16 minute read
ABB ayuda a proteger los activos críticos a multitud de compañías en todo el mundo
Las soluciones y servicios avanzados digitales de ABB, dan respuesta a una de las mayores preocupaciones actuales de todas las organizaciones: la ciberseguridad. La ciberseguridad en el ojo del huracán. ¿Cómo pueden protegerse las organizaciones? ABB ayuda a proteger los activos críticos a multitud de compañías en todo el mundo
46 n La automatización de tareas como el mantenimiento o el análisis y gestión de los datos resultan indispensables para los equipos encargados de la ciberseguridad.
El creciente aumento de las amenazas de ciberseguridad en infraestructuras críticas alrededor del mundo, como por ejemplo, infraestructuras de energía, de agua o de transporte, ha supuesto que la ciberseguridad sea una prioridad clave en la agenda de todas la organizaciones.
Por este motivo, ABB, proveedora de tecnología digital para la industria, se ha sumado recientemente a una nueva alianza estratégica con el fin de proporcionar un marco técnico y organizativo para una tecnología operativa (OT) segura y protegida. La Operational Technology Cyber Security Alliance (OTCSA, Alianza para la ciberseguridad de la tecnología operativa) aspira a salvar peligrosas brechas de seguridad para la OT, así como infraestructuras críticas y sistemas de control industrial (ICS, por sus siglas en inglés), con el fin de prestar apoyo y mejorar la vida cotidiana de los ciudadanos y trabajadores de un mundo en constante evolución. Para fundar la OTCSA, ABB se ha aliado con destacadas empresas de la industria: Check Point Software, BlackBerry Cylance, Forescout, Fortinet, Microsoft, Mocana, NCC Group, Qualys, SCADAFence, Splunk y Wärtsilä. La propiedad de los datos y la accesibilidad a los mismos son cuestiones fundamentales. Con ABB, los datos siempre son propiedad del cliente; es su propiedad intelectual. La integridad de los datos sigue las normas y estándares de ciberseguridad de ABB, al igual que la accesibilidad a los datos.
¿Qué papel juega ABB en relación con la ciberseguridad? Ayuda a multitud de compañías en todo el mundo, a proteger sus activos críticos, a identificar vulnerabilidades y posibles amenazas, y a desarrollar un plan de protección de los activos, en cumplimiento con las normas internacionales, las regulaciones nacionales y las políticas corporativas. Además, aborda la ciberseguridad a lo largo del ciclo de vida tanto de los sistemas como de los datos. Las soluciones y servicios avanzados digitales de ABB permiten a sus clientes implementar un modelo sostenible de mejora continua. Tres factores influyen de manera determinante a la hora de abordar la problemática de la ciberseguridad. ● En primer lugar, las ciberamenazas siguen aumentando y, en un esfuerzo por abordar todos los riesgos de ciberseguridad, se han creado normas y políticas focalizadas para enfrentarse a los rápidos cambios tecnológicos. Ello supone un doble reto para las empresas, implementar los procesos necesarios y mantener a su personal actualizado y prevenido, para poder afrontar los nuevos retos.
La Comisión Electrotécnica (IEC) serie 62443 proporciona una guía para mejorar y mantener la ciberseguridad del Sistema de Control Industrial (ICS, por sus siglas en inglés). Incluye desde informes técnicos, normas y procedimientos recomendados agrupados por categorías. El primer grupo, General, es para todas las entidades responsables de la fabricación, implementación o gestión del ICS. Los demás grupos están limitados en su aplicación y corresponden a propietarios/operadores, integradores y vendedores, respectivamente.
n El creciente aumento de las amenazas de ciberseguridad en infraestructuras críticas alrededor del mundo la ha convertido en una prioridad clave en la agenda de todas la organizaciones.
● En segundo lugar, el desarrollo de los ICS durante las dos últimas décadas ha ido transformando digitalmente la industria. El OT presente en gran parte de los equipos industriales se ha ido integrando de manera exponencial en los componentes de la Tecnología de la Información (IT), permitiendo que los equipos aprovechen el software para mejorar su gestión y su rendimiento, mediante la recopilación y el análisis de los datos.
Asimismo, el apalancamiento de proveedores externos y los nuevos servicios basados en la nube dan como resultado áreas adicionales de riesgo que antes no existían en ICS. ● En tercer lugar, las organizaciones necesitan mirar la seguridad desde un punto de vista holístico. Los tres fundamentos de la seguridad cibernética son las personas, los procesos y la tecnología.
Existen organizaciones que abordan nuevos escenarios colaborativos mediante la creación de equipos integrados por personal de IT y de OT dentro de la misma organización. Otras recurren a proveedores externos como ABB, para que se les proporcine la experiencia precisa en IT/OT, a través de su portafolio de soluciones y servicios avanzados digitales.
La automatización de tareas como el mantenimiento o el análisis y gestión de los datos resultan indispensables para los equipos encargados de la ciberseguridad. La toma de decisión en tiempo real ante cualquier ciberamenaza es clave. En muchas ocasiones, las organizaciones no tienen un inventario actualizado y completo de todos los componentes operativos en su ICS o en la de terceros proveedores de servicios. Esto puede ocasionar un efecto negativo en el caso de una vulnerabilidad, ya que una organización trata de entender el impacto y reaccionar en consecuencia lo antes posible. Cuando no existe un sistema de gestión de activos cibernéticos, el esfuerzo que se requiere se traduce en un aumento de los costes y en tiempos de reacción prolongados. En palabras de Peter F. Drucker: “No puedes medir lo que no sabes”. Históricamente los sistemas de ICS no se diseñaron con vistas a la ciberseguridad. Mientras que las nuevas organizaciones pueden tener más oportunidades de implementar estándares de ciberseguridad en sus nuevos productos, para los sistemas ICS más antiguos puede ser una tarea más tediosa. Además, hay que tener en cuenta que muchos ciclos de vida de productos se cuentan en décadas, en lugar de años, y no siempre es sencillo encontrar capital para reemplazar o mejorarlos rápidamente.
¿Qué tipos de riesgo pueden existir? El riesgo puede dividirse en dos categorías: riesgo operacional y ciberriesgo. En términos de riesgo operacional, los efectos tienden a ser más tangibles, incluyendo fallos en el equipo, seguridad del personal o impacto. Por otro lado, el objetivo del ciberriesgo consiste en gestionar la exposición de una organización a las vulnerabilidades que puedan causar pérdida de datos, problemas de privacidad o una reducción de la seguridad de la red, con los consiguientes perjuicios en tiempo de actividad, eficiencia e ingresos. La pérdida y el daño a la reputación son áreas de enfoque clave, independientemente del tipo de riesgo.
Algunas buenas prácticas recomendables para abordar la ciberseguridad: � Elija un método consistente para cuantificar el riesgo de ciberseguridad. En teoría, esto es sencillo, pero el método debe de ajustarse a cada organización. � La organización holística (no sólo IT/OT/Tecnología) debe establecer los umbrales de riesgo y contar con el reconocimiento de la organización en general. El umbral de riesgo debe ser de fácil comprensión para todos, y se debe definir explícitamente lo que es aceptable y lo que no lo es, permitiendo medir el riesgo en una escala de 1 a 5. � Realinear el riesgo en ciberseguridad con el riesgo empresarial. � La seguridad requiere de esfuerzos permanentes. Las organizaciones deben esforzarse por aumentar la gestión de los riesgos en ciberseguridad, así como su optimización de manera periódica.
En este sentido, los programas de ciberseguridad de ABB, con el respaldo de la OTCSA, identifican continuamente nuevos riesgos potenciales, para sus clientes, y revisan periódicamente las decisiones históricas, para determinar si la nueva información afecta a sus evaluaciones y a las medidas adoptadas.
Ignacio García Digital Advanced Services Energy Industries, ABB en España www.abb.es
Entrevista a José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales de INCIBE “Hace falta mucha más concienciación en ciberseguridad, tanto a nivel gerencial como operativo”
José Manuel Roviralta, técnico de ciberseguridad del área de Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE) expone en esta entrevista cuáles son las amenazas a las que se enfrenta la industria y qué pasos debe seguir para crear una estrategia completa y adecuada.
Automática e Instrumentación: ¿Qué es INCIBE? ¿De quién depende y a quién dirige principalmente sus servicios y capacidades? José Manuel Roviralta: El Instituto Nacional de Ciberseguridad de España (INCIBE) es una sociedad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, consolidada como una entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación, profesionales, empresas y especialmente para sectores estratégicos.
AeI: En qué consiste el programa Activa Ciberseguridad promovido por el ministerio de industria desde la iniciativa Industria Conectada 4.0 y cómo participa INCIBE? J.M.R.: Activa Ciberseguridad es un programa piloto de Innovación en Ciberseguridad de la pyme impulsado por la Secretaría General de Industria y de la pyme en el marco de la Estrategia de Industria Conectada 4.0.
El programa en concreto busca mejorar el nivel de ciberseguridad de las empresas a través de una serie de fases en las cuales, con la ayuda de expertos, evalúan su nivel actual de ciberseguridad, sus medidas de seguridad y cómo implantar otras o mejorar las existentes.
n Número de avisos relacionados con los Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT) publicados por mes durante 2019.
El papel de INCIBE en el programa es el de colaborar en una iniciativa interministerial como esta, a través de las herramientas de diagnóstico disponibles para empresas, así como los materiales publicados y que le pueden permitir mejorar su ciberseguridad. Además, ponemos a su disposición la línea telefónica gratuita de ayuda en ciberseguridad: 900 116 117 (próximamente 017).
