CIBER-RESILIENCIA INDUSTRIAL (Parte I)


El presente artículo se orienta a entregar características de la actual necesidad de una industria ciber-resiliente, considerada como aquella que puede prevenir, detectar, contener y recuperarse, minimizando el tiempo de exposición y el impacto o daño final en la continuidad operacional producto de la concreción de amenazas contra datos, sistemas e infraestructura tecnológica en las redes industriales, así como de aquellos cambios o distorsiones más sutiles que provienen del entorno o medio en que se desenvuelven.  Este concepto es “pariente directo” del ciber-riesgo, de la ciber-seguridad y de la continuidad operacional de las tecnologías residentes en las zonas de gestión de los sistemas de control industriales.  Veamos entonces en qué se diferencian, cómo se complementan y por qué deben trabajar juntas, bajo esta mirada de ciber-resiliencia.

¿De qué estamos hablando?

Abordar un tema nuevo, extraño y compuesto como éste sin caer en meras definiciones “académicas”, es un interesante reto, sin embargo, resulta necesario, en primera instancia, alinear criterios para cada uno de estos tres términos: Ciber – Resiliencia – Industrial.

El primero, CIBER, es el más de moda y se refiere a los recursos tecnológicos que nos permiten interactuar en el ciberespacio, más claro, con las tecnologías de Internet, y en particular la IIoT (Internet de las Cosas Industrial).

El segundo, RESILIENCIA, tiene múltiples acepciones por lo que intentaremos acercarlas a nuestro interés Ciber-Industrial. El término resiliencia proviene del latín “resilio” que significa volver atrás o volver a un estado anterior de normalidad, superando las adversidades y continuar.   En física, se refiere a la capacidad que tienen los cuerpos para volver a su forma original después de haber sufrido una deformación por agente externo.  En el campo de la psicología, se define como la capacidad de los seres humanos para adaptarse positivamente a las situaciones adversas.  Se considera que las personas más resilientes tienen mayor equilibrio emocional frente a situaciones de estrés, soportando mejor la presión, lo que les genera una sensación de control frente a los acontecimientos y una mayor capacidad para reaccionar frente a situaciones difíciles y estresantes. 

Con lo anterior, el mapeo hacia la ciber-resiliencia sería tender a que los sistemas tecnológicos vinculados con el ciberespacio (o internet) se mantengan funcionales de manera estable en un rango de normalidad, aunque existan dificultades internas y/o el entorno imponga cambios en su arquitectura, cumplimiento, integración, rendimiento u otros factores que resulten ser condicionantes para su continuidad operacional.

Por último, el término INDUSTRIAL, si bien se podría omitir para mantener la temática de la resiliencia en un ámbito más genérico, nos interesa en lo particular de requerimientos para el ámbito de seguridad TO (Tecnologías de la Operación) o de planta, donde existe la necesidad de integrar nuevos requerimientos de ciberseguridad.

Sistemas Ciber-Resilientes

Para los sistemas de gestión, incluyendo los que gestionan los riesgos, la seguridad tecnológica y continuidad operacional, hay que considerar si el esfuerzo debe focalizarse sólo en hacerlos resilientes o en comprender que dicha resiliencia es una capacidad propia de cada uno de ellos, y mejor dirigir tal esfuerzo en comprender los factores que otorgan resiliencia como propiedad intrínseca del sistema. La tendencia actual es considerar esto último.

En consecuencia, se deben orientar los esfuerzos no sólo a considerar el estudio de las deficiencias, anomalías, incidentes o desastres que haya que superar; sino también integrar el estudio y perfeccionamiento de aquellas características que hacen al sistema mantenerse funcionando en la normalidad, conservando los niveles necesarios de riesgo, seguridad y continuidad operacional que se haya planteado la empresa.

Esto significa no sólo estar preparado para reaccionar frente a situaciones adversas, sino que también ser capaz de anticiparse.  Se resumiría, por tanto, que la mirada de resiliencia debe ser tanto preventiva mejorando la operación de normalidad del día a día y del cómo reaccionar cuando se concretan las amenazas y se necesitan procesos de recuperación y restauración a un estado de normal operación.

Resiliencia en lo normativo y estándares internacionales

Si bien el concepto de ciber-resiliencia está vinculado y se complementa con normas y estándares internacionales como Seguridad de la Información con la familia ISO 27000; la Ciberseguridad con ISO 27032; la Continuidad con ISO 22301 y Gestión de Riesgos con ISO 31000 o Risk Management Framework for Information Systems and Organizations de NIST (NIST SP 800-37) o ISO 27005.  También existen y se hacen más conocidas aquellas que se vinculan con la Resiliencia Organizacional como son SISS ORM.1-2017, BSI 65000:2014 e ISO 22316:2017, integrando y complementando las miradas previas; ahora apuntando a la perpetuidad de la organización. 

¿Pero, qué hay en lo práctico de la Ciber-Resiliencia?

Apunta a integrar las acciones preventivas de continuidad operacional en la normalidad y las capacidades de recuperación frente a problemas pequeños medianos o grandes que permitan dar continuidad a las operaciones esenciales de la institución.

  • En la mirada preventiva, evitar que se concreten eventos adversos, gestionando las debilidades, vulnerabilidades y riesgos, hasta un nivel tolerable.
  • En la detección y contención, impedir se incremente el impacto de un hecho adverso o incidente menor, producto de la concreción de una amenaza para que no se convierta en crisis o desastre.
  • En lo reactivo, recuperarse a la normalidad cuando se ha afectado la continuidad operacional, producto de una contingencia media o desastre mayor.
  • En el ámbito normativo, ser capaces de entender, adecuar e integrar las normativas de Ciber-Riesgo, Ciber-Seguridad y Continuidad Operacional para normar la conformación de entornos Resilientes.
  • En el Gobierno, ser capaces de gestionar los diversos aspectos señalados, con roles y responsabilidades a nivel estratégico, táctico y operacional, integrando tanto lo administrativo o de oficina como lo netamente industrial.

Dificultades Internas y Cambios del Entorno

La Ciber-Resiliencia se ve puesta a prueba cuando existen elementos internos o externos perturbadores de la cotidianeidad u operación normal, lo que ejemplificaremos en casos los siguientes, agrupados en a) Dificultades internas y b) Cambios del entorno. Claramente estos son sólo ejemplos y no la totalidad de las situaciones.

  1. Dificultades internas
    • Una de las primeras actividades, con su dificultad asociada, que se debe realizar en el ámbito de la ciberseguridad Industrial es formalizar el diagrama de las redes industriales que componen dicho entorno, considerando que normalmente no existe una única red.  Esto incluye conocer y diagramar cuáles y cuántas son estas redes industriales, cuántos dominios o zonas existen y cuántas DMZ o conductos se requieren para una protección adecuada de los recursos tecnológicos incluidos en cada zona, según su sensibilidad.
    • Problemas de la continuidad operacional en plataformas tecnológicas que controlan el entorno SCADA debido a obsolescencia de dicha plataforma.  Conocemos un caso del servidor que gestionaba una cortadora de plasma para planchas de acero, montado sobre una antigua plataforma SUN Solaris, que al comenzar a fallar sus discos duros se tuvo que recurrir al reemplazo de dichas componentes encontradas sólo en un deshuesadero de equipos antiguos, dado que en el mercado convencional dichos discos ya no se comercializan por ser tecnología obsoleta.
    • Que exista conocimiento y personal con competencias suficientes para conocer interpretar y poder aplicar en la realidad de la empresa los lineamientos normativos respecto a ciberseguridad industrial como NERC CIP en el ámbito eléctrico o ISA/ANSI 62443, en la industria en general.  En la práctica se traduciría en poder identificar los puntos de partida, como requerimientos que permitan definir un baseline en ciberseguridad Industrial a partir de los requerimientos de ISA/ANSI 62443.  Para una mirada experta, esto se traduciría en identificar controles en el Security Label 1 (SL=1).
    • Las propuestas de marcos normativos internacionales también nos pueden jugar en contra dado que son múltiples y variado, con lineamientos o focos diferentes y que podrían presentarse Incluso como tendencias en competencia entre sí.  De allí surge la necesidad que cada empresa establezca su framework o marco de trabajo propio, nutrido de controles desde dichos estándares; pero que atienda el nivel de madurez actual de la institución y permita por tanto avanzar desde una línea base hacia niveles mayores de madurez en ciberseguridad industrial.
  2. Cambios del entorno:
    • Cuando el ente regulador exige cambios a nivel de estructura organizacional como por ejemplo integrar un rol de encargado de ciberseguridad en el ámbito Industrial, sin que la institución tenga definido ese rol o siquiera cuente con personal con las competencias para cubrirlo.
    • Que el mercado o el rubro tienda a establecer o adherirse a estándares internacionales sin que exista definiciones propias para ello.  Por ejemplo, el caso de empresas eléctricas y el estándar internacional NERC – CIP.

En siguiente publicación, Parte II (y final) del artículo, con:

  • ¡Cómo avanzar!, con propuesta de acciones concretas.
  • Mirada internacional de la Ciber-Resiliencia, con la opinión y mirada externa de un colega de ISA Mexico.
  • La transformación digital, nuevos paradigmas y la Resiliencia, conclusiones y cierre.

==============================================

Términos y Estándares de Referencia

  • ISA/ANSI 62443: International Society for Automation (ISA) / American National Standards Institute (ANSI).  62443: Serie de estándares, informes técnicos e información relacionada que definen los procedimientos para implementar Sistemas de Administración seguros para Sistemas de Control y Automatización Industrial (IACS).
  • NERC – CIP (North American Electric Reliability Corporation – Critical Infrastructure Protection).
  • NIST: National Institute of Standards and Technology.
  • BSI: British Standards Institution.
  • DRII: Disaster Recovery Institute International.
  • ISO: International Organization for Standardization.
  • (ISC)2: International Information Systems Security Certification Consortium.

Artículo por Jorge Olivares Olmos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *