Red Seguridad 86

red seguridad tercer trimestre 2019 35 En los entornos OT, el equipo asignado tiene que tener experiencia. Muchas veces se comete el error de apostar por empresas grandes, cuando en realidad no tienen la capacidad de sacar el proyecto adelante industria opinión to de especificaciones ni en una presentación comercial. Por ello debe tenerse cuidado a la hora de seleccionar una tecnología. X El gran olvidado: Aquí me refiero a la implementación de planes de continuidad de negocio espe- cializados en sistemas de control industrial. No debemos olvidar que, al final, lo que queremos es poder continuar con el proce- so, más allá de las causas que provocaron la indisponibilidad. Y esto no los otorga un modelo de resiliencia. Me ha tocado trabajar en muchos sectores, desde la minería a 4.000 metros de profundidad, hasta gran- des fábricas del entorno de la salud, empresas de energía, pozos de petróleo, grandes fábricas o siste- mas complejos de transporte de agua… Todos ellos tienen en común que no hay ningún margen de error durante un proyecto de ciberseguri- dad industrial. Un riesgo que solo se minimiza con un alto grado de espe- cialización. internacional que pueda existir. Si el patrocinador del proyecto no prioriza este aspecto a la hora de seleccionar un proveedor especializado en ciberseguridad industrial, se encontrará el pro- blema cuando llegue con el res- ponsable del proceso, quien sin duda pondrá a prueba a dicho proveedor y al equipo de trabajo. Incluso, en los escenarios menos afortunados, se encontrará con un fallo durante el proyecto que deje sin disponibilidad a la fábri- ca, poniendo su puesto de traba- jo al filo del abismo. X Tecnología: La tecnología que nos ayuda a solventar algunos de los problemas que existen en los entornos OT lleva ya, al menos, unos cuatro o cinco años de evolución. Esto provoca que las diferencias tecnológicas desde el punto de vista de moto- res de DPI (inspección profunda de paquetes) no sea tan elevado; sin embargo, hay muchos otros parámetros a tener en cuenta que no se suelen ver en un folle- Es decir, estamos hablando de alguien muy cerca del negocio y totalmente alejado de la ciberse- guridad. Alguien acostumbrado hablar con sus referentes tecno- lógicos, que claramente no son ni Microsoft ni HP ni Oracle. Su equipamiento lleva más de 15 años funcionando y, de repen- te, le decimos que es "vulnera- ble". Por lo tanto, aquí debemos hacer una labor de conciencia- ción desde el primer minuto del proyecto. X Disputas internas entre áreas de IT y OT: Estas dos áreas casi nunca tienen una buena rela- ción, ya que la delgada línea que separa quién se hace cargo de qué es difusa en muchos casos, y cada uno protege su períme- tro de responsabilidad. Aquí hay que tener muy claro cómo se debe actuar con cada grupo y ayudar a que el proyecto sea un punto de encuentro y no de discusión. Es importante hacer ver que ambos aportan valor, sin mezclarse los roles. X Experiencia: En este tipo de entorno no se puede probar ni experimentar. El equipo de traba- jo asignado tiene que tener expe- riencia. Aquí se comete muchas veces el error de apostar por grandes empresas con grandes nombres, cuando en realidad no tienen la experiencia ni el equipo ni la capacidad de llevar adelante un proyecto de estas caracte- rísticas. Eso no tiene nada que ver con el nombre, el tamaño de la empresa o la reputación En la industria se da el reto de hablar con profesionales alejados de la ciberseguridad. Por ello debemos hacer una labor de concienciación desde el primer minuto.