Ciberseguridad estructural (OT), clave para una protección integral de las instalaciones
La ciberseguridad se sitúa, por cuarto año consecutivo, como el primer riesgo al que se enfrentan las compañías europeas, tal y como recoge la sexta edición del informe Risk in Focus 2022: hot topics for internal auditors, realizado recientemente por 12 institutos de auditores internos de Europa, incluido el de España.
En los últimos años y, especialmente a raíz de la pandemia, la ciberseguridad TI se ha convertido en una de las prioridades de las compañías. Sin embargo, y a pesar de la creciente digitalización de los sistemas OT, muchas compañías aún no son conscientes de los riesgos a los que se enfrenta su infraestructura operacional. Según datos de Fortinet, el 90% de las compañías que utilizan tecnologías OT experimentó ciberataques en los primeros seis meses de 2021, la misma cifra que en el mismo periodo del año anterior. Las redes OT supervisan y garantizan la seguridad de la infraestructura de los edificios, que funciona junto con sistemas clave como la iluminación, los ascensores y los sistemas de calefacción y refrigeración.
Eaton, referente en gestión de energía, insiste en que existen muchas carencias en la protección de las redes OT que controlan el mundo físico y sustentan las infraestructuras de los edificios que operan los sistemas de instalaciones clave. “Los diferentes objetivos y tecnologías utilizados en cada disciplina implican que la ciberseguridad de las redes OT debe abordarse de forma distinta a la de las redes TI. Aunque algunos métodos y herramientas sí podrían aplicarse a la OT, se debe hacer de forma que no obstaculicen ni afecten al funcionamiento en tiempo real del sistema. No hay que olvidar que la seguridad TI se centra en la protección de los datos, aplicaciones y redes de conexión y puede, si no resulta efectiva, llegar a comprometer el tiempo de actividad y la disponibilidad, que son factores clave para la OT”, comenta José Antonio Afonso, responsable del segmento Commercial Building en Eaton Iberia.
Ciberseguridad durante todo el ciclo de vida
Generalmente la OT engloba el hardware y el software que mantienen en funcionamiento la infraestructura crítica, pero esta tecnología a menudo depende de la infraestructura de TI, sobre todo para comunicarse con activos en distintas ubicaciones. Esto implica que la responsabilidad de supervisión de estos equipos esté distribuida entre el personal de TI, redes, ingeniería e instalaciones. Por otro lado, los sistemas y activos de OT tienen ciclos de vida largos, generalmente superiores a los 10 años, y esto puede suponer que utilicen hardware heredado y software obsoleto que no cuenten con asistencia activa. Como resultado de todo lo anterior, es difícil aplicar revisiones a estos sistemas y su seguridad queda más expuesta ante posibles ataques.
“Para proteger la infraestructura OT es fundamental seleccionar productos y proveedores que revisen de forma regular el estado de la ciberseguridad y proporcionen actualizaciones a lo largo del ciclo de vida previsto, así como mantener inventarios precisos y evaluar continuamente el sistema en busca de vulnerabilidades y debilidades”, añade Afonso.
Además de lo anterior, es muy importante que los productos, sistemas y soluciones que se implementan estén diseñados teniendo en cuenta la ciberseguridad y cumplan los estándares del sector a largo de todo su ciclo de vida, así como evaluar con frecuencia la red OT y los activos de la instalación para determinar las medidas de ciberseguridad más adecuadas en cada caso.