Consecución de protección efectiva basada en la sincronización multidominio entre controles de ciberseguridad y códigos de ciberriesgos en ecosistemas OT-IT
Hoy en día la relación entre controles de ciberseguridad y ciber-ataques/ciber-riesgos (ciber-incidentes, ciber-azares, ciber-brechas, ciber-amenazas, ciber-intrusiones, vulnerabilidades y todas sus derivadas) debe dejar de ser una simple cuestión de alineación para convertirse en toda una fuerte sincronización y correlación multi-espectral y multi-dominio (frecuencial, temporal, por código, etc.). La ciberseguridad cognitiva intensiva lidera un conjunto muy extenso de formas de protección de actuación continuada: defensas (a veces desproporcionadas de diferentes tipos: proactivas, adaptativas, conectadas, reactivas, basadas en contra-ataques, contra-amenazas, contra-vulnerabilidades, etc.), disuasión, inferir, monitorización con sensores y bots móviles, detección anticipada-temprana, prevención basada en estadística, inteligencia artificial y big data, ciber-resiliciencia, ciber-inmunología (pero siendo consciente de posibles patologías/ciber-dolencias y procesos maliciosos auto-inmunes como la artritis en medicina), engaño-deception combinado, recuperación, monitorización y gestión de ciber-incidentes, gestión multidimensional de cumplimientos, mecanismos para remediar, mitigación con salvaguardas, respuesta, vacunación (contra malware masivo), investigación-ciberforensia, predicción (en base a indicios, pistas, trazas, firmas, evidencias, tendencias, medidas, etc.), cognitiva-consciente (de todos los factores implicados que existan, aparezcan o surjan además de integrar el conocimiento e inteligencia de vulnerabilidades (los puntos de vulnerabilidad, que se deben gestionar, son puntos de: fallos, deficiencias, errores, debilidades, defectos, bugs, confianzas, perturbaciones, etc.) e inteligencia de ciber-amenazas, con el uso de terapias cruzadas, de defensa en profundidad y terapias diana o terapias dirigidas), etc. La ciberseguridad cognitiva intensiva se basa en el conocimiento y es consciente de indicios para una eficaz, eficiente y rápida protección.
Sincronización entre controles de ciberseguridad y códigos-protocolos de buenas prácticas y ciber-riesgos en entornos-ecosistemas OT/IT
Las principales relaciones de sincronización entre controles y ciber-riesgos son:
1) Controles para el inventario de activos-recursos autorizados y no autorizados. A bajo nivel: se debe implantar una valoración del inventario de recursos como sistemas, dispositivos, aplicaciones/APPs que se conectan a redes públicas o privadas, información sobre cada dispositivo (sus direcciones de red IP-L3, MAC-L2, URL/E.mail-L5, propósito, propietario del activo, departamento, etc. para ello debe haber herramientas de descubrimiento automatizadas capaces de operar incluso ante ocultación esteganografía y/o subliminar). A nivel alto: se debe implantar la capacidad para actualizar de forma automática el inventario, capacidades de autenticación multi-factor a nivel de red, capacidades para aislar los sistemas o dispositivos en el caso de un ciber-ataque y los requisitos de certificados de cliente para poder validar y autenticar sistemas antes de la conexión.
2) Controles para proteger las configuraciones hardware, firmware y software en dispositivos móviles, PCs, estaciones de trabajo, servidores, controladores, PLCs, etc. A bajo nivel: la gestión automatizada de actualizaciones y parches, la limitación de privilegios de administración, el endurecimiento de los sistemas operativos (por ejemplo, eliminar todos los servicios innecesarios y cuentas huérfanas/innecesarias, cerrar los puertos de red abiertos o no utilizados, aplicar IDSs, IPSs utilizar kernels, etc.). A nivel alto: la gestión estricta de configuración, las herramientas de comprobación de integridad de los ficheros, y los sistemas de monitorización continuada y automatizada de configuración.
3) Valoración y remedio continuado de vulnerabilidades. A bajo nivel: las herramientas automatizadas de gestión de parches y herramientas de escaneo de vulnerabilidades de forma continuada y comparar los escaneos de vulnerabilidades. A nivel alto: la monitorización continuada de logs asociado a la actividad de escaneo para legitimar, tasa de riesgos de vulnerabilidades, subscripción a servicios de inteligencia de ciber-amenazas, medida de retardos de caminos, evaluación de parches críticos en entornos de comprobación, implicaciones con SIEM/SOC, etc.
