Por: Roberto Suzuki, Gerente Regional de Tecnología Operacional en Fortinet
para América Latina y el Caribe
¿Sabe cuáles son las diferencias entre las redes de TI y las de OT cuando se trata de ciberseguridad? Con la transformación digital y la necesidad de que las empresas sean más competitivas y eficientes, los retos de seguridad han aumentado, sobre todo cuando hablamos de entornos críticos como los industriales.
Las redes OT tienen características comunes con el mundo de las TI y ambas son vulnerables a los riesgos si no están bien protegidas, pero las redes OT suelen ser responsables de la conectividad de las infraestructuras críticas y un ciberataque puede llegar a provocar incluso la pérdida de vidas humanas, desastres medioambientales, robo de secretos comerciales, pérdida de equipos y comprometer la reputación de la organización.
Para hacer frente a este reto, las redes OT deben estar segmentadas de las redes corporativas no sólo a nivel logístico, sino también con mecanismos para identificar posibles ataques. Pensando en esto, vamos a enfocarnos en cinco recomendaciones básicas a tomar en cuenta para la protección de este tipo de entornos:
1 - Implementar la segmentación de las redes de TI y OT utilizando un Firewall de Próxima Generación con la capacidad de identificar protocolos específicos de OT, como Modbus, Profinet, OPC y DNP3.
2 - El acceso inadecuado desde un proveedor de servicios o empleado remoto puede protegerse con soluciones de autenticación multifactor (MFA). Si la contraseña del usuario ha sido comprometida, MFA proporciona una capa adicional de seguridad, ya que solicitará una o más formas para que el usuario se identifique.
3 - Disponer de soluciones de parcheo virtual como un IDS/IPS, que incluyan firmas para identificar ataques en entornos OT. Estos entornos fueron diseñados para estar operativos durante un largo periodo ininterrumpido, sin actualización tecnológica, y es habitual que parte de su arquitectura no tenga instalados parches de seguridad o incluso esté basada en sistemas operativos que ya no son soportados por el proveedor.
4 - Las soluciones EDR (Endpoint Detection and Response) son esenciales. Los ataques como el ransomware son un reto para los administradores debido a la dificultad de ser detectados por las soluciones antivirus convencionales. El EDR puede ayudar en situaciones como ésta proporcionando un análisis de amenazas en tiempo real, no sólo de los ataques conocidos, sino también del comportamiento de las ejecuciones en el punto final, que bloqueará este ataque, incluso si no ha sido identificado por una firma. Es importante que la solución también sea compatible con los sistemas operativos más antiguos, como Windows XP o Windows Server 2003, a menudo presentes en las redes operativas.
5 - No podía faltar la cuestión humana, ya que muchas veces el ser humano es el eslabón más débil cuando el tema es la ciberseguridad. Es necesario crear un plan de formación continua para todos los empleados, para que sepan identificar los agentes maliciosos y las acciones de riesgo, como el phishing.
Cada vez es más evidente la presencia de grupos hacktivistas, ciberdelincuentes y ciberterroristas que buscan en la importancia de los entornos de OT una forma de explotar sus objetivos más oscuros. Y de hecho este tema requiere la atención no sólo de aquellas empresas que tienen una red operativa en su entorno industrial, sino también de entornos con dispositivos IoT, como las Ciudades Inteligentes, los Centros de Investigación y la automatización de edificios, ya que pueden ser utilizados como entrada de agentes maliciosos en busca de otros entornos para ser atacados.
Y por último cundo se trata de ciberseguridad y mantener nuestros entornos seguros hay que tener siempre presente esta ecuación: Riesgo = Vulnerabilidad x Consecuencia x Amenaza.