Controles y auditoria para los sistemas de control industrial

En el anterior post estudiamos los riesgos que afectan a los sistemas de control industrial. Pudimos ver que el mayor problema que rodea a los sistemas de control industrial es su tecnología anticuada y por lo tanto que estos resultan vulnerables a ataques, es decir van atrasados en materia de ciberseguridad. Esto se debe a que en un principio fueron diseñados para usarse en lugares que no estuviesen expuestos a una red externa, sin embargo los tiempos cambian y han obligado a estos sistemas a estar conectados tanto con otros sistemas de la empresa como con la red global debido a la cuarta revolución industrial.

Hay muchos desafíos que enfrentan la protección de sistemas de control industrial, que van desde técnicas, tales como protocolos de comunicación débiles (en su mayoría sin cifrar) o la larga vida útil de estos sistemas, a organizativos (por ejemplo, la falta de colaboración y coordinación entre los departamentos involucrados) y gubernamentales, por ejemplo la falta de una política de seguridad en operadores de infraestructura crítica.

Un problema muy importante que ha sido incluido entre los ocho mayores desafíos en la seguridad de sistemas de control industrial es que los miembros de alta dirección de las empresas que utilizan sistemas de control industrial no están suficientemente involucrados en la seguridad del sistema de control industrial [1].

Comenzaremos identificando los controles necesarios teniendo en cuenta los riesgos estudiados anteriormente. Debido a que el riesgo que identificamos hace referencia a la ciberseguridad y esta está estrechamente relacionada con la seguridad de la información tomaremos como referencia el estándar ISO 27002. Sin embargo solo haremos uso de aquellos controles que tengan que ver con nuestro tema, que son los siguientes:

RIESGO	NIVEL DE RIESGO	CONTROL
Conexión remota a los sistemas	Alto	6.2.1 Política de uso de dispositivos para movilidad.   6.2.2 Teletrabajo.   9.1.2 Control de acceso a las redes y servicios asociados.   9.2.1 Gestión de altas/bajas en el registro de usuarios.   9.2.2 Gestión de los derechos de acceso asignados a usuarios.   9.2.3 Gestión de los derechos de acceso con privilegios especiales.   9.4.1 Restricción del acceso a la información.   9.4.2 Procedimientos seguros de inicio de sesión.   12.4.1 Registro y gestión de eventos de actividad.
Integración con otros sistemas TI de la empresa	Alto	5.1.2 Revisión de las políticas para la seguridad de la información.   12.3.1 Copias de seguridad de la información.   12.7.1 Controles de auditoría de los sistemas de información.
Uso de dispositivos portátiles	Medio	8.3.1 Gestión de soportes extraíbles.   8.3.2 Eliminación de soportes.   8.3.3 Soportes físicos en tránsito.   11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.   12.3.1 Copias de seguridad de la información.
Falta de renovación de la tecnología	Alto	12.1.2 Gestión de cambios.   12.1.3 Gestión de capacidades.   12.1.4 Separación de entornos de desarrollo, prueba y producción.   14.2.2 Procedimientos de control de cambios en los sistemas.   14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.   14.2.4 Restricciones a los cambios en los paquetes de software.   14.2.7 Externalización del desarrollo de software.   14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.   14.2.9 Pruebas de aceptación.
Falta de concienciación y comunicación sobre la seguridad	Alto	6.1.1 Asignación de responsabilidades para la seguridad de la información.   6.1.2 Segregación de tareas.   6.1.4 Contacto con grupos de interés especial.   7.2.2 Concienciación, educación y capacitación en seguridad de la información.   16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.   16.1.5 Respuesta a los incidentes de seguridad.
Inadecuada gestión del cambio	Medio	12.1.2 Gestión de cambios.   14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.   14.2.4 Restricciones a los cambios en los paquetes de software.
Conexión con una red global	Alto	9.4.1 Restricción del acceso a la información.   10.1.1 Política de uso de los controles criptográficos.   11.1.6 Áreas de acceso público, carga y descarga.   12.2.1 Controles contra el código malicioso.   13.1.1 Controles de red.   13.2.1 Políticas y procedimientos de intercambio de información.   14.1.3 Protección de las transacciones por redes telemáticas.

 

Como podemos observar los riesgos relacionados los sistemas de control industrial están altamente relacionados con la seguridad de la información, con la conexión de estos sistemas a la red los datos quedan expuestos a atacantes en la red o incluso que se encuentran dentro de la empresa. Por ese motivo utilizando todos los controles mencionados anteriormente somos capaces de controlar y mitigar los riesgos [2].

En pocas palabras me gustaría mencionar que los controles para asegurar la información de los sistemas de control industrial son totalmente necesarios. Por ese motivo las empresas deberían tenerlas muy en cuenta a la hora de implantar estos sistemas o incluso renovarlos. La auditoría sobre los sistemas de control industrial es más que necesaria para la adecuación de estos sistemas a las nuevas demandas de la industria, además de asegurar su continuidad mientras la empresa siga realizando sus labores dentro del sector en el que esta se desenvuelve.

Referencias:

[1] Deusto Océano. <<Approaching secure industrial control systems>>.Acceso 27 de noviembre de 2018. https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0

[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018. http://www.iso27001security.com/html/27000.html