Servicios de Ciberseguridad Industrial OT (Tecnología Operacional)

La seguridad OT hace referencia a la protección de la tecnología operativa y los sistemas industriales utilizados para supervisar y controlar procesos en infraestructuras como el suministro de energía, el transporte, la asistencia sanitaria, la producción o las infraestructuras de agua y aguas residuales. Las amenazas pueden ir desde la manipulación física de los equipos hasta los ciberataques y la manipulación de datos.

Si opera en un área en la que se explotan infraestructuras críticas, es obligatorio asegurar los sistemas OT. Esto no sólo evita perturbaciones, interrupciones o ataques a la infraestructura, sino que también puede proteger vidas humanas en caso de emergencia. Y si tenemos en cuenta lo que puede costar una interrupción involuntaria de la producción, las plantas de fabricación industrial también deberían adoptar medidas de seguridad OT.

La convergencia IT/OT se refiere al proceso en el que las áreas tradicionalmente separadas de la tecnología de la información (IT) y la tecnología operativa (OT) se están uniendo cada vez más. Debido a la creciente digitalización, los sistemas de IT y OT se integran con mayor frecuencia para mejorar la eficiencia y reducir costes. Sin embargo, además de todas las ventajas, esto también aumenta la superficie de ataque, lo que significa que la tecnología operativa está cada vez más en el punto de mira de los ciberdelincuentes.

En España existe un Código de la Ley de Ciberseguridad, que junto a las Regulaciones de Seguridad Nacional, establecen medidas para la protección de las infraestructuras críticas a través de un “Reglamento de protección de las infraestructuras críticas”, enfocado en la actualización de los Planes de Seguridad del Operador y de Planes de Protección Específicos para la Ciberseguridad.

Aunque el Reglamento para la Infraestructura para la Calidad y la Seguridad Industrial aún no ha sido modificado para incluir los riesgos asociados a la ciberseguridad, éstos se ven de facto reflejados en los requerimientos de INCIBE para los sectores estratégicos más relevantes.

La Transposición de la reciente directiva NIS2 (DIRECTIVA UE 2022/2555) y de la Ley de Ciber resiliencia (en aprobación), incrementarán la presión para adoptar medidas contra los riesgos mencionados en otras instalaciones industriales.

Adicionalmente, el gobierno español ha anunciado una nueva Ley de Ciberseguridad en España, prevista su publicación para el año 2024, con la que pretende reducir el riesgo de ciberataques, reforzar los mecanismos ante incidentes de ciberseguridad, regular el uso de proveedores que puedan ser considerados de riesgo y hacer uso de los fondos europeos del plan de recuperación para formar a especialistas en ciberseguridad.

La serie de normas IEC 62443 (también conocida como ISA/IEC 62443) es una serie internacional de normas que aborda la ciberseguridad de los sistemas de automatización y control industrial (IACS). Define una arquitectura y unos procesos de seguridad exhaustivos para los IACS y proporciona requisitos, directrices y recomendaciones para diversos aspectos de la ciberseguridad de los IACS.

El Marco de Ciberseguridad (CSF) del NIST está diseñado para mejorar la ciberseguridad en empresas y organizaciones. Fue desarrollado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) y publicado en 2014 en su primera versión y en 2024 en la segunda (NIST 2.0). El núcleo del CSF del NIST define cinco funciones principales que deben tenerse en cuenta al aplicar la ciberseguridad. Estas son: identificación, protección, detección, respuesta y recuperación, junto a la Gobernanza que ha de regir sobre todas las demás.

La gestión de vulnerabilidades (MV) se refiere a un proceso que identifica las vulnerabilidades de una organización (Vulnerabilidades y Exposiciones Comunes, CVEs) que podrían ser explotadas por atacantes para comprometer activos individuales. Así, la gestión de vulnerabilidades sigue el lema: “Sólo quien conoce sus puntos débiles puede protegerse eficazmente”.

La gestión de riesgos, por su parte, sirve para comprender y gestionar los riesgos potenciales. Un primer paso consiste en comprender el potencial de riesgo de los activos y sistemas afectados para identificar las vulnerabilidades y amenazas potenciales y aplicar las medidas adecuadas.

El Modelo de Referencia Purdue es un modelo conceptual utilizado para clasificar los sistemas de control y automatización de procesos. Fue desarrollado por la Universidad de Purdue en la década de 1990 y desglosa los sistemas de control y automatización de procesos en siete niveles diferentes, cada uno con funciones distintas. Los dispositivos y sistemas conectados se asignan a los niveles, mientras que las medidas técnicas de protección se aplican en las transiciones entre las áreas.