A medida que los equipos de tecnología de la información (TI) y tecnología operativa (OT) convergen, las operaciones industriales deben crear mejores planes y estrategias de ciberseguridad para enfrentar las amenazas modernas.
Los equipos responsables de asegurar la tecnología TI y OT en las organizaciones han podido operar hasta ahora sin mucha interacción porque los sistemas y el software que soportaban eran únicos y aislados.
Todo eso comenzó a cambiar hace poco más de una década, cuando los mundos de TI y OT empezaron a converger. Esta tendencia es una consecuencia de la transformación digital y las tecnologías de cambio que empujan a las empresas de todos los tamaños, incluidas las del sector industrial, a digitalizar su infraestructura.
A menudo, esto implica exponer sistemas previamente aislados (piense en un dispositivo con interfaz hombre/máquina basado en Windows que se encuentra en una red OT), a la amplia Internet pública. "Los sistemas de TI se muestran cada vez más en el entorno de OT", señaló Ted Gary, gerente senior de Marketing de Productos para Tenable.
Esta convergencia de dos disciplinas importantes y completamente diferentes ha dado lugar a una creciente preocupación por la ciberseguridad, ya que los equipos y aplicaciones de manufactura que antes estaban aislados, ahora están expuestos a los mismos tipos de ataques que han plagado el hardware y el software de TI durante años.
Al mismo tiempo, los sistemas de control industrial (ICS) y el control de supervisión y adquisición de datos (SCADA), se han convertido en objetivo de los grupos de amenazas persistentes avanzadas (APT) en el espionaje cibernético.
Las amenazas a los sistemas industriales representan un gran y creciente desafío para los CISOs. Al tener la responsabilidad de la seguridad general de la empresa, los CISOs deben encontrar una manera de cerrar la brecha entre TI y OT y no es una tarea fácil, dijo Gary.
A medida que la cantidad de dispositivos de OT que se suman a la LAN corporativa aumenta, la superficie de ataque se expande. Al mismo tiempo, dado que el departamento de TI suele ser responsable de la tecnología y de las redes empresariales, existe cierta preocupación acerca de quién puede hacerse cargo de cuestiones como los parches sobre los sistemas de OT, ya que muchos no se pueden parchear fácilmente sin interrumpir su operación.
El Centro para la Seguridad de Internet (CIS) ofrece seis controles de seguridad básicos. Gary recomienda utilizar estos controles a las empresas para formar la base de una estrategia de ciberseguridad y así darle frente a la convergencia entre TI y OT.
Estos controles de seguridad básicos son:
- Inventario y control de activos de hardware.
- Inventario y control de activos de software.
- Gestión continua de las vulnerabilidades.
- Uso controlado de los privilegios administrativos.
- Configuraciones de equipos seguros de hardware y software.
- Mantenimiento, seguimiento y análisis de registros de auditoría.
Si bien comenzar con los controles de seguridad básicos puede ayudar a las empresas a comenzar el proceso de cerrar las brechas entre TI y OT, así como a mejorar la higiene cibernética en general, todavía hay otros obstáculos importantes que superar.
Por ejemplo, en una encuesta realizada en noviembre de 2016 por Tenable, y el Centro para la Seguridad de la Información, las organizaciones se enfrentan al desafío de la falta de personal capacitado, falta de presupuesto, falta de prioridades definidas y falta de apoyo administrativo entre otras cuestiones. Entonces, ¿qué pueden hacer los CISO para enfrentar estos desafíos?
Aquí es donde entran en juego las llamadas soft skills. Por ejemplo, Gary instó a los CISO y otros líderes de seguridad a trabajar para mejorar las comunicaciones para cerrar la brecha entre TI y OT. Esto puede ser tan simple como establecer sesiones informales de "almuerzo y aprendizaje" entre TI y OT durante las cuales los dos grupos pueden encontrar temas de interés común y ponerse de acuerdo sobre una estrategia unificada. Este tipo de conversaciones pueden iniciar el camino para asegurar la convergencia de TI y OT de las empresas.