4) Controles para el inventario del software tanto autorizado como no autorizado: A bajo nivel: la capacidad para bloquear tipos de ficheros peligrosos, desarrollar una lista del software autorizado y versión, desplegar herramientas software para identificar y registrar los tipos de software instalados, su número de versión y nivel de parcheado. A nivel alto: las ‘whitelisting’ de aplicaciones que sólo se permite el software incluido en la ‘whitelist’, software con etiquetas de identificación firmadas, integración de inventarios de software y hardware, escaneo continuado del software no autorizado, sistemas virtuales y/o abiertos para aislar aplicaciones de elevados valores o riesgo mayor.
5) Controles para test de penetración (pentest) y ejercicios de tipo red-team. A bajo nivel: los test de penetración internos y externos continuados, objetivos claros para el test de penetración con ciber-ataques combinados dirigidos a máquinas o activos concretos (uso de herramientas como Nmap, craquedores de contraseñas, keyloggers, etc.). A nivel alto: los test para la presencia de información o elementos del sistema no protegidos, utilización de escaneo de vulnerabilidades y herramientas de test de penetración trabajando conjuntamente, ejercicios de periódicos de red-team para comprobar el grado de madurez-rapidez de la organización, métodos de puntuación para comparar los resultados del grado de protección-rapidez a lo largo del tiempo, un test-bed, que imita un entorno de producción para test de penetración específicos concretamente contra SCADA u otros sistemas de control ICS/CPS/OT.
6) Controles para dispositivos móviles. A bajo nivel: el aseguramiento de que todos los dispositivos móviles tengan controles de acceso en los dispositivos, gestión de configuración para aplicar políticas proporcionadas por una infraestructura gestionada centralmente, la capacidad por parte de la organización de anular-eliminar-bloquear remotamente el dispositivo.
7) Controles para la seguridad física y del entorno. A nivel de seguridad de equipos: mantenimiento de los equipos, seguridad de cableado y antenas, emplazamiento y protección de equipos, instalaciones de suministro, seguridad de los equipos fuera de las instalaciones, reutilización o retirada segura de equipos, retirada de materiales propiedad de la empresa. A nivel de áreas seguras: trabajo en áreas seguras, controles físicos de entrada, áreas de acceso público y de carga y descarga, perímetro de seguridad física, seguridad de oficinas, despachos e instalaciones industriales, protección contra las amenazas externas y de origen ambiental.
8) Controles para organización y gobernanza. A bajo nivel: la asignación de las responsabilidades de gestión de riesgos de ciberseguridad, la inclusión de la ciberseguridad en el plan de gestión de riesgos, la política de ciberseguridad que se modela a partir de estándares internacionales (como ISO/IEC 27001, NIST SP 800-53, ITU-T X.509V3, IEEE 802.11i, etc.), políticas de ciberseguridad de flujo para suministradores o terceras partes con quien se comparta información sensible. A nivel alto: el verificar los consumidores-clientes, suministradores o terceras partes.
9) Controles para defensas malware. A bajo nivel: herramientas automatizadas para monitorizar de forma continua estaciones de trabajo, servidores y dispositivos móviles con funcionalidades anti-virus, anti-spyware, firewalls personales, IPS basada en host, etc., software anti-malware basado en la nube, configuraciones que hagan auto-run de contenido de medios removibles (por ejemplo, pendrives USB), escaneo automático de medios removibles cuando se insertan, capacidades para escanear y bloquear código malicioso de correos electrónicos o de adjuntos con tipos de ficheros sospechosos (independientemente del tipo de fichero indicado.tar, .zip, etc.) en la pasarela de la organización. A nivel alto: la detección de anomalías basada en el comportamiento, logging de queries del sistema de nombres de dominio (DNS, DNS-sec) para dominios maliciosos conocidos, utilización limitada de dispositivos externos sólo a aquellos que se necesitan para el negocio, herramientas anti-malware basadas en red para identificar ejecutables y scripts maliciosos en todo el tráfico de red.
