industriales han experimentado un ataque de ciberseguridad en sus instalaciones.

Las compañías industriales son un objetivo de especial interés para los ciberdelincuentes por varios motivos. En primer lugar, muchas de estas compañías están trabajando con infraestructuras heredadas, sin parches y no cuentan con recursos cualificados para abordar de forma eficaz los riesgos cibernéticos. Los enemigos saben que estos entornos cuentan con muchas vulnerabilidades y que, si estas empresas son atacadas, sufrirán consecuencias  considerables. Por ello, dada la gravedad de la situación, ¿por qué las empresas no abordan esta situación? Para muchas empresas estos problemas están en su agenda, pero es difícil establecer una estrategia de seguridad integral y adecuada que aborde estos problemas.

Problemas a los que se enfrenta una infraestructura industrial

• Gestión, administración y operación de la ciberseguridad: Si no se aplican unas políticas y procedimientos adecuados, es muy difícil mantener un entorno seguro. Un primer paso fundamental es diseñar y adoptar normas de ciberseguridad apropiadas y asegurarse de que cuentan con la aceptación de la dirección de la empresa. Es necesario estar al día sobre los cambios en la normativa de seguridad industrial, ya que la tecnología cambia rápidamente y estar actualizado permitirá afrontar los problemas de los sistemas y protocolos de control industrial desfasados.
• Falta de competencias: La falta de personal cualificado pone a muchas empresas en desventaja. Contar con empleados bien formados que entiendan las normas y las cumplan, con roles y responsabilidades claramente definidos, ayudará a abordar los problemas de ciberseguridad y hará que los empleados sean más productivos.
• Estructura organizativa: Si una empresa no ha adoptado un proceso de gestión de riesgos, necesita encontrar la forma de que todo el mundo se implique, entendiendo la problemática en el entorno OT. Es común que existan problemas de integración de nuevas tecnologías, de encontrar las herramientas adecuadas para gestionar la  infraestructura o que incluso existan demasiados datos sin capacidad de análisis que aporten información de valor.

Una vulnerabilidad muy común es que los entornos de automatización industrial están deficientemente inventariados. Si no se conoce qué es lo que está conectado al entorno, no es posible aplicar seguridad. Esta importante cuestión se puede solucionar aumentando la visibilidad de la tecnología operacional (OT), identificando qué activos existen y cuáles son las posibles superficies de ataque. No contar con respuestas a las siguientes preguntas sobre los activos puede hacer que una empresa sea más vulnerable a los ataques:

• Ubicación: ¿Dónde se encuentra físicamente el activo? ¿Cuál es el objetivo operativo del activo?
• Dispositivo: ¿De qué tipo de dispositivo se trata y quién es el vendedor? Registro del modelo, número de serie, dirección IP, sistema operativo y dirección del control de acceso al medio (MAC).
• Aplicaciones: ¿Qué aplicaciones están instaladas y que versiones de estas apps están ejecutándose? ¿Cuál es el contexto de la configuración del dispositivo?
• Comunicación: Conexiones, protocolos, comunicaciones, frecuencia. ¿Qué dispositivos se comunican entre ellos y cuáles son esas interdependencias? ¿Con qué frecuencia se comunican estos dispositivos? ¿Estos dispositivos solo se comunican dentro de una red interna o se comunican a través de Internet?

Gestionar la ciberseguridad Industrial es un gran reto y puede que no se cuenten con los recursos adecuados para poder realizarlo todo sin ayuda externa. En ese caso, deberíamos considerar las ventajas de trabajar con un proveedor que ayude a realizar un primer inventario de los activos (Installed Base Evaluation) y una evaluación de la ciberseguridad. Esta es una buena forma de establecer los riesgos internos causados por equipos antiguos y dispositivos heredados. Y, al trabajar con un socio de confianza y experimentado que cuente con conocimientos especializados en el entorno OT, se puede estar seguro de que se cuenta con personas comprometidas que entienden las complejidades que conlleva asegurar el entorno OT. 

