Ante la gran concurrencia de amenazas a las que las organizaciones están expuestas hoy en día, resulta primordial contar con un servicio integral de seguridad que incluya los elementos necesarios para cubrir todos los riesgos en todas sus formas y contenidos. Las empresas y las administraciones públicas deben decidir cuáles son las medidas de seguridad a implementar y actualmente la ciberseguridad ha pasado a ser la principal solución a la hora de invertir. Con una evolución continua de las diferentes tecnologías de seguridad, la ciberseguridad es un concepto que nace de la seguridad informática tradicional con el objetivo de acometer la defensa del negocio conectado y garantizar la continuidad empresarial.
Si nos centramos en la seguridad aplicada a la industria, es importante tener en cuenta que los modelos tradicionales eran geográficamente locales y con unos enfoques muy definidos a los negocios, máquinas y personas. Hoy en día, debido a la evolución de la sociedad y los cambios tecnológicos realizados en las últimas décadas, nos encontramos con modelos de negocios en los que la tecnología industrial (Operations Technology, OT) y la tecnología de la información (Information Technology, IT) son el eje central del cual dependen, en una etapa y en otra, todos los procesos productivos, además de ser palanca de cambio en la mejora de los servicios y los productos.
Tanto las instalaciones, personas y datos empresariales, o cualquier activo de la organización, deben de ser securizados acorde a la naturaleza de cada activo. Los bienes y las personas necesitarán ser protegidas con servicios de personal de seguridad. Los procesos industriales y logísticos con tecnología de seguridad y los activos informáticos a través dela ciberseguridad. Sin embargo, actualmente ya no resulta efectivo buscar soluciones por separado para cada uno de los riesgos de la actividad empresarial, sino que es necesario buscar soluciones que converjan, lo que da lugar a la denominada “Seguridad Integral”.
La seguridad integral está compuesta por la seguridad pasiva, física, tecnológica y la ciberseguridad. Con la seguridad pasiva, retrasaríamos el intento de intrusión o mitigaríamos la propagación de un incendio, mediante elementos constructivos. Con la seguridad física, aseguraríamos los perímetros y el interior de las instalaciones, aplicando procedimientos a partir de los cuales los vigilantes actúen inmediatamente ante amenazas a bienes y personas. A partir de la seguridad tecnológica, detectaríamos indicios de materialización de riesgos como el robo, el incendio o el fallo de una instalación crítica. Con la ciberseguridad, protegemos los programas informáticos, los sistemas, los procesos y los datos, además de defendernos de los ataques producidos por el malware, la ingeniería social y las acciones dirigidas a nuestra organización.
Este escenario de amenazas, cada vez más complejo, demanda la convergencia de estas soluciones de seguridad para mitigar los diferentes riesgos en cada situación que puede encontrarse una empresa. Esta convergencia debe concretarse en un sistema de seguridad integral con visión 360º, que dé soluciones a las necesidades de seguridad tanto de las instalaciones locales y remotas, las tecnologías y los puestos de trabajo, así como de los entornos virtuales y cloud.
Volviendo al caso del sector industrial, cabe destacar que la fabricación tiene diferentes procesos de producción, controlados por PLC y sistemas Scada, que normalmente no están diseñados desde el punto de vista de la seguridad. Ni siquiera los procesos productivos están pensados para ejecutarse de una forma segura.
Damos por sentado que en el acceso a las instalaciones debe de haber una seguridad física, combinada con seguridad tecnológica y todo ello con la escolta de la ciberseguridad. Pero no nos preocupamos si las máquinas que participan en el proceso industrial son utilizadas indebidamente, se han cambiado sus parámetros accidentalmente o han sido saboteadas o cambiadas al uso. ¿Se imagina una característica clave de un producto de fabricación cambiada durante 8 horas en una cadena de producción realizada a 20.000 km. de distancia? ¿Y realizada a 1 metro de distancia? ¿Podría verificar en 5 minutos qué es lo que está pasando? Podemos pensar que sí, con un sistema de procesos seguro, complementado con analítica de vídeo y una política adecuada de ciberseguridad, se solucionaría el problema de raíz, asegurando productos de mayor calidad, entregándolos en perfecto estado y a su debido tiempo. En este escenario, también deberíamos de contar con otra variable que son los sabotajes intencionados realizados por personal propio o visitante desde dentro de la empresa. La monitorización de la infraestructura OT desde un SOC se hace necesaria para minimizar los riesgos de cualquier malware, sabotaje, configuración errónea o mal funcionamiento.
En ciberseguridad hablamos siempre de riesgos, tanto tangibles como intangibles. Los riesgos van desde un escape de agua que puede inundar nuestro CPD, hasta el acceso a nuestras instalaciones por parte de personas no autorizadas. No sólo se trata de instalar dispositivos de seguridad para que nos defiendan ante una intrusión, pues esta necesidad está presente en todos los procesos de una organización. Para asegurar nuestro parque informático, debemos aplicar una política de seguridad para que el usuario no tenga permisos de administración y no pueda instalar ningún programa informático ni cambiar ninguna característica física después de ser entregado por el departamento de informática. Los elementos de seguridad como antivirus, firewall y tecnología UTM se hallan entre las primeras medidas de mitigación de riesgos. En cuanto a los servidores, debe existir una política de acceso restringido. No sólo con políticas de seguridad informática se puede garantizar la seguridad. Hay que complementarlas con medidas de seguridad física y electrónicas con el objetivo de controlar el acceso a la organización, para que ordenadores y servidores no puedan ser sustraídos.
En cuanto a la formación de los trabajadores, hay que considerar todas las casuísticas, como la de un/a trabajador/a que está en una oficina hasta la del/la que está en la cadena de producción con el ordenador cambiando parámetros. Todos deberían tener formación en ciberseguridad que les aporte conocimiento, y sobretodo, concienciación.
¿Cómo implementamos todas estas medidas? Lo recomendable es establecer un plan estratégico. En lugar de tomar medidas cortoplacistas, seguir una estrategia de seguridad global para la empresa, donde se incluyan diferentes procedimientos operativos y técnicos como un plan director de seguridad, control del flujo de la información, aplicación de normativa como la RGPD, cifrado de las conexiones, eliminar el uso del papel para cumplir el criterio de confidencialidad. Además, esta estrategia estará asentada en principios y buenas prácticas de normas y metodologías de seguridad informática que garanticen que la actividad empresarial no se vea afectada por un riesgo que no haya sido previamente analizado.
Con esto, queremos transmitir que la seguridad de las empresas ya puede ser manejada desde una sola perspectiva. Es la “Seguridad Integral”, la combinación de todas ellas inteligentemente, las que realizarán un trabajo excepcional. ¿Y qué nos depara el futuro? Por suerte ya está trabajando para nosotros la inteligencia artificial, que forma parte de las soluciones de ciberseguridad, permitiendo nuevas prestaciones para protegernos, por lo que enriquecerá aún más si cabe el modelo a seguir de la seguridad integral y será clave para el día a día de las empresas que opten por implementar seguridad convergente y en la que la ciberseguridad sea el eje principal.

Carlos Navarro Sanchez
Cybersecurity Services Manager de Empresas IMAN