Aportes para una urgente convergencia entre Tecnología Operativa y Tecnología Informática

Estimada Red, les comparto el presente artículo titulado Aportes para una urgente convergencia entre TO y TI para difusión de la temática.

Fuente: Segurilatam. Revista de Seguridad Integral. Nro. 19 Tercer Cuatrimestre 2021

Muchas gracias Javier Borredá García por la invitación. Mi gratitud a Bernardo Valadés por el impecable trabajo de edición, correcciones y mejoras en la redacción. Mi reconocimiento a la Revista Segurilatam por el espacio cedido. Aprovecho para destacar la pluralidad de voces que congregan en cada uno de los Números que publican.

I thank the colleagues from the Infosec world cited in this article; especially Rick Kaun and John Livingston of Verve Industrial Protection for his generosity in allowing me to share contributions of his authorship on the subject of reference.

Espero que mi humilde tributo sea de utilidad para muchos Profesionales y Organizaciones.

---------------------------------------------------------------------------------------------------------------

Desarrollo del artículo

Los planetas TO – Tecnología de Operación y TI – Tecnología Informática están cada vez más cerca el uno del otro. Los profesionales de ambos mundos debemos redoblar los esfuerzos y tender puentes para lograr de una vez la tan necesaria convergencia. Resulta imperioso integrar y consolidar estas dos galaxias en diversos ámbitos; entre ellos la gestión integral de la Industria 4.0 y la titánica tarea de proteger adecuadamente las infraestructuras críticas que sostienen servicios públicos esenciales. Estado, Sector Privado, Organizaciones No Gubernamentales, Universidades y ciudadanos estamos llamados a una activa participación en la búsqueda de soluciones concretas.

1.      Promover el trabajo en equipo

Más allá del organigrama y la descripción de puestos, se espera que los grupos de personas miembros de TI y TO unan fuerzas para lograr los objetivos de la Organización. Ahora bien, ¿realmente estamos todos en el mismo barco?, ¿esperamos que una regulación gubernamental o un incidente de alto impacto nos “obliguen” a funcionar juntos?, ¿son los Directivos (Nivel C) quienes nos deben bajar línea para acordar estrategias conjuntas o somos lo suficientemente autodidactas en el arte del diálogo y nos convocamos por nuestra cuenta? La perspectiva “Personas, Procesos y Tecnologías” implícita en el concepto de la CiberSeguridad Industrial es un vehículo interesante para cohesionar las dos visiones y lograr sinergias. A modo de ejemplo, el artículo de Scott Aaronson “Protecting the energy grid is a team sport” en securitymagazine.com resulta inspirador.

2.      Crear círculos virtuosos

¡Es imposible analizar la red industrial sin afectar la disponibilidad de los servicios! dicen en TO. ¡Es preciso cifrar todos los canales y flujos de datos! afirman desde TI. Sólo una cabal comprensión de todos los procesos y la forma en que cada uno contribuye al funcionamiento de los distintos mecanismos facilitará un abordaje concienzudo y holístico de la convergencia. A esta altura de las circunstancias hay quienes aún creen en soluciones divergentes o emprendimientos aislados. Un enfoque ganar-ganar permitirá a TI aprender sobre la naturaleza resiliente de TO, y a TO usufructuar la experiencia de TI en la aplicación de buenas prácticas y marcos de gobernanza de probada eficacia. Nada nos impide capitalizar lo mejor de ambos universos.

3.      Impulsar la visibilidad en TO

Bautizada como “TI en las sombras” o “shadow IT” dicha expresión alude al hardware y/o software -escondido- en las redes internas cuya existencia no es advertida por los administradores y por ende no está autorizada, provocando riesgos de diversa índole. Aunque suene incómodo, en la actualidad muchas empresas adolecen de su propia “shadow OT” es decir, desconocen la cantidad, el tipo y la ubicación de ciertos dispositivos conectados a sus redes industriales, e incluso programas informáticos no controlados instalados en computadoras corporativas. Algunas apenas saben qué protocolos moldean el tráfico en circulación. El primer paso en este sentido consiste en implementar controles y tecnologías diseñados para tener un completo inventario de todos los activos. Compañías como Tenable-Indegy, Nozomi y Claroty ofrecen consultoría y metodología junto con productos y servicios no invasivos para obtener un listado de equipos-dispositivos y software vinculados a las redes, con sus respectivas relaciones y metadatos (puertos, software embebido, firmware, etc.). Los mapas de conectividad obtenidos son el punto de partida para gestionar los cambios con el fin de mejorar la postura de seguridad de las instalaciones.

4.      Identificar y evaluar vulnerabilidades

En TI una vulnerabilidad se entiende como una debilidad o exposición derivada de fallas que pueden tener diversos orígenes. En general se trata de errores o problemas documentados y disponibles al público en general, identificados mediante codificación normalizada como CVE, CWE, CVSS, etc. La explotación de una vulnerabilidad puede derivar en situaciones no deseadas: apagado de servidores, fuga de datos o eventos maliciosos varios. En TO el aprovechamiento de una debilidad técnica tiene el potencial de afectar infraestructuras críticas y servicios esenciales. Ciertamente existen planes de contingencia y operación manual como alternativas, aunque el avance de la digitalización y el automatismo suman complejidades e interdependencias en los sistemas.

A partir del descubrimiento de los activos presentes en las redes industriales es posible agrupar y evaluar los mismos según distintos criterios: por tipos, por funciones, por marcas, por modelos, por versiones, etc. Ello permitirá contrastar la situación con los informes de seguridad emitidos por los proveedores e investigadores independientes, auxiliando a los administradores con el fin de priorizar los fallos y mitigar los peligros. TI debe ampliar su mirada y mejorar sus métodos de búsqueda de vulnerabilidades para diseñar junto a TO los procedimientos requeridos.

5.      Resignificar la gestión de riesgos

El análisis de riesgos se sitúa ante el desafío de ser integral y no dejar ningún aspecto sin considerar, entendiendo las responsabilidades compartidas entre TO y TI y gestionando los riesgos reales para la empresa, comenzando por los procesos críticos. La combinación de métodos tales como CHAZOP (Cyber Hazard and Operability) con filosofías del tipo Confianza Cero (Zero Trust) ayuda a identificar puntos vulnerables y efectuar cambios para mejorar la postura de seguridad de una Organización.

6.      Romper con el dilema “parchear o no parchear”

En TI es común hablar de “patch management” en referencia a reemplazar un determinado software versión N por otro N+1, que probablemente arreglará cosas que no funcionaban bien en la versión N. Si bien la industria del software ha madurado con el tiempo, los procesos de parcheo no están exentos de agregar problemas donde no existían. Tal condición no es una opción en TO, como tampoco es viable volver atrás la aplicación de un parche si implica reiniciar un equipo o interrumpir un servicio, asumiendo que hay un punto de restauración o un plan para llevar al sistema a su “última configuración buena conocida”. TO y TI deben hacerse preguntas directas y concisas: ¿Por qué un sistema debería parchearse?, ¿existe un parche del fabricante?, ¿hay soluciones alternativas (workarounds)?, ¿qué puede ocurrir si NO parcheamos?, ¿asumimos los riesgos de NO parchear? Y muchos otros interrogantes cuyas respuestas no siempre son evidentes ni sencillas. Existen opciones como el parcheo virtual mediante sistemas de detección de intrusiones (IDS) o la aplicación de controles compensatorios en entornos legados, sin soporte o que no admiten parcheo.

7.      Generar métricas e indicadores de rendimiento

El mundo TO está familiarizado con las mediciones de todo tipo, de hecho los sensores están situados en la capa más baja de la pirámide de la automatización, a nivel de campo y proceso. Con esa misma visión es posible aliarse con TI e incorporar conocimientos y herramientas destinados a producir métricas de uso interno, entendidas como valores expresados numéricamente para analizar el rendimiento de una determinada acción o proceso.

Por otro lado, los indicadores clave de rendimiento (KPI – Key Performance Indicators) están asociados a objetivos previamente establecidos por la empresa. Sirven para evaluar si las estrategias seguidas para conseguir las metas están funcionando. Son destinados a la Gerencia o Dirección, exhibiendo valores que pueden ser interpretados aún sin conocer los procesos de la Operación o ejecución.

8.      Minimizar la brecha cultural

Así como las tecnologías de la información y las telecomunicaciones se fueron incorporando a Tecnología de Operaciones, cada ámbito fue desarrollando objetivos, prioridades, habilidades, métricas e incluso lenguajes propios. Una forma de potenciar la convergencia implica diseñar y desplegar programas de educación conjunta, por ejemplo mediante talleres y laboratorios que promuevan la comunicación bidireccional y la comprensión de los propósitos y limitaciones de cada sector. La concienciación en materia de ciberseguridad puede convertirse en un catalizador para mostrar tanto a TI como a TO los riesgos cibernéticos y sus consecuencias concretas, así como la importancia de la prevención y las medidas de mitigación. Aquí resultan claves 3 pilares: gamificación, virtualización y simulación.

9.      Implementar un SGCI

Existen sistemas de gestión de calidad y gestión de seguridad de la información, ¿por qué no un Sistema de Gestión de la Ciberseguridad Industrial? Adaptado a la actividad principal de la Organización, con objetivos concretos, roles claramente definidos, presupuesto asignado y en el marco de un modelo de mejora continua PDCA (Plan Do Check Act). Sobresale el modelo propuesto por el CCI organizado en 4 capítulos: Requisitos del SGCI, Requisitos ISO 27001 y controles ISO 27002, Requisitos IEC 62443-2-1, Objetivos del Modelo de Madurez del CCI.

10.  Pensar más allá de lo evidente

Las preguntas sirven para tomar conciencia, asimilar ideas y, si corresponde, actuar en consecuencia por la convergencia TO-TI. ¿Es posible un SOC (Security Operations Center) para el ámbito industrial?, ¿Cómo se puede usar la correlación de eventos y los Indicadores de Compromiso para prevenir ataques?, ¿Es factible unificar servicios de TI y TO como Active Directory para autenticar y NTP para sincronizar fecha y hora?, ¿Será SD-WAN (redes definidas por software) la evolución de las telecomunicaciones?, ¿Adoptará la industria a SASE (Secure Access Service Edge) como un estándar de facto para garantizar seguridad unificada y confianza cero en las comunicaciones?, ¿Se convertirá Splinternet en una opción seria que minimice los riesgos de la actual infraestructura de Internet?

Finalmente, tanto TI como TO se necesitan mutuamente y deben contribuir en partes iguales a coordinar voluntades con el fin de incrementar el valor que entregan a la empresa. Si Usted desea profundizar en la temática, le invito a leer el Boletín 1021 del el Centro de Ciberinteligencia Entel CyberSecure titulado “Ciberseguridad en la convergencia IT/OT en Sistemas de Control Industrial”.