10) Controles para acceso controlado basado en lo que se necesita saber. A nivel alto: la separación de información sensible en VLANs separadas y sandboxing y cifrado mas esteganografía en todas las comunicaciones que contengan información sensible, la segmentación de la red (con subredes L3 y L2 vía VLAN y sandboxing) en base a niveles de confianza de la información almacenada en los servidores y cifrado de la información (y relleno de tráfico para defenderse contra un posible análisis de tráfico cifrado) que fluye de las redes de menor confianza, logging de auditoría detallada para el acceso a datos no públicos y autenticación especial (multi-factor) para datos sensibles. Sólo se deben proporcionar los mínimos privilegios-autorizaciones necesarios para que una entidad pueda realizar estrictamente sus tareas.
11) Controles para la respuesta y gestión de ciber-incidentes. A nivel bajo: asegurarse de tener documentados por escrito los procedimientos de respuesta a ciber-incidentes, asignar roles de trabajo y responsabilidades a individuos específicos, definir personal de gestión que soportará el proceso de manipulación de ciber-incidentes. A nivel alto: mecanismos y estándares a lo largo de toda la organización para informar eventos anómalos al equipo de respuesta a ciber-incidentes, información sobre contacto a terceras partes para informar de un ciber-incidente de ciberseguridad, sesiones periódicas de escenarios de ciber-incidentes para asegurar que los equipos de manipulación de ciber-incidentes entienden las ciber-amenazas y ciber-riesgos conocidos y nuevos que surjan.
12) Controles para el cumplimiento. A nivel de cumplimiento de las políticas y normas de ciberseguridad y cumplimiento técnico: comprobación del cumplimiento técnico, cumplimiento de las políticas y normas de ciberseguridad. A nivel de cumplimiento de los requisitos legales: prevención del uso indebido de recursos de tratamiento de la información (IT) y de tipo industrial (OT/CPS/ICS), regulación de los controles criptográficos, protección de datos y privacidad de la información de carácter personal (OT-IT), derechos de propiedad intelectual (DPI), identificación de la legislación aplicable, protección de los documentos de la organización (OT-IT). A nivel de auditorías de los sistemas OT-IT: controles de auditoría (estática y dinámica), protección de las herramientas de auditoría de los sistemas OT-IT, etc.
13) Controles para capacidades de recuperación de datos. A nivel bajo: asegurarse deque las copias de seguridad o backups sean redundantes, se almacenen y se protejan adecuadamente y se cifren y que en cada sistema se haga el backup automáticamente cada poco tiempo. A nivel alto: se debe comprobar los datos de forma periódica en los sistemas de backup realizando procesos de restauración de los datos y asegurando que los sistemas clave tengan al menos un destino de backup que no sea direccionable de forma continua.
14) Controles para la defensa de perímetros-fronteras. A nivel bajo: la denegación de las comunicaciones con direcciones IP maliciosas conocidas, filtrado Web/URLs, uso de whitelist de sitios de confianza, necesidad para todos los accesos remotos de login con autenticación multi-factor (el estándar PCIv2 recomienda al menos de dos factores), diseño de perímetros de red de modo que todo el tráfico deba pasar a través de al menos una red DMZ, todos los log-ins remotos a redes internas los gestionará la organización con control remoto de su configuración, software instalado y niveles de parches. A nivel alto: se deben escanear las conexiones de canal hacia atrás saltándose la DMZ, se deben implantar sensores IDS de red para detectar mecanismos de ciberataques no usuales, se deben implantar dispositivos IPS basados en red para bloquear firmas maliciosas conocidas o comportamiento de ciber-ataque, se debe segmentar la red interna para limitar el tráfico de posibles agentes maliciosos (utilizando VLANs, sandboxing, etc.), subcontratados, fabricantes, configurar el firewall para identificar TCO (Total Cost Ownership) de sesiones que generan un excesivo tiempo no usual, desplegar NetFlow y análisis en la red DMZ.
15) Controles para protección de datos. A nivel bajo: la identificación de información sensible que requiere cifrado/esteganografía o controles de integridad, revisar las prácticas de ciberseguridad del proveedor cloud-computing/fog-computing/edge-computing para proteger los datos, desplegar software de cifrado de disco duro aprobado a dispositivos móviles o sistemas que guarden datos sensibles, verificar que los dispositivos y software criptográfico se encuentren configurados para utilizar algoritmos públicamente aprobados, bloquear el acceso a sitios Web de exfiltración de correo electrónico y de transferencia de ficheros conocida. A nivel alto: sólo se debe mover datos entre redes utilizando mecanismos de cifrado y autenticado, definir roles y responsabilidades relacionadas con las claves de cifrado, desplegar una herramienta automatizada en los perímetros de la red para monitorizar información sensible, palabras clave, etc. (por ejemplo, vía DLP), realizar periódicamente escaneos automatizados de maquinas servidor para determinar si información sensible o PII (Personally Identification Information) esta residente en el sistema, configurar sistemas de modo que no puedan escribir a tokens USB o discos duros, donde se necesiten dispositivos USB, configurar los sistemas para sólo permitir que accedan dispositivos USB específicos que hayan sido marcados, realizar revisión periódica de algoritmos y longitudes de claves en uso para protección de datos, monitorizar todo el tráfico que sale de la organización y detectar el uso no autorizado de cifrado, esteganografía o canales subliminares. La tecnología CASB (Cloud Access Security Brokers) está diseñada para proporcionar un punto de control y administración (para implantar funcionalidades de visibilidad, seguridad y justificación de cumplimientos) de cara a las aplicaciones-recursos-servicios de nube (mono o multi-cloud, públicos, privados, híbridos, comunitarios). Los sistemas CASB permiten, en cierto modo, identificar donde y qué datos se almacenan en la nube, así como cuándo, dónde y cómo se accede, nos permite proporcionar controles a los datos (información, conocimientos y sabiduría) que subamos o bajemos de la nube.
16) Controles de acceso inalámbricos. A nivel bajo: se debe asegurar un nivel apropiado de cifrado, inhabilitar las capacidades de red P2P (Peer-to-Peer) y el acceso de dispositivos periféricos inalámbricos a menos que esta funcionalidad cumpla un negocio documentado, configurar las herramientas de escaneo de vulnerabilidades para detectar puntos de acceso inalámbricos conectados a la red cableada. A nivel alto: el asegurar que las redes inalámbricas utilicen protocolos de autenticación robustos, inhabilitar el acceso inalámbrico en configuraciones hardware donde no exista una necesidad de negocios o industrial documentada, asegurar que cada dispositivo inalámbrico conectado a la red cumpla una configuración autorizada y un perfil seguro, utilizar sistemas de detección y prevención de intrusiones inalámbricos para identificar dispositivos maliciosos y detectar intentos de ciberataque o compromisos de la ciberseguridad.
17) Controles de uso controlado de privilegios administrativos. A nivel bajo: configurar todas las contraseñas administrativas para que sean complejas (de elevada entropía), utilizar listas de control de acceso para asegurar que las cuentas de administrador sólo se utilicen para las actividades de administración del sistema con contraseñas separadas para cada cuenta de administrador, restringir los privilegios de administración, cambiar todas las contraseñas por defecto en los nuevos sistemas, asegurarse que todas las cuentas de servicio tengan contraseñas complejas (de elevada entropía) que se deben cambiar periódicamente, configurar los sistema operativos para prohibir la re-utilización de contraseñas cada poco tiempo, configurar los sistemas para emitir una entrada de log y una alerta cuando las cuentas de administrador se añadan o borren para logins sin éxito, el uso de contraseñas debería estar pasada por una función hash con valor pseudoaleatorio o salt o cifradas en almacenamiento y sólo debería leerse por privilegios de super-usuario. A nivel alto: se debe implantar autenticación robusta multi-factor para todos los accesos administrador y herramientas automatizadas para inventariar todas las cuentas de administrador y validar que los privilegios los autorice un ejecutivo de alto nivel.
18) Controles para mantenimiento, monitorización y análisis de logs de auditoría. A nivel bajo: dos fuentes de tiempo sincronizadas (un listado de servidores NTP esta disponible en http://www.pool.ntp.org/en/) para asegurar que las marcas de tiempo (o timestamps) en los logs para que todos los servidores y equipos de red sean consistentes, adecuar el espacio para el almacenamiento de logs no se llene entre intervalos de rotación, política de retención de logs para asegurar que los logs se guarden mas tiempo que el necesario para detectar un ciberataque, cada poco tiempo informar (con un informe) sobre las anomalías de los log, asegurar que el sistema de recogida de logs no pierda eventos durante actividad pico (cando se producen excesivo número de eventos) y validar los valores del log para cada dispositivo hardware y software instalado. A nivel alto: se debe implantar la configuración de los dispositivos frontera de red para registrar usando logs todo el tráfico al dispositivo, asegurar que los logs escriban sólo las máquinas o servidores de log dedicados, monitorizar eventos para la creación del servicio y permitir los logs de registro del proceso, desplegar herramientas de analítica de logs para agregar y consolidar logs para su correlación y análisis.
19) Controles para monitorización y control de cuentas. A nivel bajo: se debe inhabilitar cualquier cuenta que no pueda asociarse con un proceso de negocio autorizado y propietario, asegurar que todas las cuentas tengan una fecha de expiración, establecer un proceso para revocar cuentas de acceso del sistema e inhabilitar cuentas inmediatamente cuando termine un contrato o empleado (eliminar rápidamente cuentas huérfanas), monitorizar cuentas para determinar inactividad, automáticamente log-offs usuarios después de un período de inactividad estándar, configurar bloqueos de pantalla en estaciones de trabajo no atendidas, monitorizar intentos de acceder a cuentas desactivadas, configurar todos los sistemas para cifrar las contraseñas transmitidas. A nivel alto: se deben implantar informes automatizados que incluyen una lista de cuentas cerradas, cuentas inhabilitadas y contraseñas des-actualizadas, autenticación centralizada para todos los dispositivos de seguridad y de red, perfiles de usuario que establezcan el uso típico e informes sobre actividad atípica, autenticación multi-factor para cuentas con acceso a datos o sistemas sensibles.
20) Controles de ingeniería de red segura. A nivel bajo: desplegar DNSs (Domain Name Systems) en forma de estructura jerárquica con todas las máquinas cliente de red internas configuradas para enviar peticiones a servidores de Internet, diseñar la red utilizando un mínimo de una arquitectura de tres capas (DMZ, middleware y red privada), utilizar una DMZ (DesMilitariced Zone) para cualquier sistema accesible a Internet. A nivel alto: segmentar la red de la organización/empresa en múltiples zonas confiables separadas y preparar la red para un rápido despliegue de nuevas ACLs (Access Control Lists), reglas, firmas, bloqueos, blackholes y otras medidas de defensa.
21) Controles de seguridad del software de aplicaciones (software desarrollado in-house y software comprado). Para software desarrollado in-house se incluyen a nivel bajo: comprobaciones de errores explícitos para todas las entradas, testear los errores de codificación o vulnerabilidades potenciales antes del desarrollo, formación en codificación segura para todo el personal de desarrollo de software y separar entornos para sistemas de producción y no producción. Para ambos, software desarrollado in-house y comprado se incluyen a nivel bajo: se deben explorar todas las vulnerabilidades-debilidades de ciberseguridad comunes con escaners de aplicación Web automatizados antes de su despliegue y plantillas de configuración de endurecimiento estándar para aplicaciones que cuentan con una base de datos. A nivel alto para ambos, software desarrollado in-house y comprado: despliegue de WAF (Web Application Firewall) que inspeccionan todo el tráfico que circula a la aplicación Web y examinar el proceso de ciberseguridad del producto del fabricante (historia de vulnerabilidades, notificación al consumidor, parches/remedios).
22) Controles sobre valoración de las habilidades de ciberseguridad y formación-acreditación apropiada. A nivel bajo: realizar el análisis de deficiencias para ver que habilidades necesitan los empleados, realizar formación con la acreditación correspondiente para evitar las deficiencias y vacíos en habilidades, implantar un programa de protocolos de buenas prácticas y concienciación de seguridad on-line y validar a través de test/exámenes periódicos y técnicas de sensibilización que dejen huella permanente. A nivel alto: utilizar valoración de ciberseguridad en relación a los roles de misión crítica, utilizar ejemplos del mundo real donde sea posible medir el dominio o identificar vacíos en habilidades en ciber-seguridad utilizando acreditación (por ejemplo, título de experto en cumplimiento nivel alto).
23) Controles sobre configuraciones seguras para dispositivos de red como firewalls, routers, switches, etc. A nivel bajo: se debe documentar la configuración de seguridad de firewalls, routers, switches, etc. y comparar con las configuraciones seguras estándar definidas para cada tipo de dispositivo de red, documentar todas las reglas de configuración nuevas que permiten que el tráfico circule a través de los dispositivos de ciberseguridad de red, instalar la última versión de las actualizaciones relativas a ciberseguridad, utilizar herramientas automatizadas para verificar las configuraciones de los dispositivos estándar y detectar cambios, utilizar autenticación de dos factores y cifrado. A nivel alto: se deben separar las VLANs para que la empresa utilice la red o conectividad física enteramente diferente para las sesiones de gestión para los dispositivos de red.
