Miércoles 18 de Septiembre de 2024       •      Dólar= $922,50      •      UF=$37.861,24       •      UTM=$66.362

Generar una cultura de ciberseguridad,
un imperativo en los PLC
Por Cristián Gorena, Senior Manager en Cyber Risk en Deloitte.
En un entorno tecnológico marcado por la evolución de la infraestructura crítica y su enfrentamiento a nuevos riesgos, los PLC surgen como un nuevo campo donde se deben integrar controles de seguridad efectivos en un panorama donde convergen las operaciones de seguridad en TI y OT. En esta columna, reflexionamos sobre la complejidad de garantizar la seguridad en entornos industriales ante las amenazas cibernéticas emergentes.

La ciberseguridad en los controladores lógicos programables (PLC) es un imperativo al que se han tenido que abocar las organizaciones que cuentan con redes operativas como parte crítica de sus procesos de negocio industriales. Y es que, en su concepción, la infraestructura crítica se ha apoyado en los sistemas de control industrial (ICS) para mantener la confiabilidad (Reliability) y la “seguridad de las personas” (Safety), y no necesariamente el concepto de Seguridad como lo conocemos desde una perspectiva de ciberseguridad o seguridad de la información (Security).

Por ende, hoy estamos en un paradigma distinto: La innovación tecnológica ha impactado a diversos procesos industriales, impulsando la interconectividad, la operación remota, y la integración de dispositivos inteligentes (Internet de las Cosas o IoT) a los ambientes operacionales.

Si bien esto debiese significar eficiencia operativa y de costos para las organizaciones, hay que destacar que toda tecnología que se incorpora dentro de un ambiente inherentemente también introducirá nuevos riesgos a ser mitigados. Del mismo modo, ahora los PLC que anteriormente se encontraban “seguros por obscuridad” debido a lo poco alcanzable de su naturaleza, ahora están sujetos a ser impactados de manera negativa tanto por actores externos, como internos.


Desafíos a enfrentar

Es por esto por lo que se vuelve obvia la necesidad de integrar controles efectivos y comprehensivos de seguridad a los PLC, lo que no es una tarea fácil de abordar. El desafío para lograr esto en las organizaciones es encontrar el punto de convergencia y conciliación entre las operaciones de seguridad tanto en TI como en OT. Y esto no es tarea sencilla, ya que vemos que muchas veces los equipos que operan sistemas OT no tienen un entendimiento cabal de los riesgos de seguridad en ambientes TI, y en su contraparte, los equipos de seguridad TI pocas veces conocen los procesos operacionales soportados por PLC que impulsan al negocio.

Otro aspecto a considerar al momento de intentar establecer una estrategia de seguridad para los dispositivos PLC es la discrepancia en tecnologías que una organización puede tener en distintas faenas: comúnmente vemos instalaciones o faenas que soportan procesos de negocio menos complejos, y otras que pueden estar operando en tecnologías legado, las cuales no permiten un monitoreo centralizado, por ejemplo.

A esto se debe sumar una capa adicional de complejidad: ¿quién se vuelve responsable del mantenimiento y soporte de estas plataformas? Generalmente, los vendors y proveedores de tecnologías PLC no darán soporte e invalidarán garantías sobre productos si se les aplicó un parche de seguridad que no fue vetado por ellos, o si la mantención del dispositivo la realizó alguien no autorizado por el vendor. Esto sumado a la sensibilidad operacional que tiene el poder causar una potencial disrupción en el funcionamiento

Es importante destacar que la seguridad (o la falta de) en los PLC puede tener impactos y materializarse como riesgos dentro de una organización en ámbitos adicionales a la continuidad operativa. Fallas o manipulaciones en un proceso de negocio soportado por un PLC puede generar un lote de producción insuficiente, o que no satisface las características de calidad requeridas, lo cual puede llevar a que la organización no acate compromisos contractuales con un tercero. En este mismo escenario, el impacto reputacional por no cumplir un compromiso comercial, o la mala calidad de un producto, pueden generar impactos negativos a la organización que superan los costos directos del incidente específico.

Tanto los dispositivos PLC como otros componentes en las redes operacionales (sistemas ICS/SCADA) pueden ser comprometidos por amenazas que han sido desarrolladas de manera específica a su funcionamiento y diseño, o ser víctimas de amenazas masivas que pudiesen afectar la disponibilidad o integridad de los datos que estas reportan. Cabe destacar en esta instancia que, de manera creciente, vemos cómo amenazas cibernéticas que en su origen tienen como objetivos de compromiso a activos en redes TI tradicionales, pueden llegar a moverse lateralmente hasta llegar a una “zona de confianza” con las redes operacionales, y poner en peligro el correcto funcionamiento de los mismos.


Cómo prevenir

La situación planteada en los párrafos anteriores describe un escenario complejo (desde una perspectiva tanto de Gobierno como técnica) para los responsables de ciberseguridad de las organizaciones, y sobre los esfuerzos que realizan para mitigar los riesgos en sus organizaciones. Para abordar este panorama de amenazas, es fundamental que las organizaciones desarrollen una estrategia de seguridad que les permita anteponerse a un potencial ciberataque desde una perspectiva preventiva, detectiva y de recuperación.

Contar con procesos de gestión de riesgo empresarial, los que incorporen diversos indicadores de ciber-riesgo en sus cálculos es fundamental para obtener visibilidad respecto al real nivel de exposición de la organización. Esto, va ligado a temas higiénicos de ciberseguridad, como lo es el contar con un inventario detallado y cabal de los activos del negocio, contar con un programa establecido de gestión de vulnerabilidades, y el contar con los mecanismos y controles necesarios para controlar y mantener trazabilidad sobre los accesos a redes/activos/sistemas sensibles dentro de la organización.

Ejecutar un diagnóstico de ciberseguridad, el cual brinde visibilidad sobre el nivel de madurez de las capacidades existentes en la organización, es un punto de partida para definir el nivel de madurez deseado al cual se debe llegar, considerando el apetito de riesgo y el nivel de inversión disponible.

Esto permitirá definir una estrategia de ciberseguridad que considere las particularidades de los ambientes TI y OT, y buscará por la generación de sinergias y de eficiencia de costos donde sea alcanzable. La estrategia debe ser lo suficientemente detallada para considerar objetivos a lograr en el corto, mediano y largo plazo.

Generar una cultura de ciberseguridad, capacitar a los usuarios, proteger los accesos y monitorear los eventos de seguridad en todos los ambientes de la organización también toman una creciente relevancia al momento de preparar a la organización para que sea segura, vigilante y resiliente frente a un ciberataque.

A medida que las tecnologías avanzan, vemos como los negocios deben reinventarse y reestructurarse para incorporar componentes que agilicen su operación. Esto, sin embargo, incrementará la superficie de ataque disponible a adversarios, complejizará la centralización de procesos, y elevará los costos, si no es abordado por medio de una estrategia de ciberseguridad que tenga como objetivo final un gobierno unificado.

Noviembre 2023
.......
Comentarios acerca de este artículo
No hay comentarios publicados
Comenta este artículo
Nombre:
Empresa:
Email:
Comentario:
Notificarme de actividad en este artículo
Ingrese los caracteres de la imagen:
Reportajes
SUBESTACIONES DIGITALES: Transformando el futuro energético
Cables eléctricos para aplicaciones industriales
GENERADORES ELÉCTRICOS: ¿Cómo elegir el modelo adecuado para su empresa?
Contáctenos
Dirección: José Manuel Infante 919, Of. 203,
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2023 Editora Microbyte Ltda.