Ciberseguridad industrial

IT vs. OT

En el entorno industrial, se trabaja con los conceptos de IT (tecnologías de la información) y OT (tecnologías de la operación), y ambos son necesarios para la operatividad de la empresa. Desde el punto de vista de la seguridad, los sistemas de las tecnologías de la información tratan de priorizar la confidencialidad de los datos por encima de otros aspectos. Pero, en el caso de los sistemas de control industrial, se prima la disponibilidad y la funcionalidad.

Tenemos que enfrentarnos a la realidad de que las ciberamenazas evolucionan. Cada vez son más persistentes y avanzadas. El número de ciberataques crece y ya no solo se dirigen a empresas de servicios y usuarios. Los sistemas industriales están cada vez más conectados y, por tanto, se han convertido en objetivo de los ciberdelincuentes. Industrias de todo tipo (gas, petrolíferas, sanidad, eléctricas, fabricación, etc.) ven cómo, cada vez, son más ciberatacadas.

Convergencia IT/OT

Históricamente, se han conocido multitud de vulnerabilidades, asociadas tanto al hardware como al software que componen los sistemas de control industrial (Industrial Control System o ICS). Estas vulnerabilidades no son nuevas, pero se asumían porque había poca probabilidad de que fueran explotadas, debido fundamentalmente a su aislamiento. Los sistemas industriales no estaban conectados.

Pero, en la denominada Industria 4.0 esto cambia y, cada vez, más dispositivos de control industrial utilizan tecnologías de la información (TI) genéricas: interfaces y protocolos estándar; PCs o sistemas operativos como Windows o Linux.

El motivo es que los sistemas IT son más fáciles de utilizar, amplían las funcionalidades y son más baratas. Pero, además de los beneficios, también se adquieren los problemas, por ejemplo, las vulnerabilidades de seguridad. Por tanto, las amenazas aumentan:

& Revelación de información.

Mayor número de ataques de código malicioso y dirigidos.

Más expuestos al ciberdelito, ciberespionaje y ciberterrorismo.

Publicación de herramientas que buscan sistemas conectados y automatizan los ataques. Esto les ofrece a los ciberdelincuentes y ciberterroristas más recursos y conocimientos para atacar los sistemas industriales.

Accesos no autorizados, robos o usos indebidos de la información confidencial.

Pérdida de disponibilidad del sistema.

Es posible alterar los procesos, comprometiendo la calidad del producto, la capacidad de producción, la seguridad o las emisiones al medio ambiente.

Pérdida de la reputación.

& Incalculables pérdidas económicas, como consecuencia de todo lo anterior.

La protección de las OT

En general, la protección o securización de sistemas industriales y de control tiene una serie de complejidades por distintos motivos: falta de seguridad en las fases iniciales de diseño de los sistemas, falta de convergencia entre las tecnologías, ciclo de vida elevado, dificultad para actualizar o parchear sistemas, no operan adecuadamente con errores o excepciones, no requieren autenticación o autorización y no suelen utilizar cifrado. A esto se une la dificultad que tiene detener los sistemas en funcionamiento para su aislamiento, actualización, parcheado, etc.

Además, por parte de los expertos en la operación, suele haber cierto desconocimiento ante ciberamenazas y sobre tecnologías de ciberseguridad, históricamente orientadas a TI.

¿Qué puede hacer Secure&IT por ti?

En Secure&IT te ofrecemos los mejores servicios de ciberseguridad industrial, integrados o de manera independiente a la seguridad de la información.  Contarás con el apoyo de una compañía especializada, que te ayudará a conocer el estado de tu instalación, a detectar riesgos, a comprobar la eficacia de los controles que se aplican, a implantar un plan de continuidad de negocio y a establecer un plan de formación y concienciación, en lo que a ciberseguridad industrial se refiere.

 Auditorías de seguridad industrial

Consultoría y planificación de seguridad

& Sistema de Gestión de Ciberseguridad Industrial (SGCI)

ISO 27001 / ISO 27002

Directiva NIS

IEC 62443 (ISA99)

Análisis y gestión de riesgos

Continuidad de negocio

& Cumplimiento:

Esquema Nacional de Seguridad

Ley de Protección de Infraestructuras Críticas

& Protección de Datos

Formación