Tecnologías de ciberseguridad industrial

Segmentación

El objetivo de diseñar una arquitectura de red bajo la premisa de seguridad en las comunicaciones deriva de la necesidad principal de aislar los procesos de producción, control y gestión. Así, en entornos o zonas aisladas, las soluciones de seguridad se adecuan de manera más efectiva a cada entorno. Además, un correcto aislamiento de los entornos y un control en la interrelación entre ellos permite que los eventos (o llegado el caso, incidentes) de seguridad puedan ser controlados de manera más eficiente, reducir la superficie de ataque y bloquear su propagación al resto de zonas.

La seguridad perimetral sigue siendo una de las principales medidas. Una capa perimetral bien dimensionada y correctamente configurada permite minimizar los riesgos, sin la necesidad de actuar sobre los equipos finales que, por sus características especiales, pueden estar desactualizados, sin soporte o sin compatibilidad con soluciones de seguridad. Además, en entornos industriales suelen contar con largos ciclos de vida. A esto se suma que, en ocasiones, y debido a su criticidad, es inviable actuar sobre ellos para aplicar parches, desplegar medidas de protección nativas, etc.

Esta capa de seguridad permite, también, atajar la propagación a través de filtrado de tráfico junto con funciones avanzadas como Control de Aplicación (FW capa 7), antivirus, filtrado web o IDS/IPS. En los entornos industriales existen equipos que permiten ciertas funcionalidades a través de servidores web embebidos, a los que les pueden afectar las mismas vulnerabilidades que a servidores tradicionales, con la dificultad que, o no pueden ser corregidas, o supone la actualización completa de firmware o software.

También es necesario contemplar la recogida, procesado y monitorización de la información que obtenemos de la propia red. No podemos responder ante algo que desconocemos, por lo que tenemos que disponer de una visión lo más exhaustiva posible de lo que sucede en nuestra red. Si hablamos de entornos de producción, el fallo en un equipo instalado puede generar un problema aislado, pero la interconexión que se da entre todos los sistemas y procesos puede llevar a un problema mayor o de impacto elevado. Disponer de información fiable puede darnos la clave para adelantarnos a este tipo de problemas. Por ello, es muy recomendable la existencia de un sistema que permita la recogida, procesado y correlación de los eventos de seguridad (SIEM) de los diferentes sistemas existentes en la red (provengan o no de elementos de seguridad) que nos permita una actitud proactiva en materia de ciberseguridad.