24) Controles relativos a la limitación y control de puertos, protocolos y servicios de red. A nivel bajo: aplicar firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales con una regla de denegación por defecto que impida cualquier tráfico no permitido de forma explícita, mantener todos los servicios a los datos y desinstalar-eliminar componentes, puertos, protocolos o servicios innecesarios (no necesitados para las necesidades del negocio/organización/industria), operar servicios críticos en máquinas separadas, verificar cualquier servidor visible desde Internet o red no confiable y mover aquello que no se necesite para los procesos de la organización/industria/negocio a una VLAN interna o a dirección privada. A nivel alto: se deben colocar firewalls de nivel de aplicación (o proxies L2, L3, L3, L4 y L5) frente a servidores críticos para verificar y validar el tráfico que vaya al servidor.
Diferenciación y comparativa entre ecosistemas OT-IT
La diferenciación entre los sistemas OT y IT es compleja ya que actualmente presentan aspectos comunes, no obstante, se puede identificar lo siguiente:
Los sistemas de control industrial OT (como CPS, ICS, etc.) presentan los siguientes requisitos:
(i) Disponibilidad y fiabilidad. Respuestas como el re-arranque no puede ser aceptable debido a los requerimientos de disponibilidad del proceso. Los requerimientos de disponibilidad pueden necesitar sistemas redundantes. Los fallos/interrupciones deben planearse y planificarse días y semanas antes. La alta disponibilidad requiere un test exhaustivo de pre-despliegue.
(ii) Rendimiento. Se opera en tiempo real. La respuesta es de tiempo crítico (bajísima latencia). Es aceptable un caudal modesto. No es aceptable un elevado retardo y jitter. La respuesta a la interacción humana y otras emergencias es crítica. El acceso al sistema de control industrial OT debería controlarse estrictamente, pero no debería obstaculizar o interferir con la interacción humano-máquina.
(iii) Limitaciones de recursos. Los sistemas están diseñados para soportar el proceso industrial planeado y pueden no tener suficiente memoria y recursos de computación para soportar la adición de capacidades de seguridad.
(iv) Operación del sistema. Son diferentes y posiblemente utilizan sistemas operativos propietarios, frecuentemente sin capacidades de ciberseguridad integradas. Los cambios de software deben realizarse cuidadosamente normalmente por fabricantes de software debido a los algoritmos de control especializados y quizás se ve implicado hardware y software modificado.
(v) Gestión de riesgos. En el mundo del control físico (CPS) es fundamental la seguridad humana seguida por la protección del proceso industrial. La tolerancia a fallos es esencial incluso caías momentáneas pueden no ser aceptables. Los impactos de mayor riesgo son los no cumplimientos regulatorios, el impacto medioambiental, la pérdida de vidas, de equipos o de producción.
(vi) Gestión de cambios. Los cambios del software deben ser verificados a conciencia y desplegados incrementalmente por todo el sistema para asegurar que se mantenga la integridad del sistema de control OT. Los fallos/interrupciones del sistema OT frecuentemente deben planearse y planificarse con anticipación días/semanas. Los sistemas OT/ICS pueden utilizar sistemas operativos que actualmente no se encuentren soportados, caso del Windows Vista, XP, etc., para los que Microsoft no genere actualizaciones-parches.
(vii) Localización de componentes. Los componentes pueden ser aislados, remotos y requerir de esfuerzos físicos extensivos para obtener acceso a ellos.
(viii) Comunicaciones. Muchos son protocolos de comunicación estándar y propietarios. Se utilizan diversos tipos de medios de comunicación incluyendo conexiones cableadas e inalámbricas (vía radio y vía satélite). Las redes son complejas con VLANs y a veces requieren ingeniería de control especial.
(ix) Tiempo de vida de los componentes. El tiempo de vida es del orden de diez a quince años.
(x) Soporte gestionado. El soporte de servicios es normalmente utilizando un único fabricante.
