Cuando se trata de seguridad IT, no hay nada como un pequeño detalle
En los detalles es precisamente donde los chicos malos encuentran su camino: a través de aquellas pequeñas cosas que uno no se preocupa de revisar y securizar. Hay muchas de ellas en los productos industriales. Demasiado a menudo, los servicios y funciones de IT (Information Technology) se instalan por conveniencia, pero los aspectos de seguridad IT rara vez se tiene en cuenta. Como resultado, no es raro encontrar servidores web embebidos, con una versión de hace más de 10 años, nunca actualizada, o funcionalidades de servicios remotos implementadas de manera demasiado simple.
Lo que es un detalle para algunos, es una regla de oro para otros
Ignorancia, incompetencia, júzguelo usted mismo, pero no lo haga precipitadamente y preocúpese por el contexto y los detalles de nuevo. Se necesitaron décadas hasta que IT alcanzara los niveles de conciencia actuales y, aun así, constantemente se suceden ataques con éxito a arquitecturas puramente IT.
No hace más de 15 ó 20 años que la industria adoptó IT en la planta de producción. Bajo la presión del marketing de los principales fabricantes las fábricas migraron, de múltiples y desconectadas ‘redes’ serie a arquitecturas de IT integradas. Bajo la promesa de múltiples beneficios, se dio rienda suelta al proceso de modernización de la industria 4.0. Las máquinas industriales y sus componentes inevitablemente se vieron ‘conectadas’.
El contexto de OT (Operational Technology) es bien diferente en el sentido que, si bien conocemos las ventajas de construir algo nuevo, también conocemos los beneficios de tener un personal experimentado y la recompensa de reparar. En la industria, estamos muy orgullosos de mostrar sistemas, máquinas y controladores que aun funcionan, día tras día, con muy poco o sin nada de mantenimiento, durante 10, 15, 20 ó 30 años después que la inversión inicial haya sido amortizada. En la industria, las cosas se construyen pensando para que duren.
La ilusión de una ciber-valla
Es muy tentador pensar que, si el problema viene de la conectividad IT, IT lo solucionará y construirá, alrededor de la red de la fábrica, un perímetro securizado donde OT puede continuar usando protocolos poco o nada seguros y plataformas obsoletas. Por desgracia, la realidad no es así: las ciber amenazas pueden importarse, como al hacer click en el enlace de un correo electrónico, y producción necesita conexiones externas, por ejemplo, para soporte técnico y servicios remotos de proveedores. La historia muestra el concepto de una isla IT, aislada del resto del mundo, es una ilusión y tenemos que pensar diferente. Como IT a solas no puede securizar la industria, la industria debe securizarse a sí misma. La integración IT/OT también debería entenderse como una integración de la seguridad IT en los flujos de trabajo de OT: la seguridad IT necesita formar parte de procesos OT y filtrarse en los flujos de trabajo de OT.
Si funciona, no lo toques… ¿Seguro?
Esto no es aceptable, por supuesto, en una fábrica conectada, con producción integrada con industria 4.0. Pero la diferencia es enorme, entre grandes organizaciones que ya han integrado mantenimiento IT de sus sistemas OT entre sus prácticas habituales y el resto, que usan a veces equipamiento legado y poco seguro.
Por tanto, la seguridad IT no es solo que OT adquiera nuevas prácticas o competencias, es un cambio completo de paradigma: la manera en que máquinas y componentes se adquirían en el pasado, como una inversión única, ya no es la adecuada. La actualidad viene con servicios de IT y mantenimiento a largo plazo.
Hacer las cosas bien no tiene por qué más caro
Para un proveedor industrial, desarrollar productos y soluciones securizadas no es necesariamente más caro, pero si seguramente requiere cambiar el enfoque, desde el principio del proceso de I+D. Se impone que los desarrolladores y los responsables de producto adopten una mentalidad de seguridad IT y que sean conscientes del impacto que cada decisión en I+D tiene en la seguridad del flujo de trabajo del futuro usuario.
Tanto para securizar equipos legados, securizar el soporte y mantenimiento remoto o securizar los servicios de IOT industrial, creemos que, con nuestra experiencia como proveedores industriales de largo recorrido, tenemos un papel importante que jugar. Conocemos los casos de uso de OT, tenemos la experiencia de adaptarnos a los flujos de trabajo del usuario. Esta es precisamente nuestra especialidad y el valor añadido que generamos cuando integramos seguridad IT en nuestras soluciones OT.
En MB Connect Line vemos la seguridad IT primero como un proceso, a lo largo del tiempo de vida del producto y luego como una estructura, en la empresa. Solo después vemos la seguridad IT como funciones en el producto.
Es un proceso porque empieza con el proyecto de un nuevo producto, incluso antes que I+D empiece, y continúa, con parches y actualizaciones, más allá del fin de ciclo del producto.
Es una estructura, con nuestro equipo de respuesta de seguridad y con nuestro ecosistema de partner en seguridad IT, quienes nos ayudan en nuestros procesos de diseño de producto y mantenimiento.
Finalmente, es una serie de funciones en nuestros productos, algunas visibles y otras no, muchas de ellas siguiendo las recomendaciones de agencias de ciberseguridad de todo el mundo.
¿Quiere saber más sobre nuestro IT Security Standard? Solo haga click aquí o bien solicite nuestro IT Security White Paper
Fuente: www.mbconnectline.com
Lo sentimos, no hay comentarios todavía.