red seguridad 075

Iñaki Eguia Elejabarrieta Chief Innovation Officer de Security IT Visibilidad y monitorización de la ciberseguridad: defensa activa en las IC o Gestión de ciclo de vida de dichos activos, lo que requiere un conocimiento profundo sobre la actualización del software (y gestión del cambio de todo el sistema si así se requiere) con el menor impacto posible en la operación. - Impacto técnico y económico sobre los activos críticos ataca- dos, lo cual incide directamente en que las personas a cargo de la monitorización deban conocer bien el impacto que tiene un activo (una máquina o un PLC controlan- do una válvula, por ejemplo) sobre el sistema crítico general (si existe disrupción o incluso posibilidad de accidente). Defensa activa Para que esto sea factible, la ciber- seguridad debe entenderse como un proceso, debido a que no pode- mos instalar un único producto que satisfaga todos los requerimientos de seguridad en un sistema de sis- temas como es una infraestructura crítica (“ one size doesn´t fit all 2 ”). Ese proceso debe satisfacer el requisito de dar visibilidad y vigi- lancia constante de manera que se puedan monitorizar los activos crí- ticos en tiempo real. A su vez, debe estar supeditado por un equipo de del sistema y un primer diagrama para poder rediseñar su estructura bajo el paradigma de seguridad por diseño 1 . Este primer paso es clave y preciso para que los gestores de la infraestructura confirmen que lo documentado previamente confluye con lo analizado técnicamente a través del análisis o, por el contrario, para anotar las desviaciones que existen debido a diferentes causas (actualizaciones no registradas for- zadas por la operación, una inco- rrecta implantación del sistema con respecto a las especificaciones, etc). El objetivo último de un opera- dor es poder tener una visibilidad constante. Esto permitiría conocer en todo momento y en tiempo real la salud del sistema. Si se pretende que esta visibilidad sea permanente es necesario un sistema de monito- rización que se apoye en un equipo de personas que conozca: - Las amenazas y campañas de amenazas que existen a nivel mun- dial y regional referidas a las espe- cificidades de los sistemas críticos que gestiona. - Los activos críticos que confor- man el proceso de operación de la infraestructura crítica: o Carencias y vulnerabilidades de los activos que controlan el sistema. H ace ya un tiempo que algunas organizaciones han comenzado a elaborar su Plan de Seguridad del Operador, donde se define un marco de protección de sus infraes- tructuras críticas genérico que, pos- teriormente, será detallado en los Planes de Protección Específicos. Durante esa tarea, las infraestruc- turas críticas necesitan conocer qué existe realmente en su inventario y contrastarlo con la documentación que se precisa para su gestión. Todo ello requiere de un análisis técnico con el objetivo de estudiar la composición de la red y dar visibi- lidad a los dispositivos, además de a las redes que lo conforman. Para que este proceso no sea intrusivo en la propia operación de la infra- estructura, es necesario que este análisis se desarrolle de forma pasi- va (sin interferencias en la latencia de red ni en ningún dispositivo de la electrónica de red). Mediante esto, se podrán obtener las interdepen- dencias entre los dispositivos, esta- ciones de trabajo, PLC, sistemas SCADA y cuartos técnicos, entre otros componentes, conformando así la red real que dibuja la Zona de Tecnología de Operación (Zona TO). Esta visibilidad sobre la confor- mación de la red de la infraestruc- tura nos da la actual arquitectura Arkaitz Gamino Garcia Chief Technical Officer de Security IT ciberseguridad PIC opinión 24 red seguridad cuarto trimestre 2016 especial