Una industria ciber-resiliente se puede definir como aquella que puede prevenir, detectar, contener y recuperarse, minimizando el tiempo de exposición y el impacto o daño final en la continuidad operacional producto de la concreción de amenazas contra datos, sistemas e infraestructura tecnológica en las redes industriales, así como de aquellos cambios o distorsiones más sutiles que provienen del entorno o medio en que se desenvuelven.

Abordar un tema nuevo, extraño y compuesto como este sin caer en meras definiciones “académicas”, es un interesante reto; sin embargo, resulta necesario, en primera instancia, alinear criterios para cada uno de estos tres términos: Ciber – Resiliencia – Industrial. El primero (“Ciber”) se refiere a los recursos tecnológicos que nos permiten interactuar con las tecnologías de Internet y, en particular, de IIoT (Internet de las Cosas Industrial).

El segundo (“Resiliencia”) tiene múltiples acepciones, por lo que intentaremos acercarlas a nuestro ámbito de interés. El término “Resiliencia” proviene del latín “resilio”, que significa volver atrás o volver a un estado anterior de normalidad, superando las adversidades y continuar. En el campo de la Física, se refiere a la capacidad que tienen los cuerpos para volver a su forma original después de haber sufrido una deformación por un agente externo. En la Psicología, se define como la capacidad de los seres humanos para adaptarse positivamente a las situaciones adversas. Se considera que las personas más resilientes tienen un mayor equilibrio emocional frente a situaciones de estrés, soportando mejor la presión, lo que les genera una sensación de control frente a los acontecimientos y una mayor capacidad para reaccionar frente a situaciones difíciles y estresantes.

Con lo anterior, el mapeo hacia la ciberresiliencia tendería a que los sistemas tecnológicos vinculados con Internet, se mantengan funcionales de manera estable en un rango de normalidad, aunque existan dificultades internas y/o el entorno imponga cambios en su arquitectura, cumplimiento, integración, rendimiento u otros factores que resulten ser condicionantes para su continuidad operacional.

Por último, el término “Industrial”, si bien se podría omitir para mantener la temática de la resiliencia en un ámbito más genérico, nos interesa, en lo particular en lo referido a los requerimientos para el ámbito de seguridad TO (Tecnologías de la Operación) o de planta, donde existe la necesidad de integrar nuevos requerimientos de ciberseguridad.

Para los sistemas de gestión, incluyendo los que gestionan los riesgos, la seguridad tecnológica y la continuidad operacional, hay que considerar si el esfuerzo debe focalizarse solo en hacerlos resilientes o en comprender que dicha resiliencia es una capacidad propia de cada uno de ellos y mejor dirigir tal esfuerzo a entender los factores que otorgan resiliencia como propiedad intrínseca del sistema. La tendencia actual es considerar esto último.

En consecuencia, se deben orientar los esfuerzos no solo a considerar el estudio de las deficiencias, anomalías, incidentes o desastres que haya que superar, sino también integrar el estudio y perfeccionamiento de aquellas características que hacen al sistema mantenerse funcionando en la normalidad, conservando los niveles necesarios de riesgo, seguridad y continuidad operacional que se haya planteado la empresa.

Esto significa no solo estar preparado para reaccionar frente a situaciones adversas, sino que también ser capaz de anticiparse. Se resumiría, por tanto, que la mirada de resiliencia debe ser en el ámbito preventivo, mejorando la operación de normalidad del día a día, y de cómo reaccionar cuando se concretan las amenazas y se necesitan procesos de recuperación y restauración a un estado de normal operación.

Resiliencia en lo normativo y estándares internacionales

El concepto de ciber-resiliencia está vinculado y se complementa con normas y estándares internacionales como la familia ISO 27000 (Seguridad de la Información); ISO 27032 (Ciberseguridad); ISO 22301 (Continuidad) e ISO 31000 (Gestión de Riesgos) o NIST SP 800-37 (Risk Management Framework for Information Systems and Organizations de NIST) o ISO 27005, aunque también existen y se hacen más conocidas aquellas que se vinculan con la Resiliencia Organizacional como son SISS ORM.1- 2017, BSI 65000:2014 e ISO 22316:2017, integrando y complementando las miradas previas, ahora apuntando a la perpetuidad de la organización.