Los sistemas de tecnologías de la información IT (como CRM, ERP, BDs, etc.) presentan los siguientes requisitos:
(i) Disponibilidad y fiabilidad. Las respuestas como re-arranques son aceptables. Las deficiencias de disponibilidad pueden a menudo ser toleradas dependiendo de los requerimientos operacionales del sistema.
(ii) Rendimiento. Generalmente no operan en tiempo real. La respuesta debe ser consistente. Se demanda elevado caudal. Pueden ser aceptables a veces elevad latencia-retardo y jitter. La interacción de emergencia suele ser menos crítica. El control de acceso es altamente restringido se implanta según el grado necesario para la ciberseguridad.
(iii) Limitaciones de recursos. Los sistemas son especificados con suficientes recursos para soportar la adición de aplicaciones de terceras partes como soluciones de ciberseguridad.
(iv) Operación del sistema. Los sistemas están diseñados para utilizar sistemas operativos típicos. Las actualizaciones son directas con la disponibilidad de herramientas de despliegue automatizado.
(v) Gestión de riesgos. En el mundo de la gestión de datos es fundamental la confidencialidad e integridad de los datos. La tolerancia a fallos suele ser algo menos importante (la caída momentánea no suele ser un riesgo muy grave). El impacto de riesgo mayor es el retardo de las operaciones de negocios IT.
(vi) Gestión de cambios. Los cambios del software se aplican a tiempo en presencia de buenos procedimientos y política de ciberseguridad. Los procedimientos normalmente son automatizados (a pesar de incluir la opción manual asíncrona).
(vii) Localización de componentes. Los componentes son normalmente locales y fáciles de acceder. En el caso de ubicación remota implantar mecanismos para hacer sencillo el acceso, caso de cloud-computing, fog-computing, edg-computing).
(viii) Comunicaciones. Se utilizan protocolos de comunicaciones estándar de la arquitectura TCP/IP. Primariamente las redes son cableadas con algunas capacidades inalámbricas localizados. Típicamente prácticas de redes IT.
(ix) Tiempo de vida de los componentes. El tiempo de vida es del orden de tres a cinco años. (x) Soporte gestionado. Permite diversidad de estilos soportados.
Consideraciones finales
En el NIST CSF (Critical Security Framework) se identifican cinco funciones: identificar (permite identificar: activos físicos y de software dentro de una organización, las políticas de ciberseguridad establecidas, las vulnerabilidades de los activos y las amenazas a los recursos de la organización, posibilita identificar una estrategia de gestión de riesgos para la organización. Se definen seis categorías: gestión de activos, entorno de negocios, gobernanza, gestión de riesgos de la cadena de suministro, estrategia de gestión de riesgos y valoración de riesgos), proteger (describe las medidas de protección para la gestión de la identidad y el control de acceso dentro de la organización y la protección de los recursos de la organización a través del mantenimiento. Se definen seis categorías: gestión de identidad y control de acceso, concienciación y formación, seguridad de datos, procesos y procedimientos de protección de información, mantenimiento, tecnologías de protección), detectar (define las actividades para identificar la ocurrencia de una amenaza o ataque.
Permite detectar las anomalías y que se comprenda el impacto potencial. Implanta las capacidades de monitorización continua de la seguridad. Se definen dos categorías: procesos de detección y monitorización continuada de seguridad), responder (incluye las actividades para tomar medidas en relación con un ataque, soporta la capacidad de contener el impacto de un posible incidente. Asegura que el proceso de planificación de la respuesta se ejecute durante y después de un incidente. Incorpora las lecciones aprendidas de las actividades de detección y respuesta actuales y anteriores. Se definen cinco categorías: planificación de respuesta, comunicaciones, análisis, mitigación, mejoras) y recuperar (incorpora las actividades apropiadas para restaurar cualquier capacidad o servicio que se haya deteriorado debido a un ciber-incidente. Asegura que la organización implante procesos y procedimientos de planificación para restaurar los sistemas y/o activos afectados por los ciberataques, Implanta mejoras basadas en las lecciones aprendidas y revisiones de las estrategias existentes. Se definen tres categorías: planificación de recuperación, mejoras y comunicaciones).
Los pilares estratégicos en ciberseguridad son:
(1) Personas. Aquí se identifican roles y responsabilidades en torno a la política, implementación y nivel de madurez en ciberseguridad y el presupuesto refleja los conflictos potenciales que pueden impedir la convergencia. Desarrollar un plan de acción específico como de que forma operará OT con IT en el futuro dando a ambos la oportunidad de trabajar juntos, aprender unos de otros y mejorar de forma continua el nivel de madurez del sistema de control/OT de la organización. Sincronizar los objetivos de negocios con el entorno de ciber-amenazas actual para asegurar que la educación y concienciación de su fuerza de trabajo híbrido.
(2) Tecnologías. Son evidentes las barreras para una higiene de ciberseguridad adecuada de la infraestructura IT/OT tales como una ausencia de identificación de activos e inventario y lo borroso de las fronteras de red OT/IT. Se debe empezar con la higiene básica considerando, por ejemplo, los cinco Controles Críticos top CIS como una base que proporciona un fundamento sólido para mejorar la ciberseguridad y soportar un primer paso importante: “mejorar la visibilidad de los activos e infraestructura”. Se deben evaluar los factores que afectan a la infraestructura actual: utilizar móviles e inalámbricos, cambios de los procedimientos operacionales a la luz de moverse a servicios de nube y completitud de la documentación. Se debe establecer un inventario de activos OT/ICS antes de expandir el uso o expansión de la automatización industrial y tecnologías de control para soportar los procesos o producción operacional, se debe establecer el proceso de mantener un inventario de activos IT/OT a lo largo del tiempo y también una línea de base operacional de estados bien conocidos para una comparación futura.
(3) Procesos. Los procesos deben conducir sin retraso a la tecnología como factor en el desarrollo de la estrategia ya que automatizar un proceso deficiente puede incrementar el riesgo para la ciberseguridad de la organización. Se debe invertir en una valoración formal de los procesos “cómo son” e identificar los enlaces vulnerables antes de crear un entorno “a ser” incluyendo la tecnología que los procura. Se debe tratar de hacer una valoración con recursos internos como si fueran una auditoria formal (pasiva y activa) donde se paga a una tercera parte externa por su trabajo.
Referencias
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2019.
- Areitio, J. “Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad”. Revista Eurofach. Nº 466. Octubre. 2018.
- Areitio, J. “Exploración longitudinal y transversal de puntos de ciberataques e identificación de contramedidas en ciberseguridad para entornos OT/IT”. Revista Eurofach. Nº 473. Diciembre. 2019.
- Areitio, J. “Evolución crítica y necesaria y expansion dirigida hacia la ciberseguridad cognitive intensiva”. Revista Eurofach. Nº 472. Noviembre. 2019.
- Areitio, J. “Exploración e identificación de las dimensiones de la inteligencia de ciberseguridad denominadas inteligencia de ciber-amenazas e inteligencia de vulnerabilidades”. Revista Eurofach. Nº 471. Octubre. 2019.
- Jahankhani, H., Kendzierskyj, S., Chelvachandran, N. and Ibarra, J. “Cyber Defence in the Age of AI, Smart Societies and Augmented Humanity”. Springer. 2020.
- Parenty, T.J. and Domet, J.J. “A Leader's Guide to Cybersecurity: Why Boards Need to Lead and How to Do It”. Harvard Business Review Press. 2019.
- Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
- Siegel, C. and Mark Sweeney, M. “Cyber Strategy: Risk-Driven Security and Resiliency”. Auerbach Publications. 2020.
- Petrenko, S. “Cyber Resilience”. River Publishers. 2019. Series in Security and Digital Forensics.
- Guo, S. and Zeng, D. “Cyber-Physical Systems: Architecture, Security and Application”. Springer. 2019.
- Goyal, D., Balamurigan, A., Pemg, S.L. and Verma, O.P. “Design and Analysis of Security Protocol for Communication”. Wiley-Scrivener. 2020.
- Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Joh Wiley & Sons Inc. 2019.
- Westcott, S. and Westcott, J.R. “Cybersecurity: An Introduction”. Mercury Learning & Information. 2019.
- Daras, N.J. “Cyber-Security and Information Warfare (Cybercrime and Cybersecurity Research)”. Nova Science Pub Inc. 2018.
- Madsen, T. “The Art of War for Computer Security”. Springer. 2019.
- Andress, J. and Winterfeld, S. “Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners”. Syngress. 2013.
A nivel alto, sólo se debe mover datos entre redes utilizando mecanismos de cifrado y autenticado, definir roles y responsabilidades relacionadas con las claves de cifrado, desplegar una herramienta automatