Ciberseguridad aplicada a infraestructuras críticas | Por Fabián Descalzo

 

Como sabemos, los sistemas de control industrial fueron desarrollados sin pensar en la seguridad, por lo que la posibilidad de que las amenazas de un ciberataque a Infraestructuras Críticas se materialicen es muy alta.

Por ello, las infraestructuras y los servicios críticos afrontan un gran reto en materia de ciberseguridad, y pensar en su protección requiere del rediseño de métodos técnicos y principalmente de gestión, para una administración segura en nuestro nuevo mundo cibernético y sus amenazas. Transporte, energía, salud, telecomunicaciones son algunas de las infraestructuras críticas altamente susceptibles a los ciberataques, que principalmente se ven amenazadas por las nuevas problemáticas que nos depara la innovación en la Industria 4.0.

Desde nuestra visión, denominamos “ambientes complejos” a aquellos entornos de negocios determinados por distintas áreas de especialidades técnicas, cuyos procesos de gestión o control se automatizan mediante el uso de tecnología, y esto es mucho más notable en las infraestructuras críticas industriales en donde se generan “diferentes áreas de tecnología”. ¿Cómo nos preparamos frente a esta imagen? ¿Sabemos cuales son las consecuencias a mediano y largo plazo de esta situación, que se presenta como algo natural en este tipo de organizaciones? Las tres principales amenazas a las cuales nos enfrentamos, y deberíamos de incluir dentro de nuestra gestión de riesgos, son la falta de gobernabilidad sobre la tecnología y la información, la falta de estandarización técnica y operativa y, principalmente, la visión incompleta sobre las necesidades y alcances de ciberseguridad principalmente por la falta de coordinación sobre este tema entre las diferentes áreas de la compañía

Este último punto es el principio a los problemas de gobernabilidad de la tecnología e información, ya que habitualmente desde las áreas de especialidades técnicas como las de informática médica, RPA y OT, consideran que, si bien usan tecnología, están muy alejados de ser un área de TI, y nada menos cierto que esto. La construcción de redes por monitoreo, comunicación, operación y control afecta desde empresas de salud hasta de energía, en donde empiezan a interactuar con activos que antiguamente eran mecánicos en forma digital y los que generan datos que se convierten en información tanto operativa como relacionada con su gestión, integrando estos datos en información necesaria para el cumplimiento regulatorio de sus operaciones.

Datos sensibles, personales, de generación productiva, de fallas en redes de protección, de trazabilidad alimentaria, etc., no son simplemente para conocer estadísticas relacionadas con la producción o el negocio de las infraestructuras críticas, son principalmente el foco de atención para leyes y entes regulatorios que desde los últimos años han madurado muchísimo utilizando estándares de calidad y seguridad/ciberseguridad aplicables a diferentes industrias para establecer un nivel adecuado de cumplimiento, principalmente con el objetivo de proteger a las personas y asegurarles calidad y disponibilidad de los servicios críticos.

Este ambiente aún se complejiza más frente a las nuevas metodologías en la gestión de proyectos tecnológicos que proponen formas más rápidas de dar respuesta al negocio debido a que el objetivo principal buscado es “información disponible y de rápido procesamiento”, pero estas metodologías los alejan del cumplimiento y de los controles necesarios para el aseguramiento de los datos que se procesan o transmiten mediante los diferentes sistemas que dan soporte al negocio. Esto refuerza la idea que los nuevos proyectos que requieren de la tecnología como servicio, son aquellos que están más fácilmente a merced de los errores de “visión” dependiendo del perfil de quién los lidere y de quienes funcionalmente compongan el equipo de proyecto.

Por ello, la visión frente a esta complejidad debe estar asociada a una definición estratégica por parte de la Alta Conducción de la organización de la política de ciberseguridad y seguridad de la información de la compañía, y su articulación en la implementación para toda la compañía a través de un comité de seguridad y tecnología conformado principalmente por representantes de las áreas de especialidades técnicas, Tecnología y Seguridad de la Información. Este comité es quien revisa las propuestas normativas y procedimentales del responsable de seguridad de la información (CISO), a través de las cuales se establecen las bases generales para el abordaje mediante normas y procedimientos asociados a la ciberseguridad y gestión de la tecnología, quedando en manos de las áreas de especialidades técnicas los procedimientos específicos para la gestión de sus propias plataformas (SCADA, Historia Clínica Electrónica, Sistemas Industriales, etc.), pero bajo una línea base de gobierno de la tecnología y la ciberseguridad. 

