La alineación de la Tecnología de la Información y la Tecnología Operativa

Las operaciones industriales modernas suelen abarcar infraestructuras de TI (tecnología de la Información) y de TO (tecnología operativa) complejas. Existen miles de dispositivos que se conectan cada vez más a través de la Internet industrial de las cosas (IIoT). Esto plantea nuevos retos para proteger los entornos industriales, haciendo que las amenazas de ciberseguridad sean aún más difíciles de detectar, investigar y corregir.

Hasta hace poco, la infraestructura de TI desempeñaba un papel primordial y básico en función de asegurar una completa visibilidad, seguridad y cumplimiento, sobre todo porque era el objetivo de los ataques contra las organizaciones. En los últimos 20 años, esto ha sido lo que más ha preocupado a los CISOs; pero la realidad ha cambiado. La TO se ha convertido rápidamente en un imán para nuevos ataques y, por lo tanto, ha despertado una mayor preocupación por su seguridad.

Zona de Impacto

El foco de atención de los ataques contra las operaciones industriales y la infraestructura crítica ha estado en los controladores industriales (PLC, RTU o DCS). Lo que realmente importa es que estos controladores son sumamente confiables y controlan literalmente todo, desde estaciones de refrigeración hasta turbinas, pasando por redes eléctricas, gas y petróleo, y mucho más. Los sistemas de control industrial (ICS), mantienen funcionando a las operaciones básicas. Debido a su confiabilidad, muchos de estos dispositivos han estado en funcionamiento durante años. Dado que son los caballos de batalla de la sociedad moderna actual, son la zona cero para los ataques.

Cuando se implementaron por primera vez los controladores industriales, no estaban conectados ni interconectados. Los avances tecnológicos actuales pusieron estos dispositivos en línea y, por lo tanto, se han convertido en el objetivo de los hackers. Además, los controladores no se diseñaron para hacer frente a las amenazas a la seguridad o a los errores humanos de los que somos testigos en la actualidad. Últimamente, los hackers ya no son individuos corruptos que actúan solos, sino que suelen formar parte de un programa sistemático, seleccionado cuidadosamente por organizaciones y países con una sólida financiación y una gran motivación. Unos pocos argumentan que la superficie de ataque ha cambiado para abarcar tanto la TI como la TO. Debido a que estos dos mundos diferentes están ahora conectados, un ataque que se inicia en un entorno de TI puede pasar rápidamente a un entorno de TO y viceversa. El movimiento lateral es casi la metodología de ataque preferida por los hackers debido a la relativa facilidad para encontrar un eslabón débil en el sistema, aprovecharlo como punto de entrada, y luego, apropiarse rápidamente de toda la red.

Convergencia de TI y TO

Actualmente, son pocas las organizaciones que gestionan la TI (y la TO) con el mismo personal y las mismas herramientas. Después de todo, estas redes evolucionaron con un conjunto diferente de prioridades y operan en entornos diferentes por naturaleza. No obstante, para hacer frente a esta nueva y compleja amenaza y proteger a esta superficie de ataque más amplia, muchas organizaciones industriales han comenzado a hacer que su infraestructura de TI y de TO sea convergente. Esta “iniciativa de convergencia” no es nada sencilla.

La tendencia de la convergencia de TI/TO no solo impulsa la integración de las herramientas de TI con las soluciones de TO, sino que también requiere la alineación de los objetivos estratégicos, la colaboración y la capacitación.

Ambos entornos son manejados por profesionales con diferentes antecedentes y diversas mentalidades. Los entornos de TI son muy dinámicos. El personal de TI suele preocuparse por la confidencialidad, la integridad y la disponibilidad de los datos. Debido a que durante tanto tiempo la TI estuvo en primera línea para identificar, mitigar e informar los ataques, la fluidez del entorno tuvo que evolucionar de manera constante. Como resultado, los profesionales de TI, tienen que mantenerse actualizados sobre las últimas tendencias y amenazas en este ámbito.

Por el contrario, el personal de TO trabaja en un entorno operativo en el que la estabilidad, la seguridad y la confiabilidad son las principales prioridades. Sus trabajos implican el mantenimiento de la estabilidad de entornos complejos y sensibles, como las refinerías de petróleo, las plantas químicas y los servicios públicos de suministro de agua, los cuales están llenos de sistemas heredados que se implementaron hace décadas y no han cambiado desde entonces.

Su lema es: “Si funciona, no lo modifique”. De hecho, los ingenieros de TO rechazan la idea de que el personal de TI se involucre en la seguridad de sus plantas o implemente procesos de “cambio sin dolor” en los sistemas de control de seguridad industrial (ICS). Habitualmente, el personal de TI nunca ha estado expuesto a este paradigma operativo, y pocos de ellos han visitado una planta durante su carrera.

Mundos Diferentes, Tecnologías Diferentes

En general, el personal de TI está acostumbrado a trabajar con el último y mejor hardware y software, incluyendo la mejor seguridad disponible para proteger sus redes. Suele dedicar su tiempo a colocar parches, actualizar y reemplazar sistemas.

Mientras tanto, el personal de TO está acostumbrado a trabajar con tecnologías heredadas, muchas de las cuales son anteriores a la era de Internet. Estas suelen utilizar protocolos de red patentados y carecen de controles de seguridad básicos, como la autenticación o el cifrado. Tampoco tienen registros de eventos ni de auditoría. Como resultado, la detección de incidentes y la respuesta a ellos en un entorno de TO es muy diferente de lo que ocurre en un entorno de TI.

Independientemente de la tecnología implementada y de la mentalidad a la que estén acostumbrados los individuos, los entornos de TI y los de TO deben unirse para abordar las amenazas a la seguridad en ambos lados de la red. Además, deben colaborar para detener el avance sigiloso lateral de un ataque que puede haber comenzado en un entorno y se propaga con éxito al otro.

Mejores Prácticas de Seguridad

Si bien existen diferencias significativas entre los mundos de TI y de TO, en lo que se puede coincidir es en los elementos clave que establezcan una postura de seguridad robusta para la seguridad industrial. Estos elementos incluyen los siguientes:

• Detección y mitigación de amenazas que combinen anomalías de comportamiento con reglas basadas en políticas.
• Seguimiento de activos que incluya dispositivos inactivos, y con la profundidad suficiente para incluir hasta las configuraciones del plano posterior del PLC.
• Gestión de vulnerabilidades que dé seguimiento a los niveles de parches y del riesgo de los dispositivos de ICS, y les otorgue una puntuación.
• Control de configuración que dé seguimiento a todos los cambios en el código, el sistema operativo y el firmware, ya sea que se hagan a través de la red o a nivel local.
• Visibilidad empresarial para garantizar que todos los datos recopilados se integren en un tablero de control único.

Cumplimiento Normativo

Otro factor que impulsa la tendencia a la convergencia de TI/TO es el cumplimiento normativo. Por ejemplo, la North American Electric Reliability Corporation (NERC) y la Comisión Reguladora de Energía Federal (FERC) de los EE. UU., exigen que el personal de TI y de operaciones en compañías de infraestructura crítica colabore y gestione los riesgos de manera cooperativa, y comparta documentación pertinente para garantizar la seguridad y la confiabilidad. De hecho, las regulaciones demandan específicamente un entorno en el que exista la capacidad de llevar a cabo análisis forenses a lo largo de ambas redes, a fin de identificar, impedir e informar los incidentes que puedan inhabilitar importantes implementaciones industriales e infraestructuras críticas.

Esta es solo la punta del iceberg en cuanto al cumplimiento normativo. Prácticamente, cada vertical tiene asociada una larga lista de requisitos de cumplimiento normativo. La unión de la TI y la TO acelera el cumplimiento de los estatutos normativos, y la capacidad de informar de forma proactiva sobre el cumplimiento, y de demostrarlo, facilita en gran medida cualquier posible auditoría.

El Negocio lo Exige

Hasta este punto, se ha hablado sobre la necesidad de la convergencia de TI y TO porque el nuevo paradigma de amenazas la exige y las normas de cumplimiento la requieren. El tercer pilar, y el más importante, son los negocios. Las organizaciones que fracasan en cualquiera de estas dos áreas suelen encontrarse en la difícil situación de tener que responder a los cuestionamientos de los accionistas y de la base de clientes, que exigirán respuestas.

En incidentes recientes, los CSOs, los CROs y su personal, debieron presentarse ante la Dirección para responder preguntas difíciles. En algunos casos, se los consideró personalmente responsables de importantes fallos en la cobertura, protección y diligencia.

Sin embargo, en casi todos los casos, la pérdida de confianza de los clientes se traduce directamente en el balance y se manifiesta tanto en la forma de pérdida de valor para el accionista como de disminución de los ingresos. Esto se podría haber evitado, en gran medida, si se hubiera quitado el aislamiento del entorno entre TI/TO y se hubiera aplicado una robusta solución de seguridad a lo largo de estos entornos interrelacionados.

Apoyo de la Dirección

La implementación exitosa de una iniciativa de ciberseguridad industrial debe aprovechar los recursos tanto de TI como de TO. A fin de reunir al personal de TI y de TO, y unificar el pensamiento y las prácticas de seguridad, las organizaciones deben crear una cultura de colaboración entre ambos grupos por el bien común del negocio.

A pesar de los desafíos por reducir la brecha entre ambos entornos, varias organizaciones ya lograron una profunda colaboración entre estos mundos distintos, pero cada vez más entrelazados. La clave para lograr el éxito es contar con el apoyo de la Dirección.

Algunas organizaciones comienzan por crear un rol para facilitar la convergencia. Por ejemplo, es bastante común encontrar a un Director de Transformación Digital cuyo rol es cerrar la brecha entre las áreas de TI y de TO, salvar la división cultural y establecer procesos de respuesta ante incidentes que abarquen a ambos grupos.

La supervisión a nivel del negocio y el liderazgo de la Dirección ayudan a garantizar que ambas partes colaboren entre sí de manera eficaz. Para lograr esto, cada vez más organizaciones contratan a ingenieros sénior experimentados de las unidades de negocios de TO y los asignan para apoyar la respuesta ante incidentes del Centro de Operaciones de Seguridad (SOC). Esto crea un entorno donde las personas, los procesos y las tecnologías se cruzan y unifican ambos lados de la línea divisoria de TI y TO.

Beneficios

Al crear una alineación entre el mundo de la TI y la TO se pueden obtener importantes beneficios, entre ellos:

• Mejora de la automatización, la detección y la visibilidad de la seguridad.
• Mayor control sobre las operaciones distribuidas.
• Mejor cumplimiento de los requisitos normativos y de su seguimiento.
• Mayor capacidad de respuesta cuando se producen incidentes y mejora del rendimiento de la organización.
• Toma de mejores decisiones, fundamentada en información más detallada.
• Mantenimiento proactivo y reducción de los tiempos de respuesta a interrupciones imprevistas.
• Mejora del flujo de información a las partes interesadas.

Muchos especialistas y expertos en la materia dicen que no se trata de una cuestión de “SI”, sino de “CUÁNDO” ocurrirá un incidente de seguridad. Colocar los mundos de TI y TO en la misma órbita, ayudará a asegurar que cuando ocurra un incidente, la organización pueda capear el temporal y, de hecho, prosperar en medio del caos.

Fuente: www.tenable.com