Esta apunta a integrar las acciones preventivas de continuidad operacional en la normalidad y las capacidades de recuperación frente a problemas pequeños, medianos o grandes que permitan dar continuidad a las operaciones esenciales de la institución.

• En la mirada preventiva, evitar que se concreten eventos adversos, gestionando las debilidades, vulnerabilidades y riesgos, hasta un nivel tolerable.

• En la detección y contención, impedir se incremente el impacto de un hecho adverso o incidente menor, producto de la concreción de una amenaza para que no se convierta en crisis.

• En lo reactivo, recuperarse a la normalidad cuando se ha afectado la continuidad operacional, producto de una contingencia media o desastre mayor.

• En el ámbito normativo, ser capaces de entender, adecuar e integrar las normativas de Ciber-Riesgo, CiberSeguridad y Continuidad Operacional para normar la conformación de entornos resilientes.

• En el Gobierno, ser capaces de gestionar los diversos aspectos señalados, con roles y responsabilidades a nivel estratégico, táctico y operacional, integrando tanto lo administrativo o de oficina como lo netamente industrial.

La Ciber-Resiliencia se ve puesta a prueba cuando existen elementos internos o externos perturbadores de la cotidianeidad u operación normal, los que clasificaremos como: dificultades internas y cambios del entorno. Claramente, estos son solo ejemplos y no la totalidad de las situaciones.


a) Dificultades internas

• Una de las primeras actividades, con su dificultad asociada, que se debe realizar en el ámbito de la ciberseguridad industrial es formalizar el diagrama de las redes industriales que componen dicho entorno, considerando que normalmente no existe una única red. Esto incluye conocer y diagramar cuáles y cuántas son estas redes industriales, cuántos dominios o zonas existen, y cuántas DMZ o conductos se requieren para una protección adecuada de los recursos tecnológicos incluidos en cada zona, según su sensibilidad.

• Problemas de la continuidad operacional en plataformas tecnológicas que controlan el entorno SCADA debido a obsolescencia de dicha plataforma. Conocemos un caso del servidor que gestionaba una cortadora de plasma para planchas de acero, montado sobre una antigua plataforma SUN Solaris, que al comenzar a fallar sus discos duros, se tuvo que recurrir al reemplazo de dichos componentes encontrados solo en un deshuesadero de equipos antiguos, dado que en el mercado convencional dichos discos ya no se comercializan por ser tecnología obsoleta.

• Que exista conocimiento y personal con competencias suficientes para conocer, interpretar y poder aplicar en la realidad de la empresa los lineamientos normativos respecto a ciberseguridad industrial como NERC CIP en el ámbito eléctrico o ISA/ANSI 62443, en la industria en general. En la práctica, se traduciría en poder identificar los puntos de partida, como requerimientos que permitan definir un baseline en ciberseguridad Industrial a partir de los requerimientos de ISA/ANSI 62443. Para una mirada experta, esto se traduciría en identificar controles en el Security Label 1 (SL=1).

• Las propuestas de marcos normativos internacionales también nos pueden jugar en contra dado que son múltiples y variados, con lineamientos o focos diferentes y que podrían presentarse incluso como tendencias en competencia entre sí. De allí surge la necesidad que cada empresa establezca su framework o marco de trabajo propio, nutrido de controles desde dichos estándares; pero que atienda el nivel de madurez actual de la institución y permita por tanto avanzar desde una línea base hacia niveles mayores de madurez en ciberseguridad industrial.


b) Cambios del entorno:

• Cuando el ente regulador exige cambios a nivel de estructura organizacional como por ejemplo integrar un rol de encargado de ciberseguridad en el ámbito industrial, sin que la institución tenga definido ese rol o siquiera cuente con personal con las competencias para cubrirlo.

• Que el mercado o el rubro tienda a establecer o adherirse a estándares internacionales sin que existan definiciones propias para ello. Por ejemplo, el caso de empresas eléctricas y el estándar internacional NERC-CIP.