Cortafuegos de nueva generación

Sin lugar a dudas, un cortafuegos bien configurado es el componente clave de una ciberseguridad sólida. Después de todo, uno de sus objetivos principales es mantener lejos a los ciberdelincuentes. Pero no todos los cortafuegos son iguales, ni proporcionan el mismo nivel de protección. ¿Cómo saber, entonces, si un cortafuegos es lo suficientemente eficaz? Probablemente no lo sea, salvo que se esté utilizando un cortafuegos de nueva generación que cuente con características de este tipo:

• Prevención y detección de intrusos
• Visibilidad y control de aplicaciones
• Analítica y automatización
• Protección contra programas malignos
• Segmentación de la red
• Filtrado de URL

A la vez que es necesario esforzarse por mantener protegida la infraestructura de los hackers, probablemente  se siga necesitando proporcionar un acceso seguro a las personas que lo necesiten. Los empleados, proveedores y técnicos externos son algunas de las personas que pueden necesitar acceder a los recursos de la empresa, incluso de forma remota. Además de utilizar contraseñas seguras y cambiarlas de forma frecuente, el registro de todas las acciones permite llevar a cabo controles e investigaciones en los casos de incidentes de seguridad de la información. Contar con políticas y procedimientos de acceso y acceso remoto permitirá:

• Bloquear conexiones no autorizadas de los usuarios remotos y los activos y aplicar una única ruta de acceso
• Definir y ejecutar operaciones remotas de diagnóstico y mantenimiento  a través de aplicaciones instaladas localmente
• Supervisar, registrar y observar la actividad del usuario en tiempo real y finalizar la sesión en caso necesario.

Si el sistema de acceso no puede realizar esto, es hora de actualizarlo.

Detección de las amenazas

A pesar de estos esfuerzos, lo más probable  es que la empresa sea víctima de un ciberataque real. Si esto ocurre, lo ideal es aumentar la capacidad para detectar la amenaza tan rápido como sea posible y responder de forma eficaz. Si no se está seguro de la capacidad de detectar rápidamente la amenaza, es apropiado considerar  asociarse con una empresa que pueda proporcionar:

• Un análisis inicial de tráfico de red y los flujos ordinarios de datos
• Alertas sobre las desviaciones en tiempo real
• Análisis de la comunicaciones, incluyendo inspecciones completas a nivel de paquete en los distintos protocolos industriales
• Capacidad de visibilidad de la infraestructura, incluso con visión completa multicentro
• Funcionalidades de análisis e investigación sobre la infraestructura y las distintas plataformas de seguridad implementadas
• Gestión y administración de la sesión de acceso remoto
• Servicios de apoyo remoto

Reconocer que un ataque se ha producido es la clave para poder responder rápidamente y minimizar su impacto.

Sin lugar a dudas, se deben tener en cuenta muchas cosas a la hora de diseñar y adoptar una estrategia de ciberseguridad en una empresa, y puede que no se esté preparado para encargarse de algo de tanta envergadura sin ayuda. Contar con las políticas, el personal y la tecnología apropiadas puede suponer un esfuerzo enorme. Afortunadamente, existen servicios externos que pueden ayudar a gestionar y asegurar una red completamente. Servicios como el diseño y puesta en marcha de una zona desmilitarizada industrial (IDMZ), o la detección y respuesta de amenazas durante 24 horas de los 365 días del año, son servicios de ciberseguridad dirigidos a ayudar a las empresas a mejorar su ciberseguridad, y proporcionar a los clientes conocimientos especializados en esta área para controlar las ciberamenazas y todos los problemas relacionados.

Muchas empresas descubren que contar con un servicio con ingenieros de ciberseguridad altamente cualificados que les ayuden a mantenerse al día sobre las últimas amenazas, tecnologías y riesgos les permite centrarse en lo que ellos saben hacer mejor: innovar en la prestación de sus productos y servicios.

Frente a los hacktivistas, los ataques de estados nacionales, los terroristas, los ciberdelincuentes e incluso insiders  (infiltrados) que intentan alterar las operaciones, sencillamente no se puede permitir el no estar preparado. Estas cuestiones  son solo algunos de los problemas que se deberían tener en cuenta al evaluar la estrategia de seguridad industrial. Si ya se ha detectado la existencia de una vulnerabilidad en una de estas áreas, puede que también existan otras. Y dado que contar con una estrategia para abordar la ciberseguridad industrial de forma integral podría significar la diferencia entre estar operativo o sufrir un parón en la producción, ¿por qué arriesgarse?

Quade Nettles,

Product Manager para Cybersecurity Services

Rockwell Automation

págs. 60 a 62.