Claudio Caracciolo.

¿Ciberseguridad “tradicional” y ciberseguridad “industrial” son conceptos diferentes?
Conceptualmente sí, aunque obviamente tienen puntos en común. Cuando en el mundo de TI hablamos de ciberseguridad, nos referimos a la seguridad de nuestra organización, tanto en relación con lo que sucede dentro de la misma como fuera, en Internet. Es decir, las áreas de ciberseguridad de TI deben ocuparse no solo de los controles que se realizan internamente (en sus redes, servidores, estaciones de trabajo, etc.), sino que también deben monitorear qué sucede en Internet con relación a ellos (si aparecen bases de datos fi ltradas, si un proveedor es víctima de un ataque, si hay ataques que pueden afectar a la marca, si se está utilizando la marca de manera indebida, etc.).

En cambio, hablar de ciberseguridad industrial es referirse a los controles a aplicar dentro de las redes relacionadas con el ámbito de las operaciones, básicamente todos los controles de seguridad informática y seguridad de la información que contemplan el funcionamiento y la interrelación de las redes de control, de supervisión, de operación y de monitoreo hasta el borde que la relaciona con la red de TI. En la ciberseguridad industrial, debemos ocuparnos tanto de los protocolos específi cos de cada fabricante, como de los dispositivos de automatización y control, además de los servidores y aplicaciones que los monitorean o de las estaciones de trabajo que se utilizan para confi gurarlos, y de los dispositivos de comunicación involucrados.

Si bien se pudiese inferir “a priori” que se trata de lo mismo, la realidad es que no: los protocolos de comunicación, las tecnologías y, principalmente, las necesidades de control son distintas. En términos generales, la ciberseguridad en TI es importante en función de la confidencialidad de la información que maneja, y en menor medida con relación a la integridad y a la disponibilidad, mientras que, en una planta industrial, la prioridad siempre fue y será la protección de la vida humana, luego la disponibilidad de los servicios, después la integridad y fi nalmente la confi dencialidad.

¿La convergencia TI/TO expande las posibilidades de ataque hacia el ámbito industrial?
La convergencia entre ambas áreas implica que el mundo de TO ya no sea un ambiente aislado como antes y que ha debido comenzar a soportar protocolos de comunicación estándares y, a partir de ello, lograr comunicarse con herramientas y servicios del ámbito TI, no solo a través de las redes internas a las que se uniría, sino también mediante Internet, con todo el riesgo que eso trae aparejado.

Desde fines de los 90, el mundo TI ha evolucionado muchísimo en esta materia, tanto en el desarrollo de software como en las pruebas que se realizan para identifi car las amenazas, en los procesos de operación y en campañas de educación de los usuarios y clientes. Sin embargo, para todos aquellos que venían del mundo TO, donde la ciberseguridad no era un problema diario, esto es todo nuevo y se han encontrado expuestos a un sinfín de riesgos y vulnerabilidades que desconocían. Y con esto no solo nos referimos a los operadores técnicos, sino también a los administradores, vendors, fabricantes, integradores, ingenieros… Todo un sector completo que, repentinamente, se vio en la necesidad de entender un montón de problemas que en el mundo TI eran normales, pero que en TO jamás habían vivido.

Al fin y al cabo, esta nueva exposición de las TO a un mundo hiperconectado y con mucho camino recorrido en seguridad ofensiva, ha producido un impacto muy grande en el sector que, de la nada, empezó a ver que podrían aparecer nuevos problemas que no estaba acostumbrado a tratar.

¿De qué manera la pandemia afectó la ciberseguridad industrial de las empresas?
Impactó tanto en la ciberseguridad industrial como en la ciberseguridad en TI, debido a la necesidad de las empresas de continuar operando ante una situación no prevista. En muchos casos, se confi ó en usuarios u operadores en trabajo remoto y sin estar acostumbrados a ello, por lo que los atacantes vieron oportunidades de vulnerarlos, sabiendo que no están en ambientes tan controlados como los equipos de las ofi cinas, que las empresas han montado muchas VPN de emergencia sin los controles más estrictos y que si lograban entrar a una red tendrían tiempo de investigar antes de hacer notar el impacto del compromiso porque nadie los estaría buscando.

En este ámbito, ¿se requiere un know how y experiencia distintos que en ciberseguridad “tradicional”?
Sin duda alguna, la ciberseguridad industrial requiere conocimiento de tecnologías de operación, pero, sobre todo, demanda el conocimiento del funcionamiento de las plantas industriales, así como de los temas relacionados con la seguridad. Por eso, en el CCI (https://www.cci-es.org), solemos decir que no se trata solo de saber mucho de sistemas industriales o de seguridad, sino que de armar buenos equipos con conocimientos mixtos, dispuestos a compartir y a adquirir conocimiento cruzado para realmente sacar provecho.

¿Es la ciberseguridad industrial un tema para los sectores productivos en Chile?
Como en toda respuesta relacionada con la seguridad, la opción correcta sería decir: “Depende”. Hay empresas que se han tomado muy en serio el tema y están trabajando en base a estándares o normativas internacionales para elevar el nivel de controles de seguridad, pero también hay otras que solo miran de costado el tema viendo hacia dónde va el mercado para defi nir qué hacen y, claro está, también aquellas que no han demostrado preocupación alguna hasta ahora.

Esto último es muy peligroso por donde se lo mire: no se puede esperar a tener un incidente para comenzar a actuar, porque ese incidente puede ocasionar un daño serio o grave a una persona o comunidad, o incluso podría dejar sin operación a la empresa parcial o totalmente por una cantidad indeterminada de tiempo, y hasta podría llevarla a quebrar.

¿Poseen los proveedores de ciberseguridad tecnologías aptas para proteger sistemas industriales?
Por suerte, empiezan a aparecer en toda Latinoamérica cada vez más proveedores con soluciones de seguridad para los entornos industriales. Muchos eran proveedores de soluciones de seguridad para TI que han comenzado a desarrollar productos para TO, pero también comenzaron a aparecer desde hace unos años empresas dedicadas exclusivamente a desarrollar herramientas de seguridad exclusivas para este mundo.

En esta área, ¿es complejo encontrar profesionales con el perfil adecuado?
En general, encontrar profesionales de ciberseguridad es un problema bastante serio. Realmente hacen falta muchas personas en el área y, en particular, en lo que se refi ere a ciberseguridad industrial, sin duda, también hay una brecha debido a que es un tema mucho más nuevo y hay pocas ofertas de capacitación como la Escuela del CCI.

En el tiempo que lleva operando esta no solo se han capacitado muchos alumnos, sino que se ha requerido una constante actualización de los contenidos, porque tanto las problemáticas como la aparición de las tecnologías van cambiando a un ritmo realmente increíble.

¿Qué consejos daría en este tema?
A todos quienes trabajen en organizaciones industriales, los animo a mantenerse no solo informados, sino también a tomar acción sin esperar regulaciones. Los cambios en materia de ciberseguridad industrial están en marcha y avanzan a pasos agigantados, por lo cual es importante adoptar marcos de gestión, establecer requisitos de seguridad en los proyectos, participar en comunidades, etc.

A aquellos que estén pensando en estudiar temas de ciberseguridad industrial, no duden en hacerlo: ¡Es el momento!

En el CCI podrán encontrar muchos recursos, tanto de artículos como de capacitaciones, pero sobre todo un ecosistema de gente apasionada por la ciberseguridad industrial, que estará dispuesta a brindar experiencias y conocimientos a través del intercambio.

Mayor información en https://www.cci-es.org/hazte-miembro/