Para llegar a este punto de confluencia, tanto desde las áreas operativas técnicas como la alta conducción deben considerar la ciberseguridad y el gobierno de la tecnología como parte necesaria y crítica para el negocio, cuyas prácticas le ayudaran a mejorar la calidad y cumplimiento, pero principalmente aunar esfuerzos para optimizar y cumplir con los objetivos de su negocio. Las áreas operativas técnicas como las áreas de TI, tienen más puntos en común de los que piensan, no solo en la gestión de la tecnología sino también en las amenazas:

 

Principales necesidades de gestión de la tecnología en infraestructuras críticas

Principales ciberamenazas a infraestructuras críticas

u Identificación de activos críticos u Segmentación de ambientes y entorno (SCADA, HCE, SWIFT, Red Industrial) u Controles de gestión de seguridad u Política de seguridad de la información u Liderazgo, roles y responsabilidades u Protección de la información u Control de acceso físico y lógico u Control de cambios/administración de configuración u Revisión y mantenimiento de la documentación u Administración de parches de seguridad, puertos y servicios, software malicioso u Revisión y mantenimiento de la documentación u Plan de respuesta a incidentes de seguridad cibernética, evaluación de vulnerabilidades cibernéticas u Planes de recuperación y continuidad u Concientización y Formación u Evaluación de riesgos

u Sistemas desactualizados o sin seguridad alguna u Hardware obsoleto u Personal sin preparación adecuada en ciberseguridad y proyectos de TI u Pérdida de integridad de datos u Fuga de información u Indisponibilidad grave de servicios fundamentales u Agujeros de seguridad desde el diseño de servicios tecnológicos en áreas de operación técnica u Aumento del número de dispositivos conectados u IoT en infraestructuras críticas, por ejemplo, generadores conectados por fibra óptica u Fallos en la protección de la red u Falta de preparación y concienciación. u Mayor número de ciberataques u Mayores exigencias legales

 

Una vez más, pensar corporativamente es el principio de la solución para alcanzar un nivel aceptable de mitigación de riesgos para el negocio, sin hacerlo disruptivo, pero si asegurando sus resultados, y en el caso de las infraestructuras críticas con el fin principal de asegurar calidad y continuidad de servicios a la comunidad con el resguardo adecuado de los datos e información de sus consumidores, clientes, pacientes, etc., y principalmente teniendo en cuenta que pueden ser blanco activo frente a conflictos internacionales que derivan en una crisis de guerra, en donde como ya sabemos estos riesgos de ataque han escalado al entorno del ciberespacio.

Desde BDO entendemos esta problemática, y aportamos soluciones consultivas basadas en metodologías y estándares internacionales que brindan a este tipo de organizaciones la cobertura necesaria a sus necesidades en el control de riesgos, en el gobierno de la tecnología y ciberseguridad ya que contamos con un amplio conocimiento e integramos nuestros equipos de trabajo con las diferentes “visiones” necesarias para llevar adelante proyectos que asocian los objetivos de negocio, el cumplimiento y la tecnología.

🙌 Formá parte del Grupo Linkedin “𝐁𝐃𝐎 𝐀𝐑𝐆𝐄𝐍𝐓𝐈𝐍𝐀 - 𝐀𝐒𝐄𝐆𝐔𝐑𝐀𝐌𝐈𝐄𝐍𝐓𝐎 𝐃𝐄 𝐏𝐑𝐎𝐂𝐄𝐒𝐎𝐒 𝐈𝐍𝐅𝐎𝐑𝐌𝐀́𝐓𝐈𝐂𝐎𝐒” 🔗  https://www.linkedin.com/groups/12188431/ donde se comparte información para prevenir, proteger y educar.

Fabián Descalzo | Socio de la práctica de Ciberseguridad, Gobierno Tecnológico y Digital Risk Advisory Services de BDO en Argentina, con más de 30 años de experiencia en estos temas. Docente en la Universidad Argentina de la Empresa (UADE), Instituto Tecnológico Buenos Aires (ITBA), Universidad Nacional de Río Negro y en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland. Miembro Titular del Comité Directivo y Presidente de la Comisión de Educación de ISACA Buenos Aires Chapter (Member ID: 319287), Miembro de la Asociación Latinoamericana de Privacidad, Miembro del Comité Académico del “Cyber Security for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers).