Seguritecnia 469

100 SEGURITECNIA Noviembre 2019 Protección de Infraestructuras Críticas L as ciberamenazas que afec- tan a los sistemas de control in- dustrial aumentan cada día y ponen de manifiesto la necesidad de abordar la seguridad de estos entor- nos tecnológicos con una estrategia de 360 grados. Actualmente, los mundos de TI (Tecnologías de la Información) y TO (Tecnologías de la Operación) con- fluyen en multitud de sectores de ac- tividad y es imprescindible aplicar una estrategia enfocada a proteger los acti- vos de mayor valor. En el caso de mu- chas infraestructuras críticas y de otros entornos que se apoyan en sistemas de control industrial, primará el funciona- miento de los autómatas, controladores y máquinas, siendo nuestro faro al prio- rizar y garantizar la fiabilidad y la conti- nuidad del proceso industrial como tal. Afortunadamente, contaremos con es- tándares que nos estructurarán los me- dios para conseguirlo, haciéndolo a tra- vés de la definición de requerimientos muy concretos, tanto a nivel técnico, de personas como de procesos. Distribuir la electricidad o el gas que llega a nuestros hogares, depurar el agua que nos bebemos… Todos es- tos procesos industriales necesitan blin- dar sus TO (y TI) para impedir que sus actividades se vean vulneradas o alte- radas. El enfoque para la seguridad en estas industrias tiene un objetivo muy concreto: la protección de la operativa. Además, tendrá que abordar tres aspec- tos fundamentales para desarrollar una correcta estrategia de 360 grados: per- sonas, procesos y tecnología. En primer lugar, se tendrá que afron- tar el ámbito de las personas, refirién- donos en este mercado casi siempre a especialistas, operadores, técnicos, etc., que diseñan, implementan y su- pervisan las infraestructuras o que se encargan de su mantenimiento. Que este personal se halle correctamente formado, conozca los niveles de se- guridad que deben ser aplicados en cada circunstancia y, sobre todo, esté concienciado de los riesgos posibles, ha de ser la primera pata sobre la que apoyar nuestra estrategia. En lo que respecta a la parte organi- zativa y de procesos de seguridad, esta tendrá que ser examinada en profun- didad y estar alineada con las opera- ciones de la empresa, y cubrirá aspec- tos como la definición de responsabi- lidades, de los métodos de acceso y el desarrollo de procedimientos concre- tos a la hora de realizar cambios, como por ejemplo las actualizaciones de se- guridad, etc. Por último, no tendremos una estrategia cien por cien completa si no consideramos los requisitos tecno- lógicos y técnicos en nuestro enfoque de seguridad. En estas infraestructuras existen cientos de máquinas, autóma- tas o robots controlados y supervisados por pequeños equipos informáticos y por sistemas SCADA, HMI, etc. Garanti- zar que la comunicación o el intercam- bio de datos entre todos estos sistemas se realice cumpliendo unos requisitos de seguridad determinados o que solo puedan conectarse a la red equipos que hayan sido previamente legitima- dos o autorizados serán algunas de las facetas que se tendrán que contemplar. Estándares específicos Para acometer este amplio abanico de requisitos existe un conjunto de están- dares específicos orientados al mundo de las TO (o heredados de la seguridad TI) que pueden ayudar a su correcto cumplimiento. Estos requerimientos de seguridad suelen tener los siguientes enfoques: qué hay que hacer, cómo hay Elyoenai Egozcue Responsable de Ciberseguridad para Sistemas de Control Industrial en S21sec Los requisitos de seguridad que necesitan las Tecnologías de la Operación