Tipos de sistemas de control industrial

Download PDF

En las anteriores publicaciones hemos analizados los riesgos, los controles para mitigar los riesgos y la relevancia en la industria de los sistemas de control industrial (SCI), además de que también realizamos una breve introducción a estos sistemas. En esta ocasión me gustaría indagar un poco más en los distintos tipos de SCI que existen actualmente, para ello analizaremos los diferentes sistemas, veremos cómo funcionan y además mostrare unos esquemas que ilustraran la arquitectura de los diferentes SCIs.

Como vimos en la primera publicación un SCI es un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados[1]. Sin embargo existen diferentes maneras de realizar esta tarea, por diferentes maneras me refiero a diferentes tipos y configuraciones de SCIs que serían los siguientes: Sistema de Control Distribuido (SCD),  Sistemas de Supervisión, Control y Adquisición de Datos (SCADA), Controladores Lógicos Programables o Autómatas Programables (PLC).

Comenzaremos hablando de los SCD que son los encargados de controlar procesos industriales dentro de la misma zona geográfica. Se utilizan ampliamente en industrias basadas en procesos, además de que estos sistemas están interconectados con la red corporativa para proporcionar a las operaciones de negocio una visión de la producción. En la siguiente imagen se muestra la implementación de un SCD:

CapturaPost51

Por su parte los sistemas SCADA están altamente distribuidos y se utilizan para controlar activos dispersos geográficamente donde la adquisición y control de datos son críticos para la operación o funcionamiento del sistema. Los sistemas SCADA están diseñados para recoger información de campo y transferirla a una instalación informática central de modo que un operador pueda supervisar o controlar centralizadamente un sistema completo en tiempo real. Estos sistemas están diseñados para ser tolerantes a fallos con gran redundancia integrada en la arquitectura del sistema. La diferencia principal entre sistemas los SCD y los sistemas SCADA es que es que los primeros distribuyen los componentes de control mientras que los segundos son centralizados. Para ilustrar cual sería el diseño de un sistema SCADA se muestra la siguiente imagen:

Post52

 

Por último encontramos los controladores lógicos programables o PLCs, los cuales son dispositivos informáticos de estado sólido que controlan equipos y procesos industriales. Como se puede ver en las imágenes anteriores los PLCs se utilizan bastante en sistemas SCADA y SCD, sin embargo en muchas ocasiones son los componentes primarios de configuraciones de sistemas de control más pequeños más pequeños que proporcionan control operativo sobre los diferentes procesos. Los PLCs se utilizan en la gran mayoría de los procesos industriales. A continuación se representa la arquitectura de un PLC:

 

Captura53

Antes de finalizar me gustaría aclarar ciertos términos que vemos en los esquemas pero que quizá no se conozcan y no se sepa la función que realizan dentro del sistema:

  • Servidores de control: El servidor de control aloja el software de control de supervisión de SCD o PLC que se comunica con los dispositivos de control de nivel inferior.
  • Servidor SCADA (MTU): Se trata de un dispositivo que actúa como el maestro en un sistema SCADA.
  • Unidad terminal remota (RTU): Es una unidad de adquisición y control de datos de propósito específico diseñada para apoyar las estaciones remotas SCADA.
  • Dispositivo electrónico inteligente (IED): Es un sensor/mecanismo “inteligente” que contiene la inteligencia necesaria para adquirir datos, comunicarse con otros dispositivos, y realizar procesamiento y control local.
  • Interfaz hombre maquina (HMI): Un HMI es el software y el hardware que permite a los operadores humanos supervisar el estado de un proceso bajo su control, modificar las configuraciones de control para cambiar el objetivo de control y anular manualmente las operaciones de control automático en caso de una emergencia.
  • Histórico de datos: La información almacenada en esta base de datos puede ser accedida para apoyar diversos análisis, desde el control estadístico de procesos hasta la planificación a nivel empresarial.
  • Servidos de entrada/salida (ES): El servidor ES es un componente de control responsable de la recogida, el almacenamiento en memoria intermedia (buffer) y la provisión de acceso para procesar la información de los subcomponentes de control, tales como PLCs, RTUs e IEDs [2].

 

Por ultimo me gustaría señalar que los SCI son sistemas complejos con muchos componentes pero que desempeñan su función de forma eficiente y correcta. Gracias a ellos la industria actual se encuentra en una muy buena posición, permitiendo producir productos de alta calidad a un precio razonable. Su uso es crítico y como he señalado a lo largo de las cinco publicaciones su seguridad es crucial para la empresa, por ese motivo siempre deberían de tenerse en cuenta, además deberíamos concienciarnos de que su labor es crucial para el bienestar de la empresa.

 

Referencias:

 

[1]PublicaTIC. <<Una vista global a los sistemas de control industrial>>. Acceso 27 de noviembre de 2018. https://blogs.deusto.es/master-informatica/una-vista-global-a-los-sistemas-de-control-industrial/

[2] ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 27 de noviembre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

 

Controles y auditoria para los sistemas de control industrial

Download PDF

En el anterior post estudiamos los riesgos que afectan a los sistemas de control industrial. Pudimos ver que el mayor problema que rodea a los sistemas de control industrial es su tecnología anticuada y por lo tanto que estos resultan vulnerables a ataques, es decir van atrasados en materia de ciberseguridad. Esto se debe a que en un principio fueron diseñados para usarse en lugares que no estuviesen expuestos a una red externa, sin embargo los tiempos cambian y han obligado a estos sistemas a estar conectados tanto con otros sistemas de la empresa como con la red global debido a la cuarta revolución industrial.

Hay muchos desafíos que enfrentan la protección de sistemas de control industrial, que van desde técnicas, tales como protocolos de comunicación débiles (en su mayoría sin cifrar) o la larga vida útil de estos sistemas, a organizativos (por ejemplo, la falta de colaboración y coordinación entre los departamentos involucrados) y gubernamentales, por ejemplo la falta de una política de seguridad en operadores de infraestructura crítica.

Un problema muy importante que ha sido incluido entre los ocho mayores desafíos en la seguridad de sistemas de control industrial es que los miembros de alta dirección de las empresas que utilizan sistemas de control industrial no están suficientemente involucrados en la seguridad del sistema de control industrial [1].

Comenzaremos identificando los controles necesarios teniendo en cuenta los riesgos estudiados anteriormente. Debido a que el riesgo que identificamos hace referencia a la ciberseguridad y esta está estrechamente relacionada con la seguridad de la información tomaremos como referencia el estándar ISO 27002. Sin embargo solo haremos uso de aquellos controles que tengan que ver con nuestro tema, que son los siguientes:

RIESGO NIVEL DE RIESGO CONTROL
Conexión remota a los sistemas

Alto

6.2.1 Política de uso de dispositivos para movilidad.

 

6.2.2 Teletrabajo.

 

9.1.2 Control de acceso a las redes y servicios asociados.

 

9.2.1 Gestión de altas/bajas en el registro de usuarios.

 

9.2.2 Gestión de los derechos de acceso asignados a usuarios.

 

9.2.3 Gestión de los derechos de acceso con privilegios especiales.

 

9.4.1 Restricción del acceso a la información.

 

9.4.2 Procedimientos seguros de inicio de sesión.

 

12.4.1 Registro y gestión de eventos de actividad.

Integración con otros sistemas TI de la empresa

Alto

5.1.2 Revisión de las políticas para la seguridad de la información.

 

12.3.1 Copias de seguridad de la información.

 

12.7.1 Controles de auditoría de los sistemas de información.

Uso de dispositivos portátiles

Medio

8.3.1 Gestión de soportes extraíbles.

 

8.3.2 Eliminación de soportes.

 

8.3.3 Soportes físicos en tránsito.

 

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.

 

12.3.1 Copias de seguridad de la información.

Falta de renovación de la tecnología

Alto

12.1.2 Gestión de cambios.

 

12.1.3 Gestión de capacidades.

 

12.1.4 Separación de entornos de desarrollo, prueba y producción.

 

14.2.2 Procedimientos de control de cambios en los sistemas.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

 

14.2.7 Externalización del desarrollo de software.

 

14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.

 

14.2.9 Pruebas de aceptación.

Falta de concienciación y comunicación sobre la seguridad

Alto

6.1.1 Asignación de responsabilidades para la seguridad de la información.

 

6.1.2 Segregación de tareas.

 

6.1.4 Contacto con grupos de interés especial.

 

7.2.2 Concienciación, educación y capacitación en seguridad de la información.

 

16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.

 

16.1.5 Respuesta a los incidentes de seguridad.

Inadecuada gestión del cambio

Medio

12.1.2 Gestión de cambios.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

Conexión con una red global

Alto

9.4.1 Restricción del acceso a la información.

 

10.1.1 Política de uso de los controles criptográficos.

 

11.1.6 Áreas de acceso público, carga y descarga.

 

12.2.1 Controles contra el código malicioso.

 

13.1.1 Controles de red.

 

13.2.1 Políticas y procedimientos de intercambio de información.

 

14.1.3 Protección de las transacciones por redes telemáticas.

 

Como podemos observar los riesgos relacionados los sistemas de control industrial están altamente relacionados con la seguridad de la información, con la conexión de estos sistemas a la red los datos quedan expuestos a atacantes en la red o incluso que se encuentran dentro de la empresa. Por ese motivo utilizando todos los controles mencionados anteriormente somos capaces de controlar y mitigar los riesgos [2].

En pocas palabras me gustaría mencionar que los controles para asegurar la información de los sistemas de control industrial son totalmente necesarios. Por ese motivo las empresas deberían tenerlas muy en cuenta a la hora de implantar estos sistemas o incluso renovarlos. La auditoría sobre los sistemas de control industrial es más que necesaria para la adecuación de estos sistemas a las nuevas demandas de la industria, además de asegurar su continuidad mientras la empresa siga realizando sus labores dentro del sector en el que esta se desenvuelve.

Referencias:

[1] Deusto Océano. <<Approaching secure industrial control systems>>.Acceso 27 de noviembre de 2018. https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0

[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018. http://www.iso27001security.com/html/27000.html

Relevancia de los sistemas de control en la industria

Download PDF

Tras haber realizado una visión global sobre los sistemas de control industrial, donde hemos podido conocer los diferentes tipos de sistemas existentes, ver un poco por encima sus vulnerabilidades y como han tenido que evolucionar estos en los últimos años por la aparición de la industria 4.0, es el momento de mostrar cual es el grado de relevancia de estos sistemas dentro de la industria. Para ello analizaremos diferentes noticias, empresas o tendencias que nos ayudaran a mostrar su importancia. Antes de comenzar cabe destacar que hoy en día toda empresa en el sector industrial tiene todo el proceso de fabricación controlado, parametrizado y monitorizado para que no ocurran errores catastróficos capaces de paralizar la planta de fabricación durante largos periodos de tiempo, y todo ello gracias a los avances tecnológicos actuales. [1]

Comenzaremos echando la vista atrás, donde los procesos ya estaban automatizados gracias a instrumentos que conseguían abaratar los costes de mano de obra y que realizaban trabajos repetitivos que a un ser humano acabarían cansándole, incluso en estas épocas ya se podía ver el afán de las personas por controlar el proceso para que este fuese lo más fiable posible. No fue hasta la década de los 60 donde se comenzaron a utilizar las computadoras para realizar estas labores de control. ¿Por qué los años 60?, porque para esas fechas ya se había avanzado lo suficiente en la materia de la computación como para lograr sistemas lo suficientemente potentes como para permitir que estos realizaran las labores de control. Durante los próximos años estos sistemas se irían desarrollando y mejorando con nuevas tecnologías hasta lograr sistemas de control que se encuentran conectados a la red y son capaces de interactuar entre ellos. [2]  En la siguiente imagen es posible visualizar esta evolución:

xEvolucion-de-la-automatizacion-industrial.jpg.pagespeed.ic.i7_wSni6Kz [Read more…]

Una vista global a los sistemas de control industrial

Download PDF

Desde que yo tengo uso de razón el ser humano siempre ha sentido la necesidad de controlar cada aspecto que influye en su vida. Este control nos hace sentir reconfortados y cómodos sabiendo que todo lo que sucede, es tal y como habíamos previsto. Por lo que si decimos que lo mejor es tener bajo control cualquier decisión que tomamos o cualquier acción que realizamos en nuestra propia vida, también deberemos de controlar cada proceso dentro del sector industrial. De esta manera al igual que con nuestras decisiones o acciones sabremos si lo que estamos produciendo es lo que inicialmente habíamos planeado. Por lo que se podría resaltar que el control dentro de la industria, sobre los procesos de producción, aporta un grado seguridad y confort a las empresas, ya que conocen el estado de su producto en todo momento.
Dicho todo lo anterior, los sistemas de control industrial (SCI) de podrían describir como un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados. En pocas palabras, nos permiten conocer el estado de nuestro producto en cada fase del proceso y poder verificar si es el esperado. Normalmente los SCI se utilizan para controlar equipos o maquinas. Para comprender mejor donde se integran los SCI dentro del proceso de fabricación de una fábrica he decidido mostrar la siguiente imagen donde creo que se refleja muy bien su función:

sistemaDeControlIndustrial

Como se puede ver en el esquema el SCI se encarga de dar órdenes a la planta para que ejecute ciertas tareas y que al mismo tiempo recibe información de la planta para asegurar que todo se encuentra de los parámetros especificados. Por supuesto todo esto siempre debe estar supervisado por un operario.

Además el termino SCI engloba diferentes tipos de sistemas de control entre los que podemos encontrar incluyendo sistemas de control de supervisión y de adquisición de datos (SCADA), sistemas de control distribuido (SCD), y otras configuraciones de sistemas de control, tales como controladores lógicos programables o autómatas programables (PLC). Esto lo definió el Instituto Nacional de Estándares Y Tecnologías de Estados Unidos en el año 2008.

Los SCI han existido en la industria desde hace mucho tiempo y no suponían ningún riesgo para la empresa. Sin embargo, con el avance de la tecnología llego la cuarta revolución industrial o Industria 4.0, donde se demandaban que estos sistemas estuvieran interconectados. El principal problema es que nunca se diseñaron para estar conectados a la red, por lo que nunca se tuvo en cuenta la posibilidad de que sufriesen ningún tipo de ciberataque. Por este motivo requiere que se doten de robustos sistemas de seguridad ya que proporcionan servicios básicos.

Como en la mayoría de casos en un principio ni se consideraba asegurar robustamente estos sistemas contra ataques de terceros, pero como en la mayoría de ocasiones siempre es necesario que ocurra una catástrofe para que percibamos la necesidad de protegernos contra amenazas, y eso es exactamente lo que ocurrió con la aparición de malware como Stuxnet, Duqu y Flame que atacaban SCI.

El tema de la seguridad en los SCI es algo crítico y de vital importancia, ya que realizan funciones vitales dentro de la fábrica pero son muy vulnerables contra ataques. Por eso podemos si acudimos a cualquier navegador y realizamos una búsqueda a cerca de este tema  podremos encontrar numerosos artículos, muchos de ellos de ISACA. Lo que quiero decir es que la seguridad de estos sismes es un tema que está a la orden del día y que preocupa a las empresas. Volveremos a este tema de la seguridad en los SCI cunado analícelos los riesgos de estos en futuros posts.

En pocas palabras los SCI son imprescindibles en todo proceso de fabricación para lograr productos de calidad y evitar errores críticos. Son sistemas vitales dentro de una fábrica pero también muy vulnerables a ataques que comprometan su correcto funcionamiento. Por ese motivo deben estar blindados contra cualquier tipo de amenaza por pequeña que esta sea, sin embargo esto no siempre resulta sencillo y es un tema que preocupa bastante a las empresas.

Si me tuviese que quedar con una cosa que me ha llamado especialmente la atención es el por qué existe esta falta de seguridad en unos sistemas tan críticos en el proceso de fabricación. ¿Se podría haber evitado esta situación si se hubiese estudiado mejor como afectaría la tecnología a la industria?, en cualquier caso ya no es posible regresar al pasado y corregir los errores, pero si es necesario actuar y estar preparado para cualquier problema que pueda surgir en el futuro.

Referencias:

ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 17 de octubre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

Monografias. <<Automatismos y control. Sistemas básicos de control industrial>>. Acceso 17 de octubre de 2018. https://www.monografias.com/trabajos101/automatismos-y-control-sistemas-basicos-control-industrial/automatismos-y-control-sistemas-basicos-control-industrial.shtml

Wikipedia. <<Sistema de control>>.Acceso 17 de octubre de 2018. https://es.wikipedia.org/wiki/Sistema_de_control

IEEE Xplore. <<Improving cybersecurity for Industrial Control Systems>>. Acceso 17 de octubre de 2018. https://ieeexplore.ieee.org/document/7744960

Social media y networking desde una perspectiva corporativa – Controlando y auditando

Download PDF

¡Hola a tod@s!

Son varios ya los posts respecto al tema que nos compete, hemos arrojado algo de luz sobre diferentes aspectos: riesgos, relevancia… Hoy, vamos a ponerle la guinda al pastel. Vamos a abordar cómo se deben auditar y controlar la social media y las formas de hacer networking en nuestras organizaciones. Auditar y poner controles es lo que nos va a permitir evitar los riesgos, o, por lo menos minimizarlos. En este sentido, vamos a tratar de explicar los controles a implantar y el proceso para auditar correctamente y proteger nuestra empresa. Pongámonos a ello.

[Read more…]

¿Podemos controlar nuestras identidades digitales?

