Por Ximena I. Vazquez, Industria IoT Cybersecurity Engineer de Roue
La ciberseguridad de infraestructura crítica se encarga de evaluar contramedidas para reducir los puntos débiles, aplicar controles y anticipar amenazas para estar preparados cuando se presenta un incidente o ciberataque.
En el sector energético, un incidente puede afectar seriamente el suministro de servicios de toda una nación. Y aunque la transformación digital ha ayudado a optimizar las operaciones, también ha creado nuevos vectores de ataque que podrían aprovechar terceros para secuestrar información, interrumpir operaciones y causar accidentes.
Por estos motivos, los responsables de proteger y defender los activos críticos necesitamos alinear e implementar una estrategia de ciberseguridad industrial efectiva con los siguientes factores clave en consideración:
- Reconocer el proceso
Comprender en profundidad el proceso operativo permite construir una imagen o fotografía de la operación actual y sus puntos de conexión hacia el exterior. El reconocimiento de proceso incluye a los flujos de comunicación, interdependencias entre sistemas e identificación de los activos críticos. El primer paso es realizar un inventario completo de los activos conectados a la red y sus atributos de identificación, configuraciones y roles dentro del sistema, protocolos de comunicaciones y tipo de señales que reciben o envían; desde los sensores en campo hasta los componentes de la supervisión y control del proceso.
La información del inventario es fundamental para evaluar los riesgos a mayor nivel de detalle con base en el análisis de activos y condiciones particulares del sitio, incluyendo cambios o integraciones no documentadas. El valor de esta información se obtiene a través de la identificación de vulnerabilidades conocidas y las amenazas que podrían explotarlas y afectar a la continuidad del proceso de producción.
El conocimiento integral ayuda a fortalecer los niveles de confianza y aplicar las mejores prácticas de estándares internacionales como ISA/IEC 62443 y marcos de trabajo como NIST 800-82. Es relevante proteger primero a las zonas del proceso o componentes críticos que fuesen indispensables para la disponibilidad del proceso de producción y del cambio a un estado seguro del sistema de seguridad (safety).
2. Colaborar entre áreas La ejecución exitosa
de una estrategia de ciberseguridad depende de ordenar y priorizar los esfuerzos dedicados a tratar los riesgos con mayor impacto durante la etapa de reconocimiento y evaluación. La clave es que los equipos deben conocer sus roles y responsabilidades ante incidentes o fallas operativas, de modo que las acciones sean coherentes y se eviten errores durante la respuesta. Las habilidades técnicas y la capacidad de actuar bajo presión son determinantes en la forma de manejar los incidentes, diagnosticar, correlacionar eventos y preservar los registros de auditoría (logs), que son la fuente principal de evidencia para entender el qué, cómo y cuándo de un ataque.
En redes industriales (OT/ICS) encontramos que los objetivos del atacante son elementos ciberfísicos que controlan válvulas, interruptores, sensores y otras tecnologías que utilizan controladores lógicos programables (PLC), unidades terminales remotas (UTR) y sistemas SCADA usados para controlar, supervisar y automatizar procesos industriales. Por la función de estos componentes en los sistemas de control, es de mayor relevancia proteger la disponibilidad, seguido de la integridad y por último la confidencialidad de la información en tránsito a través de la red OT y de su almacenamiento en repositorios como respaldos de bases de datos o copias de seguridad a utilizarse en escenarios de recuperación de un incidente como secuestro o borrado de información no autorizado.
Si una persona no reconoce la importancia de sus responsabilidades en función de su rol podría obstaculizar u omitir algunas de las acciones de respuesta e incluso manejar la información de forma indebida hasta agravar el incidente o una crisis que resultaría más compleja de resolver, y por consecuencia costosa debido al tiempo y recursos requeridos.
3. Establecer niveles de seguridad objetivo
En cada zona o área de proceso es posible establecer un nivel de seguridad diferente. Los niveles de seguridad objetivo (SL-T) son un concepto definido por el estándar ISA/IEC 62443 para orientar la estrategia de selección e implementación de contramedidas de seguridad.
Los cinco niveles de seguridad (0 a 4) establecen distintos requisitos y mejoras aplicadas a las zonas o grupos de activos con mismo nivel de protección: El nivel más bajo es cero (SL0) y sirve como indicador del número de requisitos no cubiertos para alcanzar el mínimo nivel de protección (SL1). En contraste, el nivel más alto de protección es (SL4) que podría alcanzarse.
Por ejemplo, una zona de proceso no crítica podría establecerse un nivel intermedio (SL2) y en otra zona crítica o con mayor impacto para la disponibilidad un nivel superior (SL3). En zonas con componentes críticos o funciones esenciales que en caso de ser manipuladas podrían poner en riesgo vidas, el medio ambiente o causar daño irreversible a la maquinaria y equipos industriales, el nivel de seguridad objetivo debe ser el más alto posible (SL3 o SL4), integrando redundancias, verificaciones cruzadas y controles de cambio rigurosos.
4. Alinear con estrategia de negocio
Una de las mejores prácticas de organizaciones que han demostrado capacidades de resiliencia operativa está relacionada con la alineación de objetivos tanto de negocio como de seguridad. Si bien el objetivo principal de la estrategia de ciberseguridad es proteger a los activos críticos contra posibles incidentes o ciberataques, es relevante justificar hacia las áreas de negocio la necesidad de destinar recursos y esfuerzos para garantizar la operación continua y segura de los procesos industriales.
Por esta razón, el modelo de Purdue y las referencias de niveles de seguridad del estándar ISA/IEC 62443 sirven como guía para el diseño y configuración de la red OT, apoyando la selección e implementación de contramedidas adecuadas para lograr el nivel de seguridad óptimo. El nivel de seguridad óptimo o punto de equilibrio es aquel que protege los activos requeridos con un costo razonable.
El costo de las contramedidas puede incrementarse si el alcance de la estrategia de protección no está acotado a los activos críticos para el proceso de negocio; por ejemplo, uno de los errores más frecuentes de los gerentes de negocio y de ciberseguridad es querer proteger todo con el mismo nivel de prioridad, lo que resulta costoso en comparación con un alcance limitado al conocimiento de los activos críticos del proceso.
Otro error común durante la ejecución de la estrategia de seguridad es la selección de herramientas no especializadas o no probadas en ambientes industriales. Las herramientas deben ser compatibles con entornos industriales, tolerar condiciones extremas y soportar protocolos propietarios de los fabricantes de los sistemas de control industrial.
La interoperabilidad limitada entre equipos puede generar vulnerabilidades o requerir convertidores y pasarelas adicionales, lo que debe evaluarse desde la arquitectura. La alineación estratégica, acompañada de una gestión de riesgos madura, permite alcanzar el equilibrio entre inversiones tecnológicas, esfuerzos humanos y niveles de protección esperados. Así, la ciberseguridad deja de ser un elemento reactivo para convertirse en un pilar de sostenibilidad operativa y competitividad en el sector energético.
En conclusión, la relación entre los factores clave es valiosa para el diseño y ejecución de estrategias y prácticas de ciberseguridad con perspectiva de negocio. En el sector industrial, la adopción de un enfoque o metodología de gestión de riesgos resulta fundamental para lograr el punto de equilibrio entre las inversiones en tecnologías y los esfuerzos dedicados para alcanzar el nivel de seguridad objetivo para protección de la infraestructura crítica de los procesos industriales.
