HasieraDeitu gaitzazu
94 400 28 00
Kontaktua eues

Ciberseguridad en los sistemas de control industriales: la importacia del diagnostico precoz en la pyme vasca

Por Iñaki Eguía (Socio Responsable de Ciberseguridad y Producto en RKL Integral Safety & Security) www.rklintegral.com

El 42% de las empresas vascas en general, reconoce no haber realizado un análisis de riesgos de sus sistemas de control industriales[1] (ICS – Industrial Control Systems en inglés), y casi el 20% de ellas, no se encuentra sensibilizado por los problemas que pueden llegar a afectarles. Esta cifra aumenta de manera muy significativa en las PYMES, integrantes de los principales clústeres vascos: automoción[2], energía[3] ,aeroespacial[4] y TEIC.

Por otro lado, un porcentaje de PYMES han llevado a cabo integraciones en ciberseguridad en la parte operacional de los procesos (OT – Operational Technology en inglés). Estas se han llevado a cabo sin un framework de trabajo que marque el objetivo a perseguir, si no como método paliativo a corto plazo.

Definidos estos datos en los párrafos anteriores, en este articulo queremos destacar la posición de RKL Integral, como Consultoría e Ingeniería independiente en el ámbito de la CiberSeguridad OT, y en concreto en el aspecto ICS.

Nuestro primer mensaje es dejar muy claro que sin haber realizado un análisis de riesgos del entorno:

  • en el personal que lo opera.
  • los equipamientos tecnológicos que lo componen.
  • los procesos industriales implantados,

es totalmente imposible emitir un diagnóstico eficiente, que vaya verdaderamente dirigido a solucionar los problemas del mundo de la Seguridad en el ICS.

 

Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.” [5](W.Thomson)

 

En un diagnóstico de la Seguridad ICS  se deben de dar en un principio los siguientes pasos:

  • Cátalogo de Activos: concretamos el inventario de dispositivos en la zona industrial (por ejemplo, valoramos cuantía y estado técnico de variadores, PLCs y sensores en los niveles 0 y 1 de la ISA95[6]),
  • Valuación de los Riesgos: realizamos una apreciación de riesgos en términos de procesos, tecnología y personas (usando herramientas como el NIST Framework[7] o el IEC-62443-2-1/3-3).
  • Plan de Acción y Medidas: emitimos un plan de acción para mejoras específicas en aras de mitigar los riesgos.

A partir de esta primera fase de Diagnostico de la Seguridad en el ICS, y llevadas a cabo las acciones de mitigación a corto plazo, el ente responsable de la organización de Seguridad, se debe de preparar para elaborar una estrategia de mitigación de riesgos continua y permanente en el tiempo. Pueden existir estrategias como colocar el riesgo (mediante una aseguradora) o simplemente no hacer nada y asumir totalmente el riesgo. Sin embargo, lo razonable es realizar inversiones bien planificadas con un objetivo claro de Seguridad (CAPEX), e implantar sistemas de monitorización y control en el tiempo que permita a la organización tomar las decisiones oportunas en el caso de ser necesario (OPEX). Las PYMES deben de conocer  el coste de un impacto por ataque ciber a una línea de producción, ya que este ataque puede llevar a dejar sin producir a la empresa durante horas y/o días (con todo el coste asociado que concurre: coste de producción, coste de oportunidad, coste de imagen…) .

Es por todo lo anterior que,un diagnóstico precoz (fundamental que la empresa que lo lleva a cabo sea independiente de fabricantes e integradores), va a permitir que el retorno sobre la inversión puede visualizarse de una forma rápida:

  • el responsable de producción dispondrá de una foto veraz de sus activos.
  • conocerá los procesos y soluciones tecnologías pertinentes para poder solventar los problemas.
  • concebirá el nivel objetivo de seguridad, así como las inversiones óptimas para poder alcanzarlo.

Por último, destacar que los OEMs actuales de los sectores más sensibles anteriormente mencionados, están inmersos desde hace un tiempo aquí en un proceso de transformación digital, lo que les está implicando llevar a cabo grandes inversiones en matería de CiberSeguridad, para alcanzar unos requisitos semejantes a los que ya tienen en sus productos/servicios (concepto de safety funcional) que ofrecen a sus clientes finales. Esto requiere en su cadena de suministro (Tier 1, Tier 2…), unos mínimos en términos de ciberseguridad, no solo a nivel de producto, sino también en niveles de producción (asegurar los procesos internos y externos en colaboración con sus clientes y proveedores).

Como conclusión final, desde RKL Integral consideramos fundamental que la PYME vasca comience a planificar estratégias, y sus correspondientes planes de acción, que le permitan protegerse ante diferentes ataques, y a su vez vayan cumpliendo con los requisitos que la gran industría, ya les esta comenzando a exigir para asegurar la cadena de suministro, prinicpalmente en los sectores más sensibles a estos ataques: Automoción, Aeronautica, Energía y TEIC.

 

[1] https://www.basquecybersecurity.eus/archivos/201810/bcsc_ciberseguridad_industrial_en_euskadi_2018_v1.pdf?1

[2] https://www.acicae.es/

[3] http://www.clusterenergia.com/

[4] http://www.hegan.com/Corporativa/Default.aspx

[5] http://enciclopedia.us.es/index.php/Lord_Kelvin

[6] https://en.wikipedia.org/wiki/ANSI/ISA-95

[7] https://www.nist.gov/cyberframework/framework

Menu