AeI: Hoy en día, con la creciente transformación digital de las empresas en su camino hacia la denominada industria 4.0, ¿qué papel juega la ciberseguridad industrial? J.M.R.: La ciberseguridad debe formar parte dentro del proceso de desarrollo, siendo de este modo un pilar más sobre el que apoyarse. Por lo tanto, juega un papel fundamental en la transformación digital de las empresas, y aquellas que lo ignoren o lo dejen de lado podrán encontrarse en un futuro con dificultades en el mercado. Y en el mundo industrial y la industria 4.0, aunque tiene características propias que deben resolverse, ya que los elementos IoT pueden carecer de aspectos importantes para la ciberseguridad, debe contemplarse la ciberseguridad como una característica más de la digitalización y su transformación.
AeI: ¿A qué tipo de amenazas informáticas es vulnerable la industria? J.M.R.: Desde el CERT de INCIBE, el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y empresas privadas, donde se analizan las diferentes amenazas de ciberseguridad y muy especialmente, las ligadas a la industria y a los Sistemas de Control Industrial, se publica anualmente un resumen de las amenazas y su evolución en el ámbito industrial.
Intentando resumir mucho el análisis de las amenazas referentes a 2019 podemos indicar que muchas están relacionadas con errores y fallos de programación en el firmware, aspectos como desbordamientos de búfer, gestión de parámetros de manera incorrecta o fallos en el control de acceso a los dispositivos son los aspectos más comunes. Se trata en algunos casos de vulnerabilidades y fallos heredados del mundo TI y algunos impactan, por ejemplo, en los interfaces web de los dispositivos. Pero si hablamos de amenazas no podemos quedarnos solo en los aspectos técnicos y tecnológicos, es muy importante señalar que el origen de una gran parte de incidentes de ciberseguridad, también en el ámbito industrial, vienen por parte de las personas que los manejan: la falta de conocimientos de ciberseguridad, de las buenas prácticas y de la concienciación en general hacen que abramos un enlace que no debemos y que nos llega por correo electrónico, que no usemos contraseñas robustas, etc.
Si pretendemos ver la problemática de la ciberseguridad y las amenazas es importante verla en su conjunto y contemplar también a las personas que manejan la tecnología.
AeI: ¿Cuáles son los pasos que debe seguir una industria que quiera afrontar una estrategia de ciberseguridad completa y adecuada a sus necesidades?
50 n El Instituto Nacional de Ciberseguridad de España (INCIBE) es una sociedad dependiente del Ministerio de Asuntos Económicos y Transformación Digital.
J.M.R.: Lo primero que debe hacer cualquier empresa en materia de ciberseguridad es definir a nivel estratégico por la dirección su política de ciberseguridad y sus objetivos en el marco de la estrategia global de la compañía.
A continuación, debe desarrollarlo y la mejor manera de proceder es conocer cuál es su ámbito tecnológico, es decir su tecnología de la manera más detallada posible, y también su estado actual, analizando cuáles son sus debilidades y riesgos (auditoría). Una vez hecho, ya puede elaborar una estrategia en ciberseguridad que debería recoger lo que se conoce como un Plan Director de Seguridad donde deberá incluir las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de seguridad.
Cada empresa es un mundo, y el presupuesto es limitado, por eso según su modelo de negocio se tendrá que priorizar sobre qué acciones deberá tomar primero. Lo bueno es que el Plan Director de Seguridad sigue un proceso cíclico e incremental, pero no debe olvidarse que ha evaluarse con periodicidad para ver el estado de la implementación del mismo y los posibles cambios a los que se va enfrentado la empresa. AeI: ¿Cómo se pueden controlar y gestionar las vulnerabilidades que afectan a la base ya instalada de dispositivos conectados y sistemas de control de diferentes fabricantes presentes en muchas de nuestras plantas de producción? J.M.R.: Como primera medida es necesario disponer de un inventario de activos que permitan tener identificados y clasificados los dispositivos desplegados dentro de nuestro entorno industrial. Después será posible saber qué salvaguardas tomar en cada caso, las actualizaciones de seguridad y parches necesarios, además de los dispositivos que se encuentran sin soporte.
El siguiente punto es tener los dispositivos en entornos de red segmentados y securizados correctamente. Esto nos permite tener el control sobre los distintos dispositivos y en caso de que ocurra un incidente de seguridad, contenerlo de tal manera que afecte lo menos posible a otros entornos.
AeI: ¿Cuál ha sido, en los últimos años, la evolución de la protección en ciberseguridad incorporadas de serie en los sistemas de control de los diferentes fabricantes industriales? ¿Se detecta algún cambio de tendencia? J.M.R.: Sin duda los fabricantes se están aplicando a fondo en mejorar la ciberseguridad de sus productos. Muchos fabricantes están publicando los parches para sus vulnerabilidades y eso demuestra su compromiso con la ciberseguridad de sus clientes. No porque un fabricante publique más parches es menos inseguro, ya que tampoco todos los fabricantes tienen el mismo tamaño de portfolio de productos. Para nosotros, el punto crítico y el reto son los sistemas IoT e IIoT, ya que en algunos casos, por presión del mercado, de poner en marcha el último dispositivo de moda, o con las características más novedosas, no siempre se implementan las mejores prácticas de ciberseguridad, o se sacrifica un cifrado más robusto por obtener una mayor eficiencia, etc. Creemos que esto es un reto para toda la industria, también para la que fabrican sistemas IoT de consumo doméstico.
AeI: ¿Cómo van a ser las estrategias a futuro de la ciberseguridad industrial? ¿Van a adoptar o integrar otras tecnologías habilitadoras como, por ejemplo, la inteligencia artificial? J.M.R.: Como prácticamente cualquier otro sector, la inteligencia artificial también se está incluyendo en el sector industrial, sobre todo con la llegada de la industria conectada 4.0. La búsqueda de patrones y el machine learning, tanto en los procesos de automatización, como en la identificación de amenazas son algunas de las tecnologías que se están empezando a implementar. Es sin duda por donde está empezando a aplicarse la inteligencia artificial en el campo de la ciberseguridad, buscando mejorar la eficiencia en las tecnologías predictivas. Esto es un campo todavía en desarrollo y habrá que ver en los próximos años su evolución y madurez.
n Evolución de avisos por sector. El sector energía, al igual que años anteriores, el más afectado (excluyendo “otra industria”, que no es un sector propiamente).
AeI: ¿Cree que la industria está ya lo suficientemente sensibilizada para que sea consciente de las vulnerabilidades que pueden afectarle debido a un ciberataque? En este sentido, ¿piensa que hacen falta medidas de concienciación al respecto? J.M.R.: A pesar de que cada vez hay más conciencia en ciberseguridad, la industria aún no está suficientemente sensibilizada. Todavía se sigue percibiendo la ciberseguridad como un coste, cuando en realidad debe ser visto como una inversión, un ahorro para un coste futuro, reputacional, legal o de muchos otros tipos que nos puede acarrear el no hacer las cosas bien en ciberseguridad.
Un incidente conlleva efectos colaterales más allá de los posibles problemas que pueda acarrear a la producción, también tiene repercusiones legales, sobre todo teniendo en cuenta a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), y también efectos reputacionales sobre la imagen de la empresa.
Desde nuestro punto de vista, actualmente hace falta mucha más concienciación y formación en ciberseguridad, tanto a nivel gerencial, como a nivel operativo. Saber identificar a tiempo un posible incidente es vital, sobre todo teniendo en cuenta que la mayoría de campañas tienen como principal objetivo al usuario final. “El origen de una gran parte de incidentes de ciberseguridad, también en el ámbito industrial, vienen por parte de las personas que los manejan”
AeI: ¿Es necesario incluir en los análisis de riesgos para industrias de proceso o en las propias máquinas, el hipotético ataque cibernético para prever maniobras seguras de parada o desconexión? J.M.R.: Por supuesto, en caso de que un posible incidente afectase a las máquinas sería deseable su desconexión inmediata, y al menos estos casos deben contemplarse y evaluarse en los planes de protección de las infraestructuras. Se debe valorar el evitar posibles daños en la máquina, a los operadores y en la producción. No hay que olvidar que el ciberataque puede alterar las propiedades del producto que produzcamos causando daños a nivel de calidad y reputación.
Además de la posible propagación por el resto de dispositivos que se encuentren en la misma red, puede afectar en más de un punto de la planta, así que habrá que contemplar medidas no solo de parado de máquina, si no de desconexión y aislamiento, etc. Cada caso y cada industria son diferentes, así que deben evaluarse in situ dentro de los planes de protección de cada empresa.
AeI: ¿Cómo va a evolucionar el mercado de la ciberseguridad industrial en España en los próximos años? ¿existen suficientes compañías que sean capaces de analizar y ofrecer soluciones adaptadas a las necesidades en ciberseguridad de los diferentes tipos de compañías manufactureras? J.M.R.: Actualmente, la ciberseguridad es un mercado que está en constante crecimiento. La aparición, cada vez más frecuente, de empresas emergentes especializadas en ciberseguridad junto con las compañías ya consolidadas, que van añadiendo a su modelo de negocio servicios de ciberseguridad, van a permitir tener una amplia gama de ofertas que se adapte a las necesidades de ciberseguridad de cualquier industria o empresa.
