Red Seguridad 86

34 red seguridad tercer trimestre 2019 industria opinión X Su principal aspecto crítico es la disponibilidad. X Existen buenas prácticas aso- ciadas al sector, como ejemplo NERC CIP, o ISA99. Todo ello genera unas diferencias muy grandes si lo comparamos con la mirada tradicional de la cibersegu- ridad IT o de sistemas de la informa- ción. Esto significa que no podemos aplicar casi nada de lo que aplica- ríamos en el sector financiero, por ejemplo. Volviendo a la analogía con el médico: al fin de al cabo, conoce la medicina, pero si queremos solucio- nar el problema realmente debemos llamar al especialista. Cualquier doc- tor puede decirte que estás enfermo, pero muy pocos pueden solucionarlo. Aspectos clave A pesar de todo ello, hay aspectos clave para sacar adelante un progra- ma de ciberseguridad industrial de forma exitosa: X Hablar el idioma del dueño del proceso: En la industria nos enfrentamos no con CIO ni con un responsable de infraestruc- tura tecnológica, sino con un responsable de celulosa (en el sector papel) o de transporte de agua o de la producción de una fábrica de alimentación. temas críticos" o "ciberseguridad en sistemas de automatización". La mejor manera de definirlo viene siendo, como sucede con otras muchas cosas, la más simple. Ciberseguridad en OT (alias Operation Technology ) o siste- mas de operación. En pocas palabras, son sistemas cuyo objetivo es operar algo; es decir, generar un cambio físico en algún proceso de negocio. Dichos sistemas tienen características muy simples de identificar: X Ciclo de vida superior a diez años: en muchos casos superior a este periodo, incluso llegando en algunas ocasiones a extremos de 25 años. X Los fabricantes son empresas como Rockwell, Schneider o ABB, entre otros. X Están asociados a procesos críti- cos de negocio donde principal- mente se generan gran parte de los ingresos de la organización. ¿C onfiarías el tratamiento de tus ojos, cuando esta en juego tu vista, a un médico de familia? ¿O a un médico especialista en abdomen? ¿Entonces, por qué confiar la ciber- seguridad industrial a una empresa generalista? Por suerte o por sentido común, a lo largo de mis 10 años dedicado a este tema he visto pocos casos de este tipo, pero aun así me deja perplejo cuando alguien lo hace. El final de la historia es fácil de intuir. A este contexto se puede aplicar per- fectamente la frase: "El hombre necio aprende de sus errores, el hombre sabio aprende de los errores de los demás". Cada vez más, me encuen- tro con gente sabia. Mucho se habla del concepto de ciberseguridad en sistemas de opera- ción. Empezamos con la terminología, que varía entre "ciberseguridad OT", "ciberseguridad SCADA", "cibersegu- ridad en IIoT", "ciberseguridad en sis- Eduardo Di Monte CEO de Oylo Trust Engineering Ciberseguridad en sistemas de operación: la cruda realidad ¿Por qué se confía la ciberseguridad industrial a una empresa generalista?