El concepto de “the low hanging fruit” lleva utilizándose desde hace mucho tiempo en el mundo del hacking. Este, es un concepto que hace referencia al abordaje de las tareas o los problemas más fáciles de resolver durante un análisis de seguridad. Proviene de la idea de recolectar las frutas más bajas y más accesibles de un árbol.
En el ámbito de la automatización y digitalización de sistemas de control industrial, estamos muy familiarizados con la necesidad de adaptarnos a los grandes avances tecnológicos y optimizaciones relacionadas con la mejora en la eficiencia y la productividad. Es ya una práctica habitual a trabajar bajo el concepto de The Low Hanging Fruit buscando implementar las soluciones más sencillas que generen mayor impacto, algo que básicamente está en el ADN de todo ingeniero o estudiante de ingeniería. Sin embargo, en este contexto de cambio y de adaptación continua, muchas veces llegamos tarde a los proyectos desde la mirada de las áreas y necesidades de la ciberseguridad. Y siempre debemos tener en cuenta que, tal y como la regla indica: todo lo que se hace más fácil de utilizar para los usuarios, es potencialmente más inseguro dado que mayormente se les reducen y eliminan controles.
Mientras el sector se mueve a un mundo más complejo y sofisticado pero también más integrado e interconectado a su vez que más sencillo para implementadores y usuarios, los proyectos de ciberseguridad de las organizaciones tienden a convertirse en proyectos casi indomables.
Pasos cortos para implementar The Low Hanging Fruit
Muchos suelen decir a quien tenga que armar un plan de ciberseguridad para una
organización por primera vez, que el primer paso es la formación del personal en las buenas prácticas de seguridad. El problema suele estar en que este primer paso termina siendo una utopía. ¿Es importante? claro que sí, es fundamental!! Aunque no es lo primero. Si un proyecto de ciberseguridad industrial comienza por ahí le será sumamente difícil avanzar con el ritmo y la constancia adecuada. Low hanging fruit nos lleva a pensar cuales son esos primeros controles que debemos implementar y que nos permitan lograr cambiar algo con un gran efecto en el corto plazo, determinar cuáles son las medidas que nos posicionan con el resto de la organización para que luego nos presten la debida atención y sigan nuestras indicaciones.
Establecer pasos cortos ayuda a no frustrarse así como a no frustrar a los colaboradores involucrados en el proyecto. Por este motivo es importante definir objetivos alcanzables y con resultados visibles para motivar al equipo y para que el resto de la organización vea cambios profundos. Seguir el camino teórico de armar un plan inicial de ciberseguridad de una organización basándose en un BIA (Business Impact Analisys) y en un BCP (Business Continuity Plan) es todo lo contrario al concepto de low hanging fruit ya que son eficientes y efectivos en el largo plazo. Ambos son proyectos transversales a toda la organización y necesitan depender de la formación y el tiempo de muchas personas en diferentes áreas. Debido a esto, este tipo de camino no nos permitirá lograr resultados inmediatos generando, a menudo y con consecuencias drásticas, desánimo y frustración.
La importancia de la formación en la ciberseguridad industrial
Aunque parezca una contradicción con lo expuesto anteriormente, no lo es. La formación es esencial y, si bien pensar en low hanging fruit no implica que nuestros usuarios no caigan en un phishing (ya que el plan de formación de los empleados en una organización que está iniciando sus pasos en ciberseguridad implicaría muchas horas de dedicación y constancia a largo plazo) tener un equipo de ciberseguridad correctamente formado, sí lo es. La formación especializada que aporte valor clave como el Máster Profesional Online de Ciberseguridad Industrial, es un punto clave para todo equipo multidisciplinar que vaya a abordar una estrategia de gestión de la ciberseguridad. En esta formación aprenderán sobre la teoría expuesta por docente cualificados y en activo; compartirán el ámbito académico con profesionales de distintos sectores e incrementarán un bagaje único a su currículum.
El beneficio relevante y rápido de la formación
Hace ya varios años, en el año 2020 la empresa Dragos realizó el informe titulado “ICS Cybersecurity Year in Review”. En el mismo mencionaba que el “64% de las vulnerabilidades descubiertas en sistemas de control industrial afectaron a software y hardware obsoletos”. Un dato importante que sorprendió a mucha gente que no pertenece al mundo de la ciberseguridad pero que no sorprende a nadie que forme parte de él. Los que hacemos de la ciberseguridad industrial nuestro día a día sabemos que hoy en día existe desplegado una gran cantidad de “legacy” en la industria. Low hanging fruit aquí no sería intentar reemplazar todo sino que se centraría mas en identificar lo más sencillo de cambiar y con mayor impacto, implementar estos cambios así como también identificar los de mayor impacto. Una tarea nada sencilla que implica monitorización constante – identificación y aislamiento.
Generar procedimientos de trabajo que nos permitan reducir la superficie de ataque a un adversario tratando de generar el menor impacto posible en la organización es otro gran paso que en muy poco tiempo podemos dar gracias al Máster. Eso sí, solo se podrá realizar que si somos conscientes de lo que este proceso implica en el ámbito de la operación.
El objetivo es siempre segmentar la red y a partir de allí aislar los dispositivos obsoletos, las funciones críticas, las personas críticas y demás minimizando el riesgo porque como dice Erik Knapp en su libro “Industrial Network Security”, “La segmentación de redes es una de las formas más eficaces y rentables de mejorar la seguridad de una red industrial”.
Definir e implementar un estándar de configuración, recorrer las instalaciones y aplicarlo primero en los equipos más críticos asegurando un proceso para que cada nuevo dispositivo agregado sea implementado según el estándar y capacitando a los usuarios exclusivamente en esa área, es el siguiente paso natural.
¿Cuántos frutos más podríamos identificar?
Esta acción fundamental dependerá de cada organización, de cada instalación industrial, de la cultura organizacional así como de la legislación a cumplir. El desafío auténtico es ir identificando los frutos bajos dependiendo de los distintos niveles de madurez de la empresa. Low hanging fruit no implica menos trabajo, ni decisiones fáciles, ni evitar pensar en un norte claro estratégico, implica compromiso por lograr el mejor resultado posible de la manera más sencilla y eficiente. Sumar formación especializada para ti y tu equipo para identificar los frutos bajos en tu organización e ir por ellos lo antes posible debe ser el objetivo de este próximo otoño.
Autor: Claudio Caracciolo
Responsable de Plataformas, Innovación y Talento y Coordinador General del Centro de Ciberseguridad Industrial para Latam.
Docente Máster Profesional Online de Ciberseguridad Industrial.
Sobre el autor: https://www.cci-es.org/team/claudio-caracciolo/