Aspectos comunes en proyectos de ciberseguridad industrial

Aspectos comunes en proyectos de ciberseguridad industrial

Aspectos comunes en proyectos de ciberseguridad industrial 2560 1703 Centro de Ciberseguridad Industrial

El presente informe comparte la experiencia adquirida en diversos proyectos de ciberseguridad industrial. En su mayoría, las empresas eran PYMEs, pero también se ha colaborado con grandes compañías. Alguno de los sectores a los que pertenecían estas empresas eran: automoción, agua, energía, industria de artes gráficas y fabricación de equipos industriales.

A lo largo de este informe, se expondrán los aspectos comunes que se han detectado en la gestión de la ciberseguridad, en el diseño y creación de productos, las debilidades más frecuentes y otros aspectos relevantes que he encontrado en el campo de la ciberseguridad industrial.

Aspectos comunes en proyectos de ciberseguridad industrial

Prácticamente la totalidad de los casos analizados se encontraban en un nivel inicial del proceso de ciberseguridad, lo que daba lugar a una serie de carencias comunes en la gestión de ésta, como:

  • Inventarios incompletos, inexistentes o sin actualizar, lo que dificultaba la identificación y priorización de los activos más críticos o vulnerables.
  • Falta de diagramas de red, lo que impedía tener una visión clara de los flujos de información, las conexiones entre los elementos y los posibles puntos de entrada o salida de los atacantes.
  • Ausencia de políticas y procedimientos que establecieran los principios, objetivos, responsabilidades y acciones en materia de Esto provocaba una falta de coherencia, consistencia y eficacia en la gestión de la ciberseguridad.
  • Falta de seguimiento y control de las inversiones en ciberseguridad. Muchas empresas habían realizado inversiones en dispositivos o software de ciberseguridad, pero no tenían un seguimiento profundo de estos productos y sus configuraciones. Esto podía ocasionar que los dispositivos o software estuvieran obsoletos, mal configurados o no se adaptaran a las necesidades reales de las empresas.
  • No se han realizado análisis de riesgos e impacto en el negocio (BIA) que les ayudara en la toma de decisiones o en la realización de planes de continuidad.
  • Falta de procedimientos de respuesta a incidentesaún habiendo sufrido alguno.
  • Desconocimiento de marcos de referencia como el ISA/IEC 62443 o la ISO 27001.
  • Desconocimiento de los requerimientos de ciberseguridad a la hora de elegir software y dispositivos, lo que podía llevar a adquirir productos que no se ajustaran a sus necesidades o que no ofrecieran las garantías de seguridad adecuadas.
  • Desconocimiento de las acciones de terceros en la planta. Falta de control sobre las actividades y los privilegios de socios y proveedores que accedían a sus sistemas o instalaciones.
  • Desconocimiento de desarrollo/programación segura. Algunas de las malas prácticas detectadas fueron:
    • No separación de entornos para desarrollos, pruebas y producción.
    • No separación de tareas, lo que podía generar conflictos de intereses, falta de independencia o responsabilidad o acceso indebido a los recursos o a la información. Esto se debía principalmente a lo pequeño que eran los equipos de desarrollo.
    • Uso de información sensible y de información de los entornos de producción para la realización de pruebas de aplicaciones en desarrollo. En muchos casos, se utilizaba información real, como datos personales, financieros o de negocio, para realizar las pruebas de las aplicaciones en desarrollo.
  • No disponer de suficiente personal cualificado y dedicado a la gestión de los activos más relacionados con las tecnologías de información y para afrontar los retos en ciberseguridad. Debido a ello, a veces se recurría a soluciones o procedimientos poco ortodoxos o inseguros.

Los bajos niveles de madurez en ciberseguridad también suelen estar relacionados con no tener en cuenta la ciberseguridad a la hora de diseñar o crear productos. Esto suponía una serie de problemas y dificultades, tales como:

  • Requerimientos de seguridad imposibles de abordar debido a la falta de capacidad técnica o económica, lo que obligaba a las empresas a decidir entre sacar al mercado un producto inseguro o plantearse un rediseño que implicaba más tiempo y dinero.
  • Soluciones o mitigaciones más complejas y costosas para resolver las vulnerabilidades o amenazas detectadas en los sistemas o dispositivos ya implementados o vendidos.
  • Dudas sobre la viabilidad o rentabilidad de los proyectos, al tener que asumir riesgos elevados o invertir en medidas de seguridad adicionales.
  • Insatisfacción en sus clientes y pérdida de confianza por la realización de las revisiones de seguridad, y sus resultados, tras haber vendido el producto.

Durante el proceso de los diversos proyectos se han detectado algunas debilidades habituales relacionadas con:

  • Falta de segmentación: la mayoría de las empresas no segmentaban adecuadamente sus redes o la segmentación era inexistente, sobre todo en los niveles operacionales.  Las empresas desconocían cómo realizar una segmentación correcta o consideraban que suponía un gran esfuerzo y coste, ya que requería la instalación de dispositivos como firewalls o switches. Implementar el modelo Purdue o las zonas seguras les supone un escollo, y transmiten que la segmentación puede ser uno de los retos más complejos en materia de ciberseguridad, tanto por los costes, como por los cambios que van arraigados a la forma de trabajar de toda la empresa.
  • Control de acceso deficiente: muchas empresas no aplicaban un control de acceso adecuado, tanto a nivel físico como lógico. Esto implicaba que cualquier persona pudiera acceder a recursos o a información, sin tener en cuenta los roles, las responsabilidades o las necesidades. Algunas de las causas comunes de este control de acceso deficiente eran:
      • Credenciales débiles: muchas empresas utilizaban credenciales de acceso que eran fáciles de adivinar.
      • Mal almacenamiento de credenciales: almacenamiento de credenciales de acceso en lugares inseguros, como archivos de texto, hojas de cálculo, post-it, etiquetas…
      • No aprovechar las capacidades de la gestión centralizada aún disponiendo de medios técnicos para llevarla a cabo.
      • Uso extendido de cuentas de usuario de administración.
      • Libre circulación por todas las instalaciones, sin restricciones por área o roles. Muchas empresas no restringían el acceso físico a las instalaciones, lo que permitía que cualquier persona pudiera entrar o salir de las diferentes zonas, sin tener que identificarse o justificar su presencia.
  • Falta de gestión centralizada de dispositivos, software y actualizaciones, que les permitiera tener un control más exhaustivo y una visibilidad de todos los elementos que componían su infraestructura. Lo que conllevaba dificultades en la administración, la configuración, la actualización y la monitorización de los dispositivos y el software, así como la detección, la evaluación, la priorización y la corrección de las vulnerabilidades.
  • Servicios e información innecesariamente públicos. En muchos casos no se protegían aun disponiendo de capacidades y recursos, como VPN, firewalls, segmentación o Active Directory. Las justificaciones habituales eran la comodidad o la funcionalidad.
  • Falta de parcheo/actualizaciones: muchas empresas no realizaban un parcheo o actualizaciones periódicas y oportunas de sus sistemas y dispositivos, lo que provocaba que presentaran vulnerabilidades conocidas y explotables por los atacantes. Muchas empresas asumían que disponían de tecnologías y sistemas antiguos y que ya no podían hacer nada por protegerlos, sin explorar las posibles alternativas o soluciones. En algunos casos, se detectaban vulnerabilidades cuyo impacto ayudaba a concienciar a las empresas sobre la importancia del mantenimiento de actualizaciones de software y dispositivos.

Casos comunes reales

A continuación, se presentan algunos casos comunes que no se han abordado en los apartados anteriores, pero que también tienen relevancia:

  • La mayoría de las empresas planificaban, querían realizar o habían realizado campañas de concienciación en ciberseguridad generalistas, dirigidas a todos los empleados, para sensibilizarles sobre los riesgos y las buenas prácticas en ciberseguridad. Sin embargo, pocas empresas realizaban campañas específicas para la ciberseguridad industrial, dirigidas a los empleados que trabajaban directamente con los sistemas o los dispositivos de control industrial, para formarles sobre las particularidades, los desafíos y las recomendaciones en este ámbito.
  • Es en el sector de la automoción donde se ha percibido mayor interés y exigencia por la ciberseguridad industrial, debido a las normativas y los estándares que se han establecido para este sector.
  • Las mayores preocupaciones mostradas por las empresas son el robo de propiedad intelectual, el phishing, el cómo iniciar el proceso de ciberseguridad y en qué nivel de madurez en el proceso de ciberseguridad se encuentra la industria en general.
  • Dificultades para adaptar las recomendaciones propuestas en diferentes marcos de referencia a empresas con ciertas capacidades o tamaño.
  • Un aspecto positivo y destacable que se ha encontrado en la mayoría de los proyectos de ciberseguridad industrial que se han analizado, es la involucración de la dirección de las empresas. En muchos casos, eran los propios directivos los que estaban presentes en las reuniones y en el seguimiento de los proyectos, lo que demostraba su compromiso y su interés por la ciberseguridad industrial.

Conclusiones

La mayoría de las empresas analizadas se encuentran en un nivel inicial en el proceso de ciberseguridad, esto es un indicativo de que los sectores público y privado no deben disminuir los esfuerzos al impulsar la implementación de una ciberseguridad eficaz y sostenible.

La información resultante de los planes estratégicos, recomendaciones y diagnósticos resulta abrumadora para muchas empresas, en parte, porque conciben que la ciberseguridad debería abordarse en un periodo limitado de tiempo. Por ello, es recomendable promover la ciberseguridad como un proyecto que les acompañará durante todo el ciclo de vida de la organización. La idea de que es un proceso de mejora continua que ayudará a mantener o mejorar su posición competitiva, que no sólo implica protección de activos y restricciones, es fundamental que cale para conseguir que no abandonen el proceso de ciberseguridad.

Teniendo en cuenta la experiencia con las empresas que se ha colaborado, los principales motivos de rechazo de implementar ciberseguridad son la inversión y los cambios relevantes en la forma de trabajar, siendo este segundo motivo el que tiene más peso.

Por otro lado, los profesionales de la ciberseguridad deben aumentar los esfuerzos para adaptar las soluciones de ciberseguridad a las necesidades y características de las pequeñas y medianas empresas, donde la automatización de procesos jugará un papel importante para poder llegar cada vez más a este tipo de empresas.

Este informe revela algunas deficiencias comunes que se producen cuando no se cuenta con una estrategia de ciberseguridad y cuando no se tiene en cuenta este factor en la creación de la empresa, en el diseño de la planta o en el de los productos que se fabrican. Es importante sensibilizar sobre estos aspectos para que las empresas puedan asegurar la protección de las personas, así como la viabilidad de sus proyectos y la continuidad de su negocio.

Autor:
Roberto Berrio Corrales

https://www.linkedin.com/in/roberto-berrio/

(Credencial Profesional Nivel Negro de CCI)