Cada responsable de ciberseguridad industrial que se enfrenta a la digitalización debe afrontar situaciones difíciles relacionadas con la incorporación de requisitos de ciberseguridad en los pliegos de licitación. Todo ello, para que los proveedores realicen una oferta adecuada a sus necesidades.
Pero, según el Centro de Ciberseguridad Industrial (CCI), la dificultad de los responsables de ciberseguridad industrial no reside en la escritura de dichos requisitos. Se encuentra en evaluar las ofertas de los proveedores, en seleccionar al proveedor adecuado y en verificar su correcta implementación.
Y para ello, desde la mencionada asociación han dado a conocer los principales retos, con sus correspondientes recomendaciones, de los responsables de la ciberseguridad industrial:
Reto 1: Gestión de los procesos de identificación y autenticación
Con la intención de cumplir los requisitos de la IEC-62443, estos profesionales deciden incorporar en el pliego de petición de oferta la integración con Active Directory. En el momento de llevar a cabo las implementaciones, surge el problema de que quienes diseñaron los componentes de integración y/o realizan el proceso de integración no dominan Active Directory.
Por ello, desde el CCI recomiendan incluir en los requisitos previos las definiciones básicas que esperan que se cumplan y que sean propios del diseño e implementación de dicho servicio. Incluso advierten sobre la necesidad de acompañar esta solicitud de guías de buenas prácticas.
Reto 2: Análisis, despliegue y pruebas de las actualizaciones
Los conceptos de «actualizaciones confiables», «firmware over the air», «gestión de parches» e «integridad del software» pueden ser complicados cuando se verifica su funcionamiento. Esto se debe a que cuando los equipos se despliegan y se intenta realizar la gestión de actualizaciones en la red de control o en la de supervisión, suelen aparecer muchos problemas propios del diseño de la infraestructura.
Incluso en lo referente a las «actualizaciones confiables», desde el CCI afirman que multitud de organizaciones las dan por válidas sin una previa comprobación. Simplemente, porque el fabricante asegura cumplirlo.
En este sentido, el Centro de Ciberseguridad Industrial afirma que la gestión de actualizaciones y el modelo Zero Trust son «el camino a seguir en los proyectos futuros». Por ello, recomienda preparar escenarios de pruebas que reflejen el entorno y someterlo a una simulación de incidentes para comprobar qué sucede.
Reto 3: Diseño seguro versus gestión de la ciberseguridad industrial
En la IEC-62443 existen varios requisitos ligados al diseño de una red segura. Sin embargo, si las pautas de protección no son perfectamente analizadas pueden tener consecuencias en la ejecución o implementación de otros requisitos de seguridad. Varios proveedores se enfrentan a problemas derivados del diseño que han llegado a suponer varias semanas de retraso de las implementaciones necesarias.
Por ello, desde la mencionada asociación comentan que es muy común que la gestión de la seguridad se vea afectada por la definición de los requisitos de seguridad de una nueva arquitectura. En consecuencia, se deben considerar también las problemáticas en la operación de la ciberseguridad. Lo ideal, según el CCI, es plantear los casos de uso necesarios en el momento adecuado.
Te interesa: Entrevista a Maite Carli, responsable de Comunicación del Centro de Ciberseguridad Industrial (CCI).
Archivado en: