Red Seguridad 094
red seguridad tercer trimestre 2021 79 opinión Muchos casos de usos, pero no tantos como nos gustaría para dejarnos tran- quilos debido a la variedad de escena- rios del sector. Y ¿en qué momento de nuestra carre- ra el arribo de una nueva tecnología al mercado tanto en el ámbito corporativo como en el ámbito industrial no nos pre- sentó todas esas preguntas? La experiencia adquirida con la evolu- ción tan marcada de la tecnología en ge- neral nos ha llevado durante años a en- tender que la mayoría de los problemas de ciberseguridad son cíclicos. Es decir, que cuando pensamos que ya un tipo de problema no lo veremos más, aparece en una tecnología diferente. Por ejem- plo, cuando pensamos que no veríamos problemas de path traversal en las web, los empezamos a ver en las aplicaciones de mobile (básicamente porque el eco- sistema de desarrolladores e implemen- tadores era nuevo), y así con cientos de debilidades y plataformas... ‘Cloud’ industrial segura Es muy sencillo pensar que no hay docu- mentación suficiente para trabajar en un modelo de cloud industrial segura. Pero si pensamos en estas situaciones que mencionaba, veremos que en realidad contamos con mucha más base que la que tuvimos en otras situaciones; y que, además, tenemos la posibilidad de apli- car soluciones de seguridad de manera más ágil que lo que realmente podemos hacer en nuestras infraestructuras. En la nube, desplegar soluciones de ciberseguridad como un antiDDoS, ges- tión de identidades, sistemas de detec- ción de intrusos, sistemas antifuzzing , segmentación y microsegmentación, etc., está tan solo a unos ‘clics’ de ratón. Pero si quisiéramos desplegar todo eso en la propia red de OT serían proyectos gigantes de mucho tiempo. A su vez, aplicar buenas prácticas como las guías de configuración segura de Azure IoT o las de AWS IoT (como IoT Lens Checklist del AWS Well Architected Framework) es relativamente sencillo. Contamos con documentación y mo- delos de arquitectura propuestas, con diseños para edge computing o cloud computing based , con herramientas de auditorías y compliance para estos en- tornos. Por tanto, en realidad hay mucho más diseño de seguridad en esos mode- los que los que implementamos y des- plegamos en las redes de OT. No obstante, con todo esto no intento demostrar que es un camino bonito y fá- cil. Sin duda, no lo es. Es más, debere- mos tener en consideración que nuestros gateways cumplan con ciertos requisitos de seguridad, que las configuraciones del SIEM identifiquen casos de uso requeri- dos por OT y por IT y que permitan noti- ficar a los diferentes stakeholders según corresponda, entre otras cosas. Solo intento compartir la importancia de no sesgar nuestras opiniones, de no creer que en la IEC-62443 no hay requi- sitos aplicables a la nube. Porque, de he- cho, todo lo que menciona sobre identi- dad, autenticación, segmentación, etc., es totalmente aplicable si incorporamos a la nube como una zona más con su correspondiente conducto. Es más, el mercado nos empuja hacia la cloud . Puede no gustarnos del todo, pero no podemos decir que no contamos con requisitos, herramientas e informa- ción suficiente como para analizar cada caso con la seriedad que amerita. Ir a la nube no es conectar un dispositivo y ya. Es hacer una reingeniería de mi arquitec- tura de red. Es redefinir mis controles y mi esquema de gestión de riesgos. Es re- pensar y aceptar que mi red se parecerá cada vez más a un servicio SaaS y menos a una red OT tradicional. Por lo tanto, ten- dremos que aprender a convivir con ello y, sobre todo, a gestionarlo. La migración hacia el ‘cloud’ de la industria comenzó hace al menos 10 años y prosigue su marcha; lenta, pero continua
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1