Es probable que, a estas alturas, a muchos la digitalización les empiece a resultar un tema ya anticuado. Es cierto que, desde hace más de una década, las empresas están intentando mejorar su forma de operar a través del concepto de transformación digital, aplicando la flexibilidad, la capacidad de respuesta y la eficiencia del software para optimizar y modernizar los procesos; reemplazando las formas de trabajo anteriores. Sin embargo, es importante que este análisis continúe, si tenemos en cuenta que los horizontes de la digitalización siguen expandiéndose, y ya estamos vislumbrando el gran impacto que tendrá en la tecnología operacional (OT) y que se materializará en la Industria 4.0 o incluso en el concepto de Industria 5.0 que ya se está empezando a utilizar.

A medida que se produzca una convergencia de los sistemas IT y OT cabe esperar que surja una especie de choque cultural entre los profesionales de ambas disciplinas. Con la digitalización, los departamentos IT han desarrollado una mentalidad que da prioridad a la agilidad, buscando nuevas formas de proteger y utilizar los datos.

Por su parte, la disponibilidad, la continuidad y la fiabilidad son primordiales en el ámbito de la tecnología operacional, ya que, en el caso de los procesos físicos críticos, incluso breves periodos de inactividad pueden tener un impacto económico negativo, además de consecuencias potencialmente peligrosas. En este contexto, encontrar soluciones que aborden simultáneamente la agilidad y la fiabilidad será un reto importante.

Si bien es algo que puede lograrse, el desafío de alcanzar esa combinación podría compararse con el diseño de aviones. Aunque, a primera vista, la estabilidad y la fiabilidad parecen ser la prioridad de la aviación, los ingenieros llevan tiempo tratando de aprovechar aquellas situaciones en las que lo contrario puede ser positivo. Es decir, un vuelo más estable podría ser un vuelo más seguro, pero también significa que el avión tiene que luchar contra esa estabilidad para girar, un verdadero problema, especialmente, para los aviones de combate.

Ciberamenazas en el espacio físico

A medida que la Industria 4.0 crea una convergencia cada vez mayor entre las tecnologías IT y OT, los profesionales de los dos ámbitos deberán desarrollar nuevas formas de entenderse mutuamente, junto con una nueva comprensión del sistema en su conjunto, si quieren lograr un enfoque similar que reúna lo mejor de ambos mundos con respecto a la agilidad y la estabilidad. Y si hay algo que la IT y la OT tienen en común son los datos.

Uno de los mayores retos en el camino hacia ese futuro será la cuestión de la seguridad. La interconexión de los sistemas TI y OT está impulsada por el deseo de interactuar con la OT de una manera orientada a los datos, al igual que interactuamos con muchos otros sistemas. Esto aporta las ventajas del software a la OT -velocidad, agilidad, gestión remota- y supone llevar nuevas capacidades de red y procesamiento al borde de las operaciones de las empresas.

Sin embargo, esto también significa que los riesgos asociados al software se introducirán en los contextos OT. Aquí, volviendo al ejemplo de la aviación, la lección clave del X-29 podría ser que los beneficios conllevan consecuencias, y todos en la industria deben ser conscientes desde el primer día de que esta digitalización creará nuevos y mayores riesgos. Así, sin una consideración y gestión cuidadosas, los ciberataques a las líneas de producción, a la infraestructura de los edificios, a las redes de energía y transporte y a las instalaciones de tratamiento de aguas son inevitables.

Existen varios ejemplos reales de uso de la OT en ciberataques. Ya en 2013, una brecha de gran repercusión en el retailer estadounidense Target se llevó a cabo a través de un acceso remoto a un sistema HVAC, planteando la preocupación de la ciberseguridad de la cadena de suministro de los proveedores OT (en este caso HVAC). Este mismo año hemos asistido a importantes ataques que implicaban un acceso remoto comprometido a distintos sistemas OT en la industria y en los servicios públicos de agua (por ejemplo, en Oldsmar, Florida, en los Estados Unidos). También se han producido otros ataques IT (por ejemplo, ransomware) que han provocado el cierre de oleoductos y la consiguiente escasez de combustible en el este de EE.UU. Desde Stuxnet, el primer gran ataque dirigido contra equipos de sistemas de control industrial (ICS), los ataques contra sistemas que no son IT han evolucionado.

Como demuestran estos ejemplos, los sistemas IT y OT son ya profundamente dependientes entre sí, al margen de hasta qué punto los profesionales que trabajan en esos ámbitos sean conscientes de ello. A medida que las dos infraestructuras sigan convergiendo, el alcance de estos ataques aumentará. Por lo tanto, se necesita una nueva visión de la ciberresiliencia: una que funcione tanto en el ámbito físico como en el virtual, y que cubra al mismo tiempo las necesidades de estabilidad y agilidad.

Personas, procesos y tecnología operacional

Para un problema tecnológico como éste, solemos recurrir en primer lugar a una solución tecnológica. De hecho, ya existen herramientas y sistemas que ofrecen los tipos de ciberseguridad que conocemos, como cortafuegos y soluciones de monitorización, para los sistemas OT. Sin embargo, la tecnología por sí sola no es suficiente, sino que ésta proporciona un conjunto de herramientas que deben ser aplicadas correctamente por personas formadas y utilizadas dentro de procesos que tomen en cuenta la ciberseguridad.

Por ello, la ciberseguridad OT no debe depender únicamente de la tecnología. La aplicación de la tecnología para resolver los problemas OT será un proceso de aprendizaje en el que equipos que históricamente se han considerado distintos entre sí desarrollen una forma de trabajar basada en una mayor colaboración.  Por tanto, el primer paso de esta nueva ciberresiliencia tendrá que ver con las personas. En este sentido, será esencial impartir una formación específica para todos los equipos con el fin de establecer un lenguaje común y una metodología de buenas prácticas para abordar estas nuevas amenazas y soluciones.

El segundo paso requerirá de una revisión detallada de los cambios que se deben acometer en el proceso. Es probable que los sistemas de gestión, monitorización y supervisión sean bastante distintos entre OT y IT, ya que recogen datos diferentes, observan métricas distintas y siguen planes de respuesta y recuperación diferentes. La experiencia demuestra que la acción de una organización ante los ciberataques debe estar cohesionada para ser eficaz, y eso exige una planificación colectiva. Aquí son esenciales los procedimientos unificados de inicio de sesión, las normas de gestión de acceso y otras prácticas organizativas, también para partners y el resto de personal externo.

Una vez tenemos esta base, la tecnología constituye un tercer paso eficaz. Durante una iniciativa de digitalización industrial, es importante auditar la arquitectura de dispositivos conectados, comprendiendo en detalle todo lo que se unirá a la red de la organización y volviendo a comprobar que la realidad de la situación coincide con las expectativas. Con una imagen clara de la nueva infraestructura, se pueden implementar las autorizaciones y una defensa de los límites adecuadas. Estos equipos también deben proceder de proveedores que integren las normas de seguridad específicas de su ámbito de operación, como es el caso de la IEC 62443 para sistemas de control industrial.

En última instancia, la agilidad y la estabilidad se integrarán de diferentes maneras en las distintas organizaciones, pero las conexiones formadas por esta integración siempre requerirán de una visión holística de la superficie de ataque. Con una gestión adecuada, la Industria 4.0 será una era de mayor seguridad, así como de mayor flexibilidad.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre