Superando la brecha de seguridad IT-OT con medidas fáciles de implementar

Como Director de Seguridad de Información (CISO), estoy seguro de que ha dominado el arte de defender la empresa en todos los niveles. Protege datos, gestiona riesgos en la nube, asegura el cumplimiento y asegura los puntos finales. Segmentar redes y garantizar la aplicación de medidas de seguridad específicamente para redes y sistemas OT presenta otro conjunto de desafíos por completo.  

Para un CISO, la convergencia de OT e IT abre una caja de Pandora de riesgos de alto nivel. Un ataque en la red IT podría llevar a una violación de datos o pérdida de información. Pero un ataque en la red OT podría llevar a un cierre de fábrica, pérdida de cuota de mercado, un desastre ambiental, multas regulatorias masivas o incluso pérdida de vidas.

Las apuestas son diferentes desde una perspectiva de gobernanza, impacto empresarial y prioridad operativa. La tecnología es diferente y su enfoque también debe serlo. Su manual de seguridad debe ser diferente. Este es su plan para cerrar la brecha.

Lea todo sobre el ciberataque a la Cervecería Asahi aquí.

La brecha de seguridad IT vs. OT: ¿Por qué importa?

No se puede proteger lo que no se ve o no se entiende. El desafío principal para los CISOs es que los sistemas IT y OT están construidos y operan con filosofías fundamentalmente diferentes. Además, aspectos como la visibilidad de activos se dan por sentados en el lado IT, pero en la red OT, el nivel de visibilidad OT puede no estar a la altura. ¿Cómo entonces llevar su seguridad OT al nivel de seguridad con el que operan actualmente sus redes IT?

Es esencial recordar que aplicar lógica de seguridad IT a un entorno OT no solo es inefectivo; es francamente peligroso.

Permíteme desglosarlo más para ti

Esta brecha importa porque su mayor fortaleza en seguridad IT puede ser su mayor debilidad en OT.

Los errores: Por qué "copiar y pegar" seguridad IT no funciona en OT

Intentar forzar sus controles de seguridad IT en la red OT es una receta para el fracaso. Esta estrategia casi siempre fracasa principalmente por las razones mencionadas en la parte anterior de este post.

• El escaneo de vulnerabilidades interrumpe las cosas: Un escaneo de puertos activo de su escáner de vulnerabilidades IT favorito puede abrumar al frágil procesador de bajo ancho de banda de un Controlador Lógico Programable (PLC) de 20 años en un instante, causando que se bloquee y cierre una línea de producción.

• Caos en el parcheo: No puede simplemente reiniciar una turbina de la red eléctrica o un reactor de lotes farmacéuticos para aplicar un parche. La gestión de parches OT debe planificarse meticulosamente durante ventanas de mantenimiento programadas, que pueden ocurrir solo una o dos veces al año. Además, el parche debe probarse antes de su implementación.

• El antivirus perjudica el rendimiento: El antivirus tradicional de puntos finales que se ejecuta en una Interfaz Humano-Máquina (HMI) que controla un proceso de alta velocidad puede consumir muchos ciclos críticos de CPU, introducir latencia e incluso interrumpir las operaciones en tiempo real.

• ¿Confianza Cero? Aunque es un concepto vital, implementar Confianza Cero en un entorno lleno de dispositivos heredados que no soportan autenticación moderna es un gran desafío. Simplemente no puede poner un mensaje de autenticación multifactorial en un sensor.

Superponer seguridad IT en OT solo interrumpe las cosas como mencioné antes.

Su plan: Dónde comenzar el viaje de seguridad OT

Para muchos CISOs, un entorno OT es a menudo una caja negra. Su viaje debe comenzar con el requisito más básico de todos los requisitos de seguridad OT, que es visibilidad. Simplemente no se puede asegurar lo que no se puede ver.

¿Dónde comenzar?

Construir puentes y no muros (Personas y gobernanza)

Su primer paso no es técnico. Es cultural. Los gerentes de planta e ingenieros de control en el mundo OT han estado operando estos sistemas durante décadas. Hablan un idioma diferente (PLCs, no APIs) y tienen prioridades diferentes (tiempo de actividad, no parches).

• Asociarse con el Gerente de Planta: Vaya al piso de planta. Use el casco. Pregúnteles: "¿Qué les quita el sueño por las noches?" y "¿Cuál sería el peor escenario aquí?"

• Formar un Equipo Multifuncional: Crear un comité de gobernanza de seguridad IT-OT. Incluya al CISO (usted), al Jefe de Ingeniería u Operaciones, gerentes de planta y líderes de redes IT.

• Establezca un Objetivo Compartido: Su objetivo no es solo "seguridad." Es "operaciones seguras y confiables." Encaje cada decisión en torno a este objetivo compartido.

Crear un inventario de activos "Joya de la Corona"

No puede comenzar con un escaneo de vulnerabilidades. Debe comenzar con un inventario pasivo de activos. Use una herramienta de detección y remediación de red y monitoreo diseñada para redes OT que escuche el tráfico sin hacer sondeos activos a dispositivos como Shieldworkz.

Su objetivo es responder:

• ¿Qué dispositivos están en mi red? (PLCs, HMIs, VFDs, sensores)

• ¿Con quién están hablando? (¿Cuál es el comportamiento normal?)

• ¿Qué protocolos están usando?

• ¿Cuáles son sus vulnerabilidades? (Esto se hace coincidiendo versiones de dispositivo/firmware con una base de datos de vulnerabilidades, no mediante escaneos activos).

Identifique sus "joyas de la corona" para los procesos más críticos. ¿Una brecha en qué sistema causaría un incidente de seguridad o un cierre total? Centre sus esfuerzos allí primero.

Realizar una Evaluación de Riesgo basada en Consecuencias

Olvide la matriz de riesgo centrada en IT "Alto/Medio/Bajo" basada en puntajes CVSS. En OT, el riesgo no solo se trata de vulnerabilidad; se trata de consecuencia.

Una vulnerabilidad de bajo nivel en un servidor IT no crítico es un problema menor. ¿Esa misma vulnerabilidad en el PLC que controla la presión de una caldera? Eso es un riesgo crítico y amenaza la vida.

Haga estas preguntas para sus activos críticos:

• ¿Cuál es el peor resultado físico? (ej., explosión, liberación de toxinas, parada de la línea de ensamblaje)

• ¿Cuál es el impacto operativo? (ej., 1 hora de tiempo de inactividad vs. 3 días)

• ¿Cuál es el impacto financiero de ese tiempo de inactividad?

Este nuevo modelo de riesgo le mostrará inmediatamente dónde priorizar su presupuesto y recursos limitados.

Usando el estándar IEC 62443 como una Guía

No necesita reinventar la rueda. La serie IEC 62443 es el estándar de oro mundial para la seguridad de Sistemas de Control y Automatización Industrial (IACS).

Piense en él como el "NIST CSF para OT." Es un marco completo basado en riesgos para propietarios de activos, integradores de sistemas y proveedores de productos. Para un CISO, proporciona un lenguaje claro y una estructura para su programa.

Conceptos clave de IEC 62443 para adoptar de inmediato:

• Zonas y Conductos: Este es el corazón del estándar. No intente asegurar una red OT plana y abierta. Agrupe lógicamente sus activos en Zonas según su función y criticidad (ej., "Zona de Control de Calderas," "Zona de Línea de Empaque"). Toda comunicación entre estas zonas debe pasar por un Conducto (como un cortafuegos) donde puede aplicar políticas de seguridad.

• Niveles de Seguridad (SLs): IEC 62443 define cuatro Niveles de Seguridad (SL 1-4) basados en la habilidad y motivación del atacante. En lugar de preguntar "¿Es esto seguro?", puede preguntar, "¿Cuál es el Nivel de Seguridad objetivo (SL-T) para esta zona?" Esto le ayuda a aplicar controles apropiados, no todos los controles.

Usar este marco alinea sus esfuerzos con las mejores prácticas globales y le da un estándar defendible sobre el cual construir.

Construyendo una política de seguridad OT separada

Su política de seguridad IT existente no es adecuada para el propósito en el entorno OT. Debe desarrollar una Política de Seguridad OT dedicada construida en asociación con sus equipos de ingeniería y operaciones.

Esta política debe ser clara, concisa y enfocada en las realidades operativas.

Su política debe cubrir explícitamente:

• Acceso Remoto: Quién, cómo, cuándo y por qué. Este es un vector de ataque superior.

• Segmentación de Red: Mandar el modelo de "Zonas y Conductos".

• Gestión de Cambios: ¿Cómo se cambian la lógica de PLC, pantallas HMI y reglas de firewall, y quién debe aprobarlo?

• Respuesta ante Incidentes: Un plan específico para OT. (Ver abajo)

Cómo seguir el progreso de su seguridad OT (Solo las métricas que importan)

Su junta entiende de dinero y riesgo, no de capturas de paquetes. Necesita traducir su progreso en seguridad OT en métricas relevantes para el negocio.

Pase más allá de métricas básicas de IT y adopte un cuadro de mando balanceado.

Métricas operativas (Para el equipo)

• Cobertura de Inventario de Activos: porcentaje de activos OT identificados y clasificados.

• Visibilidad de Red: porcentaje de segmentos de red monitoreados para comportamiento anómalo.

• Tiempo Medio para Detectar (MTTD): ¿Con qué rapidez detecta un comando malicioso o una conexión remota no autorizada? Esto es más importante que el MTTR.

• Estado de protección/estado de vulnerabilidades: No "número de sistemas sin parchar," sino "el porcentaje de vulnerabilidades críticas con un control compensatorio en lugar" (como segmentación de red o parcheo virtual).

Métricas estratégicas (Para la Junta)

• Reducción de riesgo: Mostrar la puntuación de riesgo "antes" y "después" para sus procesos joya de la corona según su evaluación basada en consecuencias.

• Alcance del Nivel de Seguridad (SL): Mostrar progreso: "El año pasado, el 10% de nuestras zonas críticas alcanzaron su Nivel de Seguridad Objetivo de acuerdo con IEC 62443. Este año, estamos en un 40%."

• Preparación para respuesta ante incidentes: porcentaje de plantas que han completado un ejercicio de simulacro específico para OT en los últimos 12 meses.

• Exposición cuantificada al riesgo: Usar modelos (como FAIR) para adjuntar una cantidad en dólares al riesgo OT. "Al implementar la segmentación de red, hemos reducido nuestra posible pérdida (o incluso riesgo) exposición de un cierre total de planta por $XX millones."

Lista de verificación de seguridad OT del CISO: Un plan de un año

He preparado una lista de verificación que le ayudará a ejecutar su programa de seguridad OT sin problemas. Siéntase libre de agregar puntos adicionales. 

Fase 1: Evaluar y gestionar (Meses 1-3)

• [ ] Construir el Equipo: Establecer el comité de gobernanza en seguridad IT-OT.

• [ ] Hacer una visita al sitio: Visitar el piso de la planta. Escuchar a los ingenieros.

• [ ] Implementar una Herramienta de Inventario de Activos Pasivos: Comenzar a obtener visibilidad.

• [ ] Identificar 3-5 Procesos "Joya de la Corona": Encontrar lo que más importa.

• [ ] Realizar una Evaluación de Riesgos de Alto Nivel: Enfocarse en las consecuencias peores.

Fase 2: Asegurar y segmentar (Meses 4-9)

• [ ] Redactar la versión 1.0 de la Política de Seguridad OT: Coautorarla con Operaciones.

• [ ] Diseñar su Arquitectura de "zonas y conductos": Comenzar con sus joyas de la corona.

• [ ] Implementar su primer conducto (si aún no se ha hecho): Instalar un cortafuegos para proteger su zona más crítica.

• [ ] Establecer Acceso Remoto Seguro: Eliminar todos los módems no autorizados y VPNs no seguras. Crear una única puerta de enlace segura y monitoreada.

• [ ] Desarrollar un Plan de Respuesta ante Incidentes OT: Definir quién hace qué cuando un PLC es comprometido.

Fase 3: Monitorear y Madurar (Meses 10-12)

• [ ] Desplegar Monitoreo de Red: Comenzar a monitorear activamente el tráfico anómalo y amenazas.

• [ ] Ejecutar su Primer Simulacro de Mesa OT: Simular un ataque realista (como ransomware en un HMI).

• [ ] Crear su Panel de Métricas: Comenzar a seguir su progreso (Cobertura de activos, Reducción de riesgos).

• [ ] Capacitar a sus equipos: Realizar formación básica en conciencia sobre seguridad adaptada para el personal del piso de planta.

Hable con nuestro experto en programas de seguridad OT

Obtenga más información sobre cómo asegurar sus joyas de la corona con la solución NDR de Shieldworkz.

¿Preparado para una evaluación de riesgos basada en IEC 62443? Hable con nosotros ahora.

Conozca todo sobre el ciberataque a los aeropuertos de Europa. Aquí