Los Centros de Operaciones de Seguridad (COS) no suelen tener en su punto de mira los sistemas de control industrial. Esto pone en gran riesgo a las organizaciones con entornos de tecnología operativa (TO). ¿Cómo podemos asegurarnos de que los analistas del COS también mantengan el pulso en el ámbito de la TO?
Cuando pensamos en ciberamenazas, solemos pensar en ataques DDoS que hacen caer sitios web, en una base de datos pirateada o en ordenadores infectados con malware. Como si la ciberdelincuencia fuera exclusivamente un "problema informático". Sin embargo, los piratas informáticos apuntan cada vez más a la tecnología operativa. Esta "TO" garantiza, por ejemplo, que el agua salga del grifo y la electricidad fluya del enchufe, y que las máquinas de las fábricas sigan funcionando las 24 horas del día.
Los ciberataques a los sistemas de control industrial pueden tener consecuencias catastróficas para las personas y la sociedad. Hace falta poca imaginación para imaginar lo que puede ocurrir si un hacker manipula los procesos de producción o el suministro de agua potable. Por no hablar de los daños económicos cuando las fábricas se paralizan.
TO-COS
Vigilar continuamente las amenazas que se manifiestan en el ámbito de la TO no es una tarea fácil para los empleados del COS. Los administradores de redes de TO suelen tener una forma de trabajar diferente a la de sus "colegas de TI". El tiempo para responder a un incidente o para llevar a cabo la gestión y el mantenimiento suele ser muy limitado. Además, no siempre es posible lanzar un parche para los sistemas de control industrial.
Entonces, ¿cómo podemos garantizar que el COS contribuya positivamente a la seguridad de las TI y las TO? Se enumeran tres factores de éxito a continuación:
1. Responsabilidad compartida
Un buen COS supervisa continuamente el entorno de TI/TO en busca de amenazas y aconseja qué hacer si se produce un incidente. El asesoramiento viene determinado en parte por la prioridad asignada a una amenaza. Por ejemplo, una amenaza de alto riesgo requiere una respuesta más rápida.
Sin embargo, para poder realizar una evaluación de riesgos adecuada, es necesario conocer en profundidad la infraestructura. Por ejemplo, el COS necesita saber qué sistemas y procesos son críticos. Sin embargo, los entornos TO son un territorio desconocido para muchos analistas COS, especialmente si trabajan para un proveedor de servicios externo. Entonces es difícil comprender bien el entorno del cliente.
Un "COS híbrido" puede ser la solución. Para ello, los analistas del COS colaboran estrechamente con los profesionales de la seguridad y otros especialistas del cliente para optimizar el intercambio de conocimientos. Al trabajar juntos en un contexto de equipo más amplio, se crea una responsabilidad conjunta de supervisión.
2. KPIs, KPIs, KPIs
KPI viene de la sigla en inglés para Key Performance Indicator, o sea, Indicador Clave de Actuación. Es una forma de medir si una acción o un conjunto de iniciativas están efectivamente atendiendo a los objetivos propuestos por la organización.
Como se ha mencionado anteriormente, un ataque al entorno de la TO puede tener graves consecuencias. Estos van más allá de la indisponibilidad temporal de un sistema informático. No es inconcebible que las infraestructuras vitales estén completamente paralizadas, una respuesta rápida es entonces esencial.
Por lo tanto, es importante que se establezcan acuerdos claros sobre las responsabilidades del COS en situaciones de emergencia. Por ejemplo, debe quedar claro con qué rapidez se espera una respuesta del COS y cómo es esa respuesta. También hay que demostrar el cumplimiento de estos KPI.
3. Garantizar la seguridad de la OT
La vigilancia no es posible sin el uso de la tecnología. Por ejemplo, los cortafuegos, los IDS y los IPS proporcionan la información necesaria para la supervisión, sin embargo, estas medidas técnicas de seguridad no deben perturbar la TO y deben hablar los protocolos comúnmente utilizados en el mundo de los sistemas de control industrial.
Afortunadamente, cada vez hay más productos disponibles para asegurar adecuadamente los entornos de TO. Pensar en soluciones que detecten comportamientos desviados en entornos de TO. Un TO-COS debe tener conocimiento de estas soluciones y puede incluso ser capaz de suministrarlas.
Fuente: CIO
Comments