IT _ Tecnologías de la Información (Las oficinas) OT_ Tecnologías de las operaciones (La línea) Fin de siglas.
“IT/OT y sentido común”, pretende ser un conjunto de reflexiones sobre el nuevo escenario que se plantea en nuestras industrias al interconectar estos dos mundos. Las opiniones aquí expresadas no están avaladas por ningún organismo ni bajo el paraguas de normativa alguna, por lo tanto, podríamos encuadrar este escrito en la categoría de “artículo de opinión”, dicho lo cual, si usted está en desacuerdo con algunas de las opiniones expresadas, probablemente tenga razón. 
Si usted trabaja en un entorno industrial, en un área relacionada con los sistemas de control o la gestión de la información, es muy probable que se haya visto expuesto a noticias sobre ciberseguridad y escenarios más o menos apocalípticos como consecuencia de la interconexión entre estos dos mundos, y es cierto, es un escenario preocupante, pero podemos gestionar el fin del mundo.
El problema de la interconexión entre estos dos entornos, es que mientras IT ha sido tradicionalmente un entorno hostil desde el punto de vista de la ciberseguridad, y por lo tanto todo su ecosistema ha sido desarrollado bajo ese principio. OT ha sido un entorno seguro, donde todo vecino era un buen vecino y la mayor preocupación era que un campo magnético malintencionado cambiara un 1 por un 0 (esto en esencia va de unos y ceros), y esa situación con un bit de paridad o un código de redundancia cíclica quedaba resuelta, es por este motivo que ni protocolos ni sistemas de control han sido desarrollados para presentar ningún tipo de resistencia a este nuevo escenario.
Si bien es cierto que los fabricantes de tecnologías de control en entorno OT, rápidamente están reaccionando y están dotando de algún nivel de resistencia a sus equipos, aquí viene el segundo problema: la longevidad. Seguro que en su fábrica existen sistemas de control con más de 10 o 15 años de antigüedad, situación muy inusual entorno IT, esta diferencia de ciclo vital entre estos dos mundos complica la adopción de medidas de seguridad y aumenta la vulnerabilidad ya importante del mundo OT.
Dicho lo anterior, si usted conecta un cable directamente desde el switch de su oficina a una de las máquinas de su línea (situación más común de lo deseable), y utilizando un símil cinematográfico, sería como liberar personajes de Mad Max en la película de Blancanieves (la antigua).
Buenas y malas noticias. La respuesta es no, usted no puede dejar de conectar los entornos IT/OT y someter a OT a los riesgos que esto implica, ya que esta conexión permite que la valiosa información que se genera en su proceso pase a ser gestionada en un entorno global posibilitando con ello una gestión más eficiente y mejores tomas de decisiones, si usted no lo hace, su competencia lo hará ….. y el resto es historia. La buena noticia es que no necesita dotar a su instalación de ciberseguridad de nivel militar y que el primer paquete de medidas (y posiblemente el más eficaz) es gratis. Siendo el resultado de interiorizar que su entorno OT ya no es un lugar seguro, adoptando medidas de higiene en cuestión de ciberseguridad, como cierre de los servicios a los mínimos imprescindibles, ajustar el número de direcciones posibles al número necesarios de host, y un larga lista de medidas que aumentarán su seguridad en varios enteros sin costosas inversiones.
Equilibremos la respuesta. Que no existe la seguridad total es un mantra del sector, y que asumimos riesgos en nuestra vida es una realidad cotidiana, en el mundo de la ciberseguridad podemos aplicar el mismo principio.
El tipo de riesgo que quiere evitar determina la infraestructura necesaria y su coste asociado, cuanto más sofisticada es la forma del riesgo, más sofisticada y costosa es la respuesta. Usted debe determinar qué tipo de riesgo más probable va a enfrentar y en función de esto equilibrar la respuesta al mismo, a modo de guía estableceremos cuatro niveles de riesgo:
Nivel 1: “Estupidez”
Dado que esta característica es inherente a la condición humana, este nivel de protección debería estar presente en toda instalación. No se trata de un ataque nominativo a su infraestructura sino de malware dañino de perfil general que llegó a su infraestructura porque alguien pensó que ver videos de YouTube en el ordenador del Scada ayudaba a pasar el turno de noche. Las medidas de protección en este nivel no son costosas y en muchos casos se pueden implementar con recursos propios.
Nivel 2: “Malicioso Torpe”
El escenario ha cambiado, ya no es un ataque de perfil generalista, alguien apunta directamente a su infraestructura, pero sus recursos técnicos son limitados. Suele bastar con no dejar ninguna puerta abierta y no se hace necesario asumir costes importantes.
Nivel 3: “Malicioso Listo”
Ahora tenemos un problema, si usted considera que puede ser objeto de este tipo de ataque, precisa de una inversión en ciberseguridad de la mano de una empresa altamente especializada que proteja su instalación no solo con la implantación de una infraestructura y políticas de seguridad globales, sino que someta su instalación a software de chequeo que aseguren la temprana detección de un ataque contra la misma, esto va a ser caro.
Nivel 4: “Skynet”
Este es un escenario de ciberguerra, con estados o grandes corporaciones tras la agresión. Si usted no es una planta nuclear, silo de misiles, o instalación estratégica no debería preocuparse por este nivel de agresión.
La cuña comercial. Desde el Área de Automatización/Digitalización, ARRAM enfrenta estas situaciones con un equipo que combina profesionales con más de 25 años de experiencia en automatización industrial con técnicos junior conocedores de las últimas tecnologías. Esta combinación entendemos que resulta de gran utilidad en el escenario a enfrentar, motivo por el cual podemos ofrecer soluciones equilibradas en cada entorno planteado.
Espero que estas reflexiones nos hayan ayudado a entender la nueva situación que enfrentan nuestras empresas, así como cuál debería ser nuestro posicionamiento en este nuevo escenario. Para todos aquellos que habéis echado en falta siglas y sesudos tratados sobre ciberseguridad, el segundo artículo que completa esta serie promete no decepcionar a ese público.