Download PDF

Desafortunadamente, no podemos cuantificar la confiabilidad de un sistema, método o técnica, por mucho que existan distintas herramientas las cuales intentan darnos esa seguridad, nosotros lo único que podemos hacer es tratar de cuantificar el riesgo y equilibrarlo. Las empresas han estado analizando el riesgo durante años, y para ello se deben tener varios conocimientos sobre la misma, como por ejemplo, un resumen detallado del sistema, evaluaciones de la interacción requerida con los socios y su capacidad para realizar las tareas. Lo importante es cuantificar las pérdidas potenciales y sus probabilidades a un nivel de detalle que depende de la madurez de la infraestructura de identidad. Por lo que, con todo esto estamos hablando de una auditoría exhaustiva que nos ayude a mitigar esos riesgos de los que hablábamos en las publicaciones anteriores. [1]

Tanto las personas como las organizaciones deben tomar el control de su gestión de identidad, de forma que mejoren su seguridad y privacidad.  Para ello pueden llevar a cabo una serie de estrategias:

  1. Una auditoría de identidad personal para comprender donde acaba su huella digital, si cualquiera puede acceder a ella o no, etc.
  2. Utilizar herramientas para mejorar la privacidad.
  3. Mantenerse informado como ciudadano digital sobre cómo proteger su privacidad digital.

La siguiente matriz iría relacionada con el primer punto:

Riesgos

Controles

Suplantación de identidad –  Conocer en detalle la forma en la que se ha dado la suplantación de identidad.

–  Determinar que la organización ha definido una fuente de identidad confiable, como la base de datos de recursos humanos.

Registro abusivo de nombre de dominio – Verificar que la empresa cuenta con una estrategia en caso de ciber ocupación.

Determinar que posee los recursos legales apropiados para reprimir este acto. [3]

Ataques de denegación de servicio distribuido ataque «DDoS» – Determinar si se puede soportar ese tipo de ataque.

– Verificar que la empresa cuenta con una estrategia en caso de que el ataque le afecte.

Fuga de información – Determinar que el sistema de manejo de identidad verifica cada solicitud de una identificación nueva o modificada contra la fuente confiable.

– Determinar que las plataformas siguen la política de manejo de identidad de la organización.

– Verificar que las aplicaciones heredadas que no se adhieren a la política de manejo de la identidad hayan sido formalmente aprobadas por un ejecutivo de TI en un nivel superior apropiado.

– Determinar si un marco de gestión de seguridad apropiado, como ISO / IEC 27002 o la serie NIST 800, se utilizará como referencia de buenas prácticas. [4]

Publicaciones por terceros de informaciones negativas

 

– Determinar por qué han ocurrido esas publicaciones.

– Determinar si existe una estrategia alternativa que solucione esa información negativa. 

Utilización no consentida de derechos de propiedad industrial – Comprobar que la organización conoce los métodos legales y que puede aplicarlos para evitar esa utilización no consentida. 

CapturaMe parece interesante comentaros, con respecto al segundo punto, algo que he estado leyendo: La Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC). Se trata de una organización que describe una visión del futuro, un Ecosistema de Identidad, donde individuos, empresas y otras organizaciones (comunidades) disfrutan de mayor confianza y seguridad mientras realizan transacciones confidenciales en línea. Y os preguntareis, pero ¿de qué se trata? Pues bien, es un entorno en el cual las tecnologías, las políticas y los estándares están acordados de manera que respaldan todas las transacciones (desde las que van de valores anónimos hasta totalmente autenticados, de altos a bajos). Los componentes de este ecosistema de identidad son los siguientes:

  • El Marco del Ecosistema de Identidad (Identity Ecosystem Framework – IDEF) es el conjunto general de estándares de interoperabilidad, modelos de riesgo, políticas de privacidad y responsabilidad, requisitos y mecanismos de responsabilidad que estructuran el ecosistema de identidad.
  • El Servicio de Listado de Autoevaluación de IDEF (Self-Assessment Listing Service – SALS) está diseñado para generar confianza en línea. Se trata de una página web donde los proveedores de servicios de identidad en línea y las aplicaciones que autentican las credenciales pueden informar sobre su estado mediante una autoevaluación con un conjunto de estándares comunes.
  • El Grupo Directivo del Ecosistema de Identidad (Identity Ecosystem Steering Group – IDESG) administra el desarrollo de políticas, estándares y procesos de acreditación para el IDEF de acuerdo con los Principios Rectores en la Estrategia. El IDESG también asegura que las autoridades de acreditación validen la adherencia de los participantes a los requisitos del IDEF.
  • Los marcos de confianza son desarrollados por una comunidad cuyos miembros tienen metas y perspectivas similares, como los Pilotos NSTIC. Un marco de confianza define los derechos y las responsabilidades de los participantes de esa comunidad, especifica las políticas y estándares específicos de la comunidad y define los procesos y procedimientos específicos de la comunidad que brindan seguridad. Un marco de confianza debe abordar el nivel de riesgo asociado con los tipos de transacción de sus participantes. Para ser parte del Ecosistema de Identidad, todos los marcos de confianza deben cumplir con los estándares de referencia establecidos por el IDEF.
  • Las autoridades de acreditación evalúan y validan a los proveedores de identidad, proveedores de atributos, partes confiables y medios de identidad, asegurando que todos se adhieran a un marco de confianza acordado. Las autoridades de acreditación pueden emitir marcas de confianza a los participantes que validan.
  • Los esquemas de marca de confianza son la combinación de criterios que se miden para determinar el cumplimiento del proveedor de servicios con el IDEF. El IDEF proporciona un conjunto básico de estándares y políticas que se aplican a todos los marcos de confianza participantes. Esta línea de base es más permisiva en los niveles más bajos de seguridad, para garantizar que no sirva como una barrera indebida a la entrada, y más detallada en niveles más altos de seguridad, para garantizar que los requisitos estén alineados con el riesgo de cualquier transacción dada. [2]

Por último, con respecto al tercer y último punto de estas posibles estrategias a seguir, os invito a que accedáis al Instituto Nacional de Ciberseguridad de España, y os leáis la guía de aproximación para el empresario sobre Ciberseguridad en la identidad digital y la reputación online. En ella encontramos, entre otras cosas, nuestro derecho (marco legal) y unas recomendaciones para la gestión de la identidad digital y la reputación online. Además, también me ha parecido interesante una página web del Gobierno de Australia (https://esafety.gov.au/) la cual se compromete a ayudar a los jóvenes a tener experiencias positivas y seguras en línea.

Por lo tanto, en algunas empresas más grandes se dispondrá de un Social Media Manager, el cual será el responsable de la identidad digital, sin embargo, en otras más pequeñas y con menos presupuesto, quizás se encargue el Community Manager. Lo que está claro es que el adecuado manejo de los riesgos, la gobernabilidad, etc. evita en gran medida esos problemas referentes a la seguridad de la identidad digital, lo cual, según empresas como Deloitte, produce mucho valor para la misma.


Referencias

[1] Phillip J. Windley (2005). <<Digital Identity: Unmasking Identity Management Architecture (IMA)>>. Acceso el 16 de noviembre de 2017, https://books.google.es/books?id=o8mHSbDHgPsC.

[2] IDESG. <<Overview>>. Acceso el 15 de noviembre de 2017, https://www.idesg.org/The-ID-Ecosystem/Overview

[3] JUS. <<Disputa de nombres de dominio>>. Acceso el 16 de noviembre de 2017, https://jus.com.br/artigos/3977/disputa-de-nombres-de-dominio

[4] ISACA. <<Identity Management Audit/Assurance Program>>. Acceso el 15 de noviembre de 2017, https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Identity-Management-Audit-Assurance-Program.aspx

Bichos, una aventura en miniatura

Download PDF

 

Siguiendo la manera didáctica de Pablo, me ha parecido interesante buscar un vídeo con el que pueda hablar de los diversos temas que hemos abarcado en clase. He encontrado este vídeo de la película “Bichos, una aventura en miniatura”, en el cual se pueden ver reflejadas varias cosas del día a día de una organización y de una persona.

En primer lugar, a partir del minuto 0:32, se puede escuchar la frase: “Sé que no acostumbramos a cambiar las tradiciones, pero …”. Esta frase nos enseña que las organizaciones y las personas necesitan actualizarse para ir avanzando, como dijo Miguel de Unamuno, “el progreso consiste en renovarse”, de ahí viene el dicho de “renovarse o morir”. Debemos darnos cuenta de que por mucho que funcione algo, seguramente exista otra forma mejor o simplemente diferente de hacerlo, por ello tenemos que buscarla. Muchas veces la gente cree que el cambio no es bueno, piensan… ¿Por qué voy a cambiar algo que funciona? Y es que es verdad que en la zona de confort se está muy bien, entonces… ¿Para qué salir de ella? Tienen razón, esa zona de confort nos da abrigo, nos hace sentir seguros, quizás porque abarca todo aquello que conocemos y controlamos. Pero eso mismo que nos protege también nos puede causar daño, si nos acomodamos nos estancamos, no buscamos estímulos, caemos en la monotonía, por eso hay que ser valientes y olvidarse del miedo a lo desconocido, buscar nuevos aprendizajes, nuevas emociones. Me gustaría listar algunos consejos que he encontrado y que pueden ayudar a salir de esa zona de confort, espero que os sirvan:

  • Reconoce tus límites: Debes reconocer tus barreras internas y externas. Acepta que no eres perfecto, pero reconoce que puedes llegar a donde desees. [1]sdd
  • Aprende a aceptar: Al salir de nuestra zona de confort nos encontraremos con aspectos que no podemos manejar o controlar, es importante aceptar esas situaciones. Imagina lo que quieres y trabaja en ello: Cada pequeña acción que llevas a cabo te ayudará a ampliar tu perspectiva. [1]
  • Desafíate y rinde al máximo: Según un estudio llevado a cabo por un grupo de psicólogos, un poco de ansiedad puede ser positivo para mejorar nuestro rendimiento y nos permite seguir creciendo profesionalmente. Por tanto, convierte esas situaciones que te provocan ansiedad en situaciones estimulantes y que nadie te pare los pies. No le llames nervios o inseguridad, llámale “emoción”.  [2]
  • Anticipa todas las excusas que te vas a poner: Sé consciente de que, cuando te fijes metas que te resulten incómodas dentro de tu zona de confort, inconscientemente te vas a estar buscando un montón de excusas para no hacerlo. Juzga estas excusas como lo que son: invenciones cuyo único objetivo es racionalizar la aceptación de la comodidad. [2]

En mi opinión estos consejos son bastante útiles y constructivos, y pienso que se pueden seguir siempre y cuando sigas siendo fiel a ti mismo, lo cual sigue siendo uno de los retos más grandes en un mundo que quiere que todos sean iguales.

Por otro lado, siguiendo con el vídeo, a partir del minuto 1:35 podemos ver como los bichos trabajan en equipo para llegar al objetivo común: construir el pájaro. Se puede observar como cada una tiene su función, algunas hormigas guían a otras hormigas mientras trabajan, la araña teje en el momento en el que se la necesita, etc.  Esto me ha recordado a que seguramente cuando trabajemos en una empresa cada uno de nosotros tendrá un trabajo específico, y que gracias a ese trabajo, y al del resto de nuestros compañeros conseguiremos llegar al mismo objetivo. Trabajaremos en equipo, es decir, será un trabajo hecho por varios individuos donde cada uno hace una parte, pero todos trabajan con un objetivo común. Lo importante de todo esto, es que cada uno sepa que quiere hacer, que le gusta hacer, ya que en mi opinión, si todos remamos con las mismas ganas hacia el mismo sitio, se llegará antes y mejor al resultado final. ¿Y qué mejor forma que la de ir al trabajo con ganas de trabajar? [3]

Así mismo, en el minuto 3:42 podemos ver como la hormiga reina está recordando al resto de las hormigas lo bien que están trabajando. Esto me ha recordado a un momento de clase cuando comentamos que había que felicitar a las personas cuando hacían algo bien. Y es que un refuerzo positivo muchas veces ayuda más que regañar a alguien por algo que haya hecho mal. Esto se puede aplicar a una organización, por ejemplo, el jefe de proyectos debe exigir a sus empleados cierto grado de cumplimiento, pero a su vez también debe recordarles lo bien que lo están haciendo y ayudarles en todo lo que necesiten, como si fuera uno más, porque lo es.

Por lo tanto, lo que buscaba que sacarais de este post es que lo importante es ser feliz y que para eso hay que estar a gusto con uno mismo, con lo que está haciendo y con lo que tiene planeado hacer. Tenemos que darnos cuenta de que nadie nos va a allanar el camino, nosotros mismos tenemos que buscar ese camino y recorrerlo. Debemos recordar que tenemos suerte si contamos con gente a nuestro alrededor que nos ayude y a la que podamos ayudar, ya sea en un trabajo en equipo o en la vida personal. Y seguramente nos equivoquemos o lo pasemos mal al salir de esa zona de confort en la que estamos, pero debemos tener en cuenta en todo momento que el resultado final siempre va a merecer la pena.

blogger-image-1406665668


Referencias

[1] La mente es maravillosa. <<Sal de tu zona de confort>>. Acceso el 31 de octubre de 2017. https://lamenteesmaravillosa.com/sal-de-tu-zona-de-confort

[2] Psicología y mente. <<Cómo salir de tu zona de confort: 7 claves para lograrlo>> Acceso el 31 de octubre de 2017. https://psicologiaymente.net/coach/salir-zona-de-confort-claves

[3] Wikipedia. <<Trabajo en equipo>>. Acceso el 1 de noviembre de 2017. https://es.wikipedia.org/wiki/Trabajo_en_equipo

Sistemas de control industrial y riesgos

Download PDF

Caminar por la calle debería ser suficiente para darse cuenta del afán de los humanos por controlar todo. El tiempo, el clima, la calidad del aire, el numero de plazas en el parking de debajo de tu casa. Está por todos los lados. En las farmacias, en los escaparates de tu tienda de ropa o en el bar con tus amigos. Y lo cierto es que todo este control tiene un sentido. El control nos ayuda a comprender nuestro entorno, y por consiguiente predecirlo. Esto es algo que el ser humano no ha tardado mucho en darse cuenta, ya que la intención de controlar nuestros alrededores se remonta muy atrás, pero es actualmente cuando más controversia. Ante el control que el gobierno quiere imponer a los ciudadanos, estos se revelan para proteger su privacidad. Y siempre es por lo mismo, el afán de controlar y predecir. Este control también se extiende al mundo de la empresa y de la industria. Sería ideal controlar todas las variables que pueden inferir en el negocio, pero entran en juego dos variables que limitan este sueño: el tiempo y los recursos. Por ello, es cada vez más importante saber gestionar estos recursos e identificar las variables más importantes a controlar.

Antes de comprender el presente, intentemos comprender el pasado. Uno de los primeros mecanismos de control, se cree que fue un antiguo reloj de agua Ktesibios en Alejandría, Egipto. Sin embargo, se considera que el boom de los sistemas de control industrial se inicio a medidos del siglo XVIII. Fue a finales de siglo cuando realmente se avanzó en la industria y campos específicos notaron considerables mejoras. En la industria naval, por ejemplo, se permitió la construcción  de barcos más grandes gracias a la invención de los servomecanismos o servomotor. A mediados de 1950, empiezan a aparecer lo que conocemos como sistemas de control modernos. Los ingenieros se dieron cuenta de que las mediciones reales contienen errores y están contaminadas por el ruido, por lo que empezaron a aparecer nuevas formas de medir. Emergen también los PLC, o los controladores lógicos programables y términos como SCADA (Supervisory Control and Data Acquisition). Automatizar el control hizo que incrementara muchísimo la producción del sector industrial, pero de la misma forma que la tecnología y la información trae nuevas oportunidades, trae consigo también nuevos riesgos.

Los sistemas de control industrial se habían convertido en un activos muy fiables. Si bien es cierto que podían tener algún fallo interno, estaban completamente cubiertos en cuanto a los ataques externos se refiere. Sin embargo, los sistemas computacionales no son inmunes a las ciber-amenazas. La entrada del Internet en la industria, se abre un nuevo mundo para los ciberataques. Esto es una grave amenaza, que algunas empresas han sabido identificar mejor que otras, ya que se ha demostrado que un ataque de este tipo puede tener las mismas o peores consecuencias que un ataque físico. Ejemplos muy actuales demuestran la capacidad devastadora con la que cuentan. En esta imagen se muestran los 8 mayores ciberataques del 2016 según Forbes. Los sistemas de control industrial han pasado literalmente de tener cero días de ataques, a tener ataques de día cero.

A medida de que la industria avanza surgen nuevas tecnologías con las que controlar los procesos. Los sistemas de computación en la nube son cada vez más populares en el mundo de la industria, y términos como IIoT o la industria 4.0 están dejando de ser novedosos. El mundo de la industria está viviendo su cuarta revolución hacia un mundo totalmente nuevo, en el que las fábricas son más productivas, más flexibles y más eficientes. La computación en la nube ya es una realidad también en el mundo industrial. Nuevamente vuelven a surgir oportunidades y amenazas. En un mundo tan competitivo, donde se le otorga un altísimo valor a la información y el dato, ¿qué pasa cuando esos datos están en la nube? Los sistemas de control se tienen que extender mucho más allá de los límites de la organización.

Ciertamente, como con cada revolución, se plantea un futuro incierto pero ilusionante, donde se permite que el desarrollo y la innovación puedan volver a ser factores determinantes. Sin embargo, tenemos que aprender del pasado y aplicar esas lecciones al presente y al futuro. Innovación y desarrollo y control y seguridad tienen que ir de la mano. Olvidarlo es ser olvidado.

 


 

Referencias:
<<JOnline: Security of Industrial Control Systems>>, Acceso el 8 de octubre de 2017, https://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx

<<Industrial Control Systems and Risks>>, Acceso el 8 de octubre de 2017, https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/

<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 8 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/

<<Control system>>, Acceso el 8 de octubre de 2017, https://en.wikipedia.org/wiki/Control_system

<<Industrial Control Systems: A Primer for the Rest of Us>>, Acceso el 8 de octubre de 2017, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

<<An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity>>, Acceso el 10 de octubre de 2017, https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

<<8 Major Cyber Attacks Of 2016 [Infographic]>>, Acceso el 10 de octubre de 2017, https://www.forbes.com/sites/kevinanderton/2017/03/29/8-major-cyber-attacks-of-2016-infographic/

<<Industria 4.0>>, Acceso el 10 de octubre de 2017, https://es.wikipedia.org/wiki/Industria_4.0

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

Download PDF

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.