Esta semana continuamos con el bloque dedicado al error 3/5, que hace referencia al impacto negativo que puede tener en un proyecto de digitalización infravalorar el papel de la Ciberseguridad. Se trata un tema muy actual, y que, dada su criticidad, conviene entender con un cierto nivel de detalle.
La semana pasada empezamos con una introducción , vimos algunas definiciones, y también algunas nociones básicas. Esta semana vamos a tratar algunos conceptos un poco más concretos, como las ventajas del uso conjunto de seguridad perimetral y «endpoint security», algunas técnicas de defensa activas, el concepto «security by design», algunos aspectos legales y la importancia de la concienciación de los trabajadores.
Seguridad perimetral y Endpoint Security
Se denomina seguridad perimetral al conjunto de elementos (físicos y/o lógicos) y configuraciones que se encargan de la protección del acceso a una red. Los más habituales son los cortafuegos (firewalls), IDS, IPS, y sistemas antivirus. Son una primera barrera de defensa cuyo cometido es intentar que la red a proteger sea un entorno seguro respecto al exterior.
La seguridad perimetral es habitualmente la primera opción, si bien la denominada «endpoint security» ha demostrado ser cada vez más relevante y mucho más efectiva a nivel de activo que un entorno con demasiadas capas y perímetros. En la seguridad denominada “endpoint security” cada activo tiene capacidad de protegerse a sí mismo, además de cumplir una serie de políticas de seguridad establecidas y coordinadas habitualmente desde un software de gestión centralizado. En industria, la aproximación más habitual la vemos en forma de pequeños dispositivos firewall industriales que se instalan en el puerto de comunicaciones de cada máquina.
La introducción progresiva del enfoque “endpoint security” viene impulsada por la concienciación respecto a que una red OT no siempre cuenta con activos cuyo software o sistemas operativos estén actualizados, habitualmente por no ser posible debido a dependencias en los sistemas de control de la maquinaria. Esto supone la coexistencia con activos potencialmente inseguros en un espacio de red compartido, lo que ha provocado una proliferación en la instalación de dispositivos específicos para proteger a cada una de las máquinas.
La combinación de ambas aproximaciones (seguridad perimetral + endpoint security) logra un mejor resultado, dado que el enfoque endpoint security puede lograr un nivel de granularidad muy fino y protección dentro de la red, y la seguridad perimetral puede aportar su capacidad para evitar accesos no deseados, manteniendo en general un entorno más higiénico.
Las SDN (Software Defined Networking – Redes Definidas por Software) permiten además hacer una gestión centralizada de los elementos físicos de control de la red (switches, firewalls, etc.) agilizando el despliegue y mantenimiento de políticas de seguridad en entornos de red complejos. Permiten evitar el nivel de gestión a bajo nivel (dispositivo a dispositivo) en favor de una política de red dinámica y muy escalable.
Engaño activo
Se trata de un conjunto de técnicas diseñadas para hacer creer a un posible atacante que está conectándose con un sistema concreto, cuando en realidad lo está haciendo a un entorno controlado y configurado precisamente para recibir, identificar y bloquear ese tipo de ataques. Estas técnicas suponen un enfoque legal y táctico muy interesante, ya que toda acción que realicemos estará enmarcada o tendrá su origen dentro de nuestra red. El engaño activo (“active deception”) suele ser una técnica que puede dar paso a técnicas más agresivas como el contraataque o el ataque preventivo, si bien en ese caso podríamos estar cruzando la línea de lo que podría considerarse legal o moralmente aceptable. En cualquier caso, la detección temprana de un ataque contra un activo “trampa” es siempre una estrategia muy interesante al aunar capacidad de detección y de bloqueo.
La Ciberseguridad en productos digitales
Conviene que las empresas que diseñan, desarrollan y/o despliegan productos digitales tengan una política o estrategia basada en SBD (Security By Design). En lo relativo al sector industrial, aquí se enmarcan por ejemplo empresas que diseñan software de operación de maquinaria, automatismos, sistemas MES, etc.
El SBD implica que un sistema ha sido diseñado para ser seguro desde su base, utilizando para su construcción tácticas y patrones de seguridad tanto para la arquitectura como para el código. Se trata, en última instancia, de un conjunto de principios y técnicas reutilizables que el equipo de desarrollo aplica al crear los diferentes componentes del sistema. Dicho en términos menos técnicos, el equipo no se centra únicamente en “hacer que funcione”, sino en que toda línea de código, sistema integrado, comunicación, etc. siga los principios marcados por SBD para minimizar los puntos débiles y maximizar así la seguridad completa del sistema. Y este principio no es solo importante aplicarlo en el diseño e implementación inicial, también hay que aplicarlo cuando el software evolucione.
La Ciberseguridad en el entorno de trabajo
Recordemos que la Ciberseguridad es como una cadena formada por eslabones, cuya resistencia será aquella que sea capaz de aportar su eslabón más débil. A nivel de organización, la Ciberseguridad es tarea de todos, y es importante que toda la compañía esté sensibilizada, y sus trabajadores bien formados y concienciados. Un buen punto de partida puede ser las diferentes guías y recomendaciones que publica periódicamente la Fundación OWASP.
GDPR: protección de datos de carácter personal
Aunque se tiende a pensar que el reglamento de protección de datos no aplica en entornos industriales, lo cierto es que sí lo hace. Si un usuario accede a un sistema utilizando sus credenciales, ya está aportando cierta información personal ya que, el correo electrónico, incluso siendo el de la empresa, es un dato considerado de carácter personal. Si además el usuario accede desde una red externa, nuestros sistemas (por lo menos los sistemas de red) estarán registrando su dirección IP, que también se trata de un dato de carácter personal. Puede parecer que la normativa exagera, pero lo cierto es que conociendo el usuario, su IP, y la hora de acceso, podemos geoposicionar a una persona en un momento dado con una precisión sorprendente.
En este artículo hemos visto las ventajas del uso conjunto de seguridad perimetral y «endpoint security», algunas técnicas de defensa activas, el concepto «security by design», algunos aspectos legales y la importancia de la concienciación de los trabajadores. Todo ello forma parte de una necesaria actitud consciente hacia la Ciberseguridad, que evite (o mitigue en gran medida) sufrir una catástrofe en forma de bloqueo o chantaje, y no impida la evolución del proyecto 4.0 «factible» al Negocio Digitalizado Viable y Rentable (y ciberseguro).
La semana que viene «entraremos en harina» viendo los tipos de ataques más comunes en entornos industriales, y cuáles son las técnicas más adecuadas para su mitigación.
Si quieres saber si tu estrategia no solo es «factible» sino también viable y rentable, te recomiendo que solicites nuestro cuestionario «del 4.0 al 4.1» de 20 preguntas que te servirá para obtener nuestro diagnóstico inicial sin coste, que estoy seguro te ayudará a determinar si estás tomando las decisiones adecuadas.