Los planetas Tecnología de Operación (TO) y Tecnología Informática (TI) están cada vez más cerca uno del otro. Los profesionales de ambos mundos debemos redoblar los esfuerzos y tender puentes para lograr de una vez la tan necesaria convergencia. Resulta imperioso integrar y consolidar estas dos galaxias en diversos ámbitos. Entre ellos, la gestión integral de la industria 4.0 y la titánica tarea de proteger adecuadamente las infraestructuras críticas que sostienen servicios públicos esenciales. Estado, sector privado, organizaciones no gubernamentales, universidades y ciudadanos estamos llamados a una activa participación en la búsqueda de soluciones concretas.
1. Promover el trabajo en equipo
Más allá del organigrama y la descripción de puestos, se espera que los grupos de personas miembros de TI y TO unan fuerzas para lograr los objetivos de los operadores de infraestructuras críticas. Ahora bien, ¿realmente estamos todos en el mismo barco? ¿Esperamos que una regulación gubernamental o un incidente de alto impacto nos obliguen a funcionar juntos? ¿Son los directivos (nivel C) quienes nos deben bajar línea para acordar estrategias conjuntas o somos lo suficientemente autodidactas en el arte del diálogo y nos convocamos por nuestra cuenta?
La perspectiva personas, procesos y tecnologías, implícita en el concepto de la ciberseguridad industrial, es un vehículo interesante para cohesionar las dos visiones y lograr sinergias. A modo de ejemplo, el artículo Protecting the energy grid is a team sport de Scott Aaronson en Security Magazine resulta inspirador.
2. Crear círculos virtuosos
“¡Es imposible analizar la red industrial sin afectar la disponibilidad de los servicios!”, dicen en TO. “¡Es preciso cifrar todos los canales y flujos de datos!”, afirman desde TI. Solo una cabal comprensión de todos los procesos y la forma en que cada uno contribuye al funcionamiento de los distintos mecanismos facilitará un abordaje concienzudo y holístico de la convergencia.
A esta altura de las circunstancias hay quienes aún creen en soluciones divergentes o emprendimientos aislados. Un enfoque ganar-ganar permitirá a TI aprender sobre la naturaleza resiliente de TO. Y a TO usufructuar la experiencia de TI en la aplicación de buenas prácticas y marcos de gobernanza de probada eficacia. Nada nos impide capitalizar lo mejor de ambos universos.
3. Impulsar la visibilidad en TO
Bautizada como TI en las sombras o shadow IT, dicha expresión alude al hardware y/o software –escondido– en las redes internas cuya existencia no es advertida por los administradores y, por ende, no está autorizada, provocando riesgos de diversa índole. Aunque suene incómodo, en la actualidad muchas empresas adolecen de su propia shadow OT, es decir, desconocen la cantidad, el tipo y la ubicación de ciertos dispositivos conectados a sus redes industriales e incluso programas informáticos no controlados instalados en computadoras corporativas. Algunas apenas saben qué protocolos moldean el tráfico en circulación.
En este sentido, el primer paso consiste en implementar controles y tecnologías diseñados para tener un completo inventario de todos los activos. Compañías como Tenable-Indegy, Nozomi y Claroty ofrecen consultoría y metodología junto con productos y servicios no invasivos para obtener un listado de equipos-dispositivos y software vinculados a las redes, con sus respectivas relaciones y metadatos (puertos, software embebido, firmware, etc.). Los mapas de conectividad obtenidos son el punto de partida para gestionar los cambios con el fin de mejorar la postura de seguridad de las instalaciones.
4. Identificar y evaluar vulnerabilidades
En TI, una vulnerabilidad se entiende como una debilidad o exposición derivada de fallas que pueden tener diversos orígenes. En general, se trata de errores o problemas documentados y disponibles al público en general, identificados mediante codificación normalizada como CVE, CWE, CVSS, etc. La explotación de una vulnerabilidad puede derivar en situaciones no deseadas: apagado de servidores, fuga de datos o eventos maliciosos varios.
En TO, el aprovechamiento de una debilidad técnica tiene el potencial de afectar infraestructuras críticas y servicios esenciales. Ciertamente, existen planes de contingencia y operación manual como alternativas, aunque el avance de la digitalización y el automatismo suman complejidades e interdependencias en los sistemas.
A partir del descubrimiento de los activos presentes en las redes industriales es posible agrupar y evaluar los mismos según distintos criterios: por tipos, funciones, marcas, modelos, versiones, etc. Ello permitirá contrastar la situación con los informes de seguridad emitidos por los proveedores e investigadores independientes, auxiliando a los administradores con el fin de priorizar los fallos y mitigar los peligros. TI debe ampliar su mirada y mejorar sus métodos de búsqueda de vulnerabilidades para diseñar junto a TO los procedimientos requeridos.
¡Sigue Leyendo!
Si deseas leer el artículo completo de Walter Heffel, CISO en Enersa, lo encontrarás en el número 19 de Segurilatam.