Jorge Olivares Olmos.

Siendo que la Seguridad Industrial tiene múltiples aristas, permanentemente se ha dejado de lado su componente informático (lo que se conoce como “Ciberseguridad Industrial”), abocándose incluso las reglamentaciones relacionadas solo a temas de Seguridad Eléctrica, de operación y mantención de las instalaciones eléctricas, o con mayor ahínco a la seguridad del personal o medioambiente. Entonces, el presente artículo pretende evidenciar la importancia que también ha adquirido la Seguridad Informática Industrial, donde históricamente se han utilizado paradigmas que ya han quedado obsoletos producto de la propia evolución de la industria.

La Ciberseguridad Industrial es un tema que ha cobrado relevancia en los entornos de automatización industrial y se ha planteado este año como uno de los temas más críticos en el espectro de riesgos. Lo anterior se entiende por los cambios que han generado las iniciativas de avance en la convergencia de las Tecnologías de Información IT (TI) y Tecnologías Operacionales OT (TO), las necesidades de gestión y proyección de la productividad en tiempo real que requiere una interconexión segura entre la red de datos corporativa y las redes industriales. Además, se debe considerar incluso procesamientos en la nube, dada la nueva mirada IoT (Internet de las Cosas o de los sensores, para ser más cercanos).

Por lo tanto, la Seguridad Informática Industrial ha tomado su relevancia por las propias necesidades de la industria; esto sin contar los casos más extremos de ciberataques terroristas a la infraestructura informática de sistemas automatizados industriales.

Han existido variados paradigmas que justificaban no considerar la informática y sus riesgos, como parte del abanico de riesgos del ámbito industrial, circunscribiendo dichas preocupaciones al ámbito de las redes corporativas. Dichos paradigmas ya han quedado obsoletos y requieren por lo mismo una revisión urgente de la matriz de riesgos de las redes industriales.

Entre estos paradigmas ya obsoletos, podemos mencionar la consideración de la red de control como un entorno aislado de la red corporativa e incluso de Internet; ya vimos que no es así y que basta un pendrive o un notebook de un proveedor o contratista conectado a la red de gestión de la planta para exponer dicha red a malware, lo que podría afectar desde la velocidad del servicio hasta la caída de algún servidor crítico de gestión de planta. El concepto de seguridad por obscuridad, también viciado, asumía la seguridad por estar “lejos” de tales ataques. Los entornos se consideraban “seguros”, protegidos de amenazas externas, ya que se encontrarían aisladas, con protocolos propietarios, usando SW/HW especializado, lo que sabemos que ha cambiado en la actualidad.

En el ámbito nacional, hemos encontrado presencia de malware de antigua data y de inmaduros controles TI básicos en redes de automatización industrial. A nivel internacional, es necesario recordar el bullado caso de Stuxnet en el año 2010, gusano informático que afectó servidores Windows, espiando y reprogramando sistemas SCADA, sistemas industriales de control y monitorización de procesos.

Aunque las redes industriales tienen particularidades muy especiales que deben ser atendidas de manera muy distinta a una red administrativa, no es necesario comenzar desde cero para establecer los posibles controles de mitigación y mejora, ya que existen propuestas específicas de marcos de referencia internacionales para la seguridad informática en redes industriales. Por ejemplo, podemos mencionar el Centre for the Protection of National Infrastructure (CPNI); NERC–CIP North American Electric Reliability Corp. - Critical Infrastructure Protection; NIST 800-82: Guide to Industrial Control Systems (ICS) Security o el más reconocido ISA 99: Seguridad de Sistemas Industriales de Automatización y Control; hoy actualizado como ANSI/ISA 62443.

Por tanto, lo que sigue es conocer dichos marcos internacionales de referencia, integrarlos a las especificaciones de seguridad de los fabricantes de sistemas de control y de las plataformas base, y de allí, proponer un marco de referencia ajustado a las necesidades de la propia empresa.

La más difundida y recomendada norma en Seguridad Informática Industrial es ISA-99, la que se ha actualizado y hoy se reconoce como ANSI/ISA-62443. Este marco de referencia busca plantear, entre otros aspectos, la implementación y mantención de un sistema de gestión de mejora continua en seguridad informática para las redes industriales o Cyber Security Managemet System (CSMS) for IACS (Industrial Automation and Control Systems).

Para dar los siguientes pasos, se requiere que el nivel estratégico se involucre en proyectar la definición de un marco de referencia personalizado, una estructura de gobernabilidad para garantizar la gestión, un cuerpo normativo que permita crecer con respaldo corporativo, y en lo inmediato, identificar vulnerabilidades tecnológicas y su grado de exposición y riesgo para definir controles de mitigación y abocarse a la definición y gestión de los controles de seguridad informática industrial con miras a alcanzar un Baseline o línea base mínima de higienización en seguridad.