Por: Manuel Grandoso, Líder de Seguridad de la Información

 

Uno de los grandes problemas a la hora de encarar la Seguridad de Infraestructuras Críticas o Redes Industriales de Control, son las diferencias entre las áreas tecnológicas corporativas (TI) y de operaciones (TO).

Alguna vez fueron dos mundos totalmente separados, pero la realidad y necesidad del Negocio los obligó a interactuar. La conexión o convergencia entre estos dos mundos trae consigo nuevos desafíos para los que velamos por la Seguridad, y uno de los principales problemas deriva de que tenemos diferente noción del concepto SEGURIDAD.

Definiciones

Seguridad en TI: Conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información buscando mantener su confidencialidad, disponibilidad e integridad.
Seguridad en TO: Conjunto de medidas y controles para asegurar la operación de la planta resguardando las condiciones de salud, bienestar ocupacional y seguridad en el trabajo.
Es indispensable que un profesional de Seguridad de la Información tenga en cuenta esta diferencia de conceptos a la hora de analizar una red industrial. Así como al presentar informes ejecutivos o un plan de proyecto para implementar una nueva solución utilizamos el idioma de los CxO, debemos acercarnos a los ingenieros de planta conociendo sus necesidades y prioridades.

diagramas2itvsot-03

«Source: Steenstrup, K. et. al. (2010). Operational technology Convergence with IT: Definitions. Gartner.»

Prioridades en los sistemas:

El primer concepto que debemos cambiar es el de CID (Confidencialidad, Integridad y Disponibilidad) por el de DIC (Disponibilidad, Integridad y Confidencialidad). Esto que parece algo insignificante, nos permite encarar el análisis desde una perspectiva más apropiada a la realidad de una red industrial o ICS.

cid-02

Safety ≠ Security:

Otro concepto que debemos adecuar es el de riesgo. En una planta, el riesgo de mayor criticidad es el asociado a un evento que pueda dañar físicamente a una persona, interrumpir la producción o degradar el servicio que se está brindando.

Los temas a tener en cuenta son muy diversos y varían entre las distintas industrias. La clave es estar lo suficientemente preparados para que estas «diferencias culturales» no se conviertan en un obstáculo para lograr los objetivos de mejorar la Seguridad.

No hay vuelta atrás

La convergencia llegó para quedarse y es inevitable. El rápido avance de las tecnologías IoT (Internet de las cosas) lo pone cada vez más en evidencia. Y si bien estos temas suelen presentarse como catastróficos, creo que debe considerarse como una oportunidad.

Hoy en día existe una gran cantidad de industrias que están experimentando esta convergencia sin estar al tanto de ella. Los profesionales de seguridad tenemos la obligación de dar a conocer los riesgos y capacitarnos (técnica e ideológicamente) para poder mitigarlos.

Por último quiero dejarles a quienes les interese profundizar, un whitepaper de una investigación (metodología Delphi) realizada por la UniSA (University of South Australia).

Aún queda mucho para reflexionar, hay que tener en cuenta que recién estamos atravesando la primer fase de este «encuentro»: Convergencia –> Alineación –> Integración

Ver más