Por Jorge Olivares Olmos, Subgerente de Consultoría y Formación de Business Continuity, y Miembro del Comité de Apoyo ISA99 para el desarrollo de la CiberSeguridad Industrial en América Latina.
1. Conozca su red industrial
El primer paso en Ciberseguridad Industrial, es coincidente con lo señalado por Paul Galeski, CEO y fundador de Maverick Tech, en su artículo “Identificación y superación de los desafíos de seguridad cibernética en redes industriales” (Revista InTech, Noviembre de 2015), en el que señala que se debe comenzar por reconocer y “dibujar” la(s) red(es) industrial(es), con sus perímetros, dominios de seguridad o zonas, conductos o zonas de transferencia (DMZs) y controles tecnológicos de seguridad. Haga la prueba y se sorprenderá de la cantidad de puntos de indefinición encontrados.
2. Elimine el paradigma de la red industrial “aislada”
El paradigma de aislamiento de la red industrial ya está obsoleto. ¡Actualícese! La mayor parte de las redes industriales hoy no están aisladas de la red corporativa y con IIoT (Internet Industrial de las Cosas), tampoco lo están de Internet. De hecho, aumentos de productividad y eficiencia han sido consecuencia de dicha integración. Sin embargo, sin los adecuados controles de seguridad, conlleva nuevos riesgos a la red industrial, por lo que hay que estar preparados.
3. Establezca un marco de referencia
Existen estándares internacionales que definen marcos de referencia para la gestión de la Ciberseguridad Industrial. Estos proponen modelos contra los que se pueden identificar los gaps (brechas), y sobre sus resultados, generar planes concretos de mitigación y mejora, conformando un baseline inicial y proyectando un roadmap en el tiempo. Esta es la respuesta a justificar metodológicamente, el “¿cómo partir?”.
4. Cumpla con los requerimientos de seguridad de su proveedor
Identificar las medidas de seguridad publicadas por los fabricantes de los sistemas industriales y -nuevamente- efectuar un análisis gap al respecto, permite alcanzar mejoras rápidas y sustanciales simplemente aplicando controles ya homologados y recomendados por la marca. Por lo tanto, esto significa analizar el cumplimiento de requerimientos de securitización, hardening o blueprint de sistemas (proveedores), como CBM (Rockwell Automation), PI (ABB), Dispatch (Modular Mining), Spectrum (Siemens), EBI (Honeywell), entre otros.
5. Formalice la estructura de gobernabilidad para la Ciberseguridad Industrial
Se debe formalizar una estructura organizacional que permita gobernar la gestión de la Ciberseguridad Industrial. Para ello, se deben establecer roles y responsabilidades necesarias a diversos niveles organizacionales, como Estratégico, Táctico y Operacional. El gran desafío es establecer una estructura organizacional que permita una eficaz y eficiente gobernabilidad de la Ciberseguridad Industrial, tanto a nivel central como distribuido, permitiendo integrar las diferentes visiones -administrativa, comercial e industrial-, así como afrontar la convergencia IT/OT, IIoT e Industria 4.0.
6. Genere un cuerpo normativo mínimo para la Ciberseguridad Industrial
Similar a la estructura de gobernabilidad, se debe generar los elementos del cuerpo normativo para la Ciberseguridad Industrial, en los niveles Estratégico, Táctico y Operacional. Por lo tanto, se debe identificar -a nivel Estratégico- los documentos necesarios como Política General de Seguridad de la Información Administrativa, Comercial e Industrial; a nivel Táctico, Políticas de Seguridad de Temas Industriales Específicos (como el uso de recursos tecnológicos, control de acceso y cifrado); y a nivel Operacional, procedimientos, estándares internos, instructivos, guías prácticas de seguridad, tips de seguridad y otros elementos de bajo nivel para esclarecer la forma de hacer las actividades industriales.
7. Implemente una gestión de mejora continua
Para alcanzar una gestión de mejora continua, debemos usar modelos como el del Ciclo DEMING o PDCA (“Plan- Do-Check-Act”), que se basa en ciclos virtuosos de mejora continua. Para encaminarse a establecer un Sistema de Gestión en Ciberseguridad Industrial (IACS-SMS), y dado que no se debe “reinventar la rueda”, se recomienda analizar la norma ANSI/ISA 62443.2.1 (99.02.01).
8. Evalúe vulnerabilidades que afectan la Ciberseguridad Industrial
Se recomienda efectuar evaluaciones de vulnerabilidades para definir, identificar y clasificar las debilidades del entorno industrial. Esto incluye la revisión de cumplimiento de hardening (blueprint) de sistemas y plataformas, revisión de vulnerabilidades por plataforma tecnológica, evaluación de vulnerabilidades en la arquitectura de red (zonas y conductos). Se debiese asociar las debilidades identificadas con riesgo industrial, generando así un baseline y plan de mitigación de los vulnerabilidades tecnológicas.
9. Sensibilice en Ciberseguridad Industrial
El cambio de paradigma respecto al aislamiento, la convergencia TI/TO, la Internet Industrial de las Cosas (IIoT) y la Industria 4.0, han puesto en realce la Ciberseguridad Industrial, y se requiere comprensión y participación activa de todo el personal. Como en todo cambio cultural, se requiere -entre otras medidas- difusión y capacitación, pero, por sobre todo, sensibilización sobre el rol de la Ciberseguridad en el ámbito industrial.
10. Mejore la relación entre los gestores de la Ciberseguridad Industrial y su “contraparte” corporativa
El principal factor a considerar para mejorar la Ciberseguridad Industrial, es el factor humano, específicamente al nivel de madurez de la relación entre la gestión de Ciberseguridad para las redes corporativa e industrial. Al respecto, se propone un modelo de niveles de madurez para la relación Gobierno de Ciberseguridad Industrial v/s Gobierno Ciberseguridad Corporativa. El utilizar este modelo permite identificar el nivel actual y abordar el análisis gap como plan de mejora.
Resumen de la charla "10 tips para la gestión de la Ciberseguridad Industrial", dictada en Expo Automatización 2016.