Hasta poco tiempo atrás la Ciberseguridad era un tema abordado casi exclusivamente desde ámbito IT. Actualmente se debe incorporar a las infraestructuras de operación, pero éstas deben tratarse de una forma diferente.
Los tiempos en que los sistemas de control se encontraban aislados y, en la mayoría de los casos, utilizaban protocolos propietarios o específicos, han quedado en el pasado. Los riesgos y vulnerabilidades cibernéticas para las operaciones industriales se han ido incrementando en la medida que las necesidades de comunicación y vinculación de sus sistemas se han hecho presentes. No hay que perder de vista que estos riesgos pueden ocasionar eventos de graves características, como afectar la seguridad física en un entorno de producción, producir paros de planta inesperados o afectar el medio ambiente.
El objetivo básico de la seguridad de la información es el de asegurar tres principios primarios (Confidencialidad, Integridad y Disponibilidad). Si bien los tres principios son elementales, y se establecen en los pilares de la ciberseguridad, en los ámbitos puramente IT la confidencialidad de la información cumple un rol preponderante, poniendo el foco en el cuidado de las posibilidades de acceso a los datos, luego ocupándose de la integridad y la disponibilidad de la información.
En el ámbito OT las necesidades de análisis de requerimientos de seguridad se han potenciado a medida que más tecnologías operacionales utilizan mayor conectividad y ejecución online. El aseguramiento de la información en organizaciones industriales ha estado tradicionalmente abordado por el ámbito IT (Tecnología de Información), pero ahora se necesita de un enfoque de Tecnología Operacional (OT) más específico.
En el ámbito operacional, particularmente en los Sistemas Digitales de Automatización y Control, la disponibilidad de la información tiene la mayor prioridad, seguida de la integridad, y luego la confidencialidad. En este caso, a la confidencialidad se le atribuye una menor importancia debido a que se asume que los datos por sí mismos habitualmente no son interpretables y necesitan ser analizados en contexto para que aporten valor.
La diferencia entre ambos enfoques radica en que “El principal objetivo de la ciberseguridad OT es asegurar que aún durante un ciberataque o ante una falla en el sistema, la seguridad de las personas y la producción continúen inalterables.”
La Ciberseguridad en OT se está consolidando como una nueva especialidad, es por esto que se está abordando desde IT erróneamente. En la industria, las compañías están priorizando el aseguramiento de sus sistemas operacionales, redes, servidores o sistemas de control, solicitando estudios y revisiones de vulnerabilidades que son adecuados para IT, pero que no cumplen con los requerimientos de OT.
Esto sucede porque en las organizaciones normalmente asumen el abordaje de estos estudios bajo los mismos criterios de la Seguridad Informática tradicional, con el concepto de que los sistemas de control se basan en computadoras y redes de datos. Es lógico que se asuma así, porque históricamente la ciberseguridad ha sido asociada al ámbito IT, y desde el mundo informático se ha avanzado mucho antes y más en este aspecto.
En el ámbito OT debe revisarse este abordaje de la ciberseguridad porque aquí están involucrados otros tipos de riesgos más importantes que sólo los datos, como son riesgos para las personas, continuidad operacional, y riesgos de procesos productivos y activos de una compañía.
El equipo de Wood, en esta oportunidad Danilo Petricca y Raul Hanna, recomiendan para quienes necesiten estudios de ciberseguridad operacional que lo hagan apoyándose en proveedores que integren experiencia en la seguridad funcional y conocimientos en la seguridad de la información (ciberseguridad en OT) para que el foco sea en la continuidad operacional.
La ciberseguridad operacional es una disciplina enfocada en proteger a las personas y la continuidad del proceso, por lo tanto, las metodologías y herramientas que se utilizan en infraestructuras puramente informáticas no resultan adecuadas. Por ello la ISA, la IEC y otras organizaciones han desarrollado normativas completamente diferentes, que están en dinámica evolución, donde alinean la Seguridad Funcional (proteger personal, activos de la organización y al medio ambiente) con Ciberseguridad del equipamiento involucrado.
En estas normativas, las metodologías aplicadas son diferentes a las que se aplican en infraestructuras puramente informáticas y se orientan más a alinear la Ciberseguridad operacional con la Seguridad Funcional de los procesos y activos productivos. Si bien los análisis de Seguridad Funcional y de Ciberseguridad a menudo se desarrollan por separado, éstos deben tener los mismos objetivos de gestión de riesgos empresariales, de manera de proteger todos los ámbitos relevantes para la operación (personal, activos de la organización y al medio ambiente).
En resumen, es fundamental que las organizaciones enfoquen su mirada en esta nueva visión de ciberseguridad con foco en la seguridad de los procesos productivos (seguridad funcional), las personas y la continuidad operacional.