En el anterior post estudiamos los riesgos que afectan a los sistemas de control industrial. Pudimos ver que el mayor problema que rodea a los sistemas de control industrial es su tecnolog铆a anticuada y por lo tanto que estos resultan vulnerables a ataques, es decir van atrasados en materia de ciberseguridad. Esto se debe a que en un principio fueron dise帽ados para usarse en lugares que no estuviesen expuestos a una red externa, sin embargo los tiempos cambian y han obligado a estos sistemas a estar conectados tanto con otros sistemas de la empresa como con la red global debido a la cuarta revoluci贸n industrial.
Hay muchos desaf铆os que enfrentan la protecci贸n de sistemas de control industrial, que van desde t茅cnicas, tales como protocolos de comunicaci贸n d茅biles (en su mayor铆a sin cifrar) o la larga vida 煤til de estos sistemas, a organizativos (por ejemplo, la falta de colaboraci贸n y coordinaci贸n entre los departamentos involucrados) y gubernamentales, por ejemplo la falta de una pol铆tica de seguridad en operadores de infraestructura cr铆tica.
Un problema muy importante que ha sido incluido entre los ocho mayores desaf铆os en la seguridad de sistemas de control industrial es que los miembros de alta direcci贸n de las empresas que utilizan sistemas de control industrial no est谩n suficientemente involucrados en la seguridad del sistema de control industrial [1].
Comenzaremos identificando los controles necesarios teniendo en cuenta los riesgos estudiados anteriormente. Debido a que el riesgo que identificamos hace referencia a la ciberseguridad y esta est谩 estrechamente relacionada con la seguridad de la informaci贸n tomaremos como referencia el est谩ndar ISO 27002. Sin embargo solo haremos uso de aquellos controles que tengan que ver con nuestro tema, que son los siguientes:
RIESGO | NIVEL DE RIESGO | CONTROL |
Conexi贸n remota a los sistemas |
Alto |
6.2.1 Pol铆tica de uso de dispositivos para movilidad.
6.2.2 Teletrabajo.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2.1 Gesti贸n de altas/bajas en el registro de usuarios.
9.2.2 Gesti贸n de los derechos de acceso asignados a usuarios.
9.2.3 Gesti贸n de los derechos de acceso con privilegios especiales.
9.4.1 Restricci贸n del acceso a la informaci贸n.
9.4.2 Procedimientos seguros de inicio de sesi贸n.
12.4.1 Registro y gesti贸n de eventos de actividad. |
Integraci贸n con otros sistemas TI de la empresa |
Alto |
5.1.2 Revisi贸n de las pol铆ticas para la seguridad de la informaci贸n.
12.3.1 Copias de seguridad de la informaci贸n.
12.7.1 Controles de auditor铆a de los sistemas de informaci贸n. |
Uso de dispositivos port谩tiles |
Medio |
8.3.1 Gesti贸n de soportes extra铆bles.
8.3.2 Eliminaci贸n de soportes.
8.3.3 Soportes f铆sicos en tr谩nsito.
11.2.7 Reutilizaci贸n o retirada segura de dispositivos de almacenamiento.
12.3.1 Copias de seguridad de la informaci贸n. |
Falta de renovaci贸n de la tecnolog铆a |
Alto |
12.1.2 Gesti贸n de cambios.
12.1.3 Gesti贸n de capacidades.
12.1.4 Separaci贸n de entornos de desarrollo, prueba y producci贸n.
14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisi贸n t茅cnica de las aplicaciones tras efectuar cambios en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.7 Externalizaci贸n del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptaci贸n. |
Falta de concienciaci贸n y comunicaci贸n sobre la seguridad |
Alto |
6.1.1 Asignaci贸n de responsabilidades para la seguridad de la informaci贸n.
6.1.2 Segregaci贸n de tareas.
6.1.4 Contacto con grupos de inter茅s especial.
7.2.2 Concienciaci贸n, educaci贸n y capacitaci贸n en seguridad de la informaci贸n.
16.1.4 Valoraci贸n de eventos de seguridad de la informaci贸n y toma de decisiones.
16.1.5 Respuesta a los incidentes de seguridad. |
Inadecuada gesti贸n del cambio |
Medio |
12.1.2 Gesti贸n de cambios.
14.2.3 Revisi贸n t茅cnica de las aplicaciones tras efectuar cambios en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software. |
Conexi贸n con una red global |
Alto |
9.4.1 Restricci贸n del acceso a la informaci贸n.
10.1.1 Pol铆tica de uso de los controles criptogr谩ficos.
11.1.6 脕reas de acceso p煤blico, carga y descarga.
12.2.1 Controles contra el c贸digo malicioso.
13.1.1 Controles de red.
13.2.1 Pol铆ticas y procedimientos de intercambio de informaci贸n. 聽 14.1.3 Protecci贸n de las transacciones por redes telem谩ticas. |
Como podemos observar los riesgos relacionados los sistemas de control industrial est谩n altamente relacionados con la seguridad de la informaci贸n, con la conexi贸n de estos sistemas a la red los datos quedan expuestos a atacantes en la red o incluso que se encuentran dentro de la empresa. Por ese motivo utilizando todos los controles mencionados anteriormente somos capaces de controlar y mitigar los riesgos [2].
En pocas palabras me gustar铆a mencionar que los controles para asegurar la informaci贸n de los sistemas de control industrial son totalmente necesarios. Por ese motivo las empresas deber铆an tenerlas muy en cuenta a la hora de implantar estos sistemas o incluso renovarlos. La auditor铆a sobre los sistemas de control industrial es m谩s que necesaria para la adecuaci贸n de estos sistemas a las nuevas demandas de la industria, adem谩s de asegurar su continuidad mientras la empresa siga realizando sus labores dentro del sector en el que esta se desenvuelve.
Referencias:
[1] Deusto Oc茅ano. <<Approaching secure industrial control systems>>.Acceso 27 de noviembre de 2018. https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0
[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018. http://www.iso27001security.com/html/27000.html
joseba.eskubi
Latest posts by joseba.eskubi (see all)
- Smart City, 驴Revoluci贸n tecnol贸gica o ciudadana? - 24 enero, 2019
- Los ERPs y las personas - 31 diciembre, 2018
- Tipos de sistemas de control industrial - 28 noviembre, 2018
Buen enfoque, pero has llegado a ver IEC 62443?