¿Confiarías el tratamiento de tus ojos, cuando esta en juego tu vista, a un médico de familia? ¿O a un médico especialista en abdomen? ¿Entonces, por qué confiar la ciberseguridad industrial a una empresa generalista? Por suerte o por sentido común, a lo largo de mis 10 años dedicado a este tema he visto pocos casos de este tipo, pero aun así me deja perplejo cuando alguien lo hace. El final de la historia es fácil de intuir. A este contexto se puede aplicar perfectamente la frase: «El hombre necio aprende de sus errores, el hombre sabio aprende de los errores de los demás». Cada vez más, me encuentro con gente sabia.
Mucho se habla del concepto de ciberseguridad en sistemas de operación. Empezamos con la terminología, que varía entre «ciberseguridad OT«, «ciberseguridad SCADA», «ciberseguridad en IIoT», «ciberseguridad en sistemas críticos» o «ciberseguridad en sistemas de automatización». La mejor manera de definirlo viene siendo, como sucede con otras muchas cosas, la más simple. Ciberseguridad en OT (alias Operation Technology) o sistemas de operación. En pocas palabras, son sistemas cuyo objetivo es operar algo; es decir, generar un cambio físico en algún proceso de negocio. Dichos sistemas tienen características muy simples de identificar:
- Ciclo de vida superior a diez años: en muchos casos superior a este periodo, incluso llegando en algunas ocasiones a extremos de 25 años.
- Los fabricantes son empresas como Rockwell, Schneider o ABB, entre otros.
- Están asociados a procesos críticos de negocio donde principalmente se generan gran parte de los ingresos de la organización.
- Su principal aspecto crítico es la disponibilidad.
- Existen buenas prácticas asociadas al sector, como ejemplo NERC CIP, o ISA99.
¿Por qué se confía la ciberseguridad industrial a una empresa generalista?
Todo ello genera unas diferencias muy grandes si lo comparamos con la mirada tradicional de la ciberseguridad IT o de sistemas de la información. Esto significa que no podemos aplicar casi nada de lo que aplicaríamos en el sector financiero, por ejemplo. Volviendo a la analogía con el médico: al fin de al cabo, conoce la medicina, pero si queremos solucionar el problema realmente debemos llamar al especialista. Cualquier doctor puede decirte que estás enfermo, pero muy pocos pueden solucionarlo.
Aspectos clave
A pesar de todo ello, hay aspectos clave para sacar adelante un programa de ciberseguridad industrial de forma exitosa:
- Hablar el idioma del dueño del proceso: En la industria nos enfrentamos no con CIO ni con un responsable de infraestructura tecnológica, sino con un responsable de celulosa (en el sector papel) o de transporte de agua o de la producción de una fábrica de alimentación. Es decir, estamos hablando de alguien muy cerca del negocio y totalmente alejado de la ciberseguridad. Alguien acostumbrado hablar con sus referentes tecnológicos, que claramente no son ni Microsoft ni HP ni Oracle. Su equipamiento lleva más de 15 años funcionando y, de repente, le decimos que es «vulnerable». Por lo tanto, aquí debemos hacer una labor de concienciación desde el primer minuto del proyecto.
- Disputas internas entre áreas de IT y OT: Estas dos áreas casi nunca tienen una buena relación, ya que la delgada línea que separa quién se hace cargo de qué es difusa en muchos casos, y cada uno protege su perímetro de responsabilidad. Aquí hay que tener muy claro cómo se debe actuar con cada grupo y ayudar a que el proyecto sea un punto de encuentro y no de discusión. Es importante hacer ver que ambos aportan valor, sin mezclarse los roles.
- Experiencia: En este tipo de entorno no se puede probar ni experimentar. El equipo de trabajo asignado tiene que tener experiencia. Aquí se comete muchas veces el error de apostar por grandes empresas con grandes nombres, cuando en realidad no tienen la experiencia ni el equipo ni la capacidad de llevar adelante un proyecto de estas características. Eso no tiene nada que ver con el nombre, el tamaño de la empresa o la reputación internacional que pueda existir. Si el patrocinador del proyecto no prioriza este aspecto a la hora de seleccionar un proveedor especializado en ciberseguridad industrial, se encontrará el problema cuando llegue con el responsable del proceso, quien sin duda pondrá a prueba a dicho proveedor y al equipo de trabajo. Incluso, en los escenarios menos afortunados, se encontrará con un fallo durante el proyecto que deje sin disponibilidad a la fábrica, poniendo su puesto de trabajo al filo del abismo.
- Tecnología: La tecnología que nos ayuda a solventar algunos de los problemas que existen en los entornos OT lleva ya, al menos, unos cuatro o cinco años de evolución. Esto provoca que las diferencias tecnológicas desde el punto de vista de motores de DPI (inspección profunda de paquetes) no sea tan elevado; sin embargo, hay muchos otros parámetros a tener en cuenta que no se suelen ver en un folleto de especificaciones ni en una presentación comercial. Por ello debe tenerse cuidado a la hora de seleccionar una tecnología.
- El gran olvidado: Aquí me refiero a la implementación de planes de continuidad de negocio especializados en sistemas de control industrial. No debemos olvidar que, al final, lo que queremos es poder continuar con el proceso, más allá de las causas que provocaron la indisponibilidad. Y esto no los otorga un modelo de resiliencia.
Me ha tocado trabajar en muchos sectores, desde la minería a 4.000 metros de profundidad, hasta grandes fábricas del entorno de la salud, empresas de energía, pozos de petróleo, grandes fábricas o sistemas complejos de transporte de agua… Todos ellos tienen en común que no hay ningún margen de error durante un proyecto de ciberseguridad industrial. Un riesgo que solo se minimiza con un alto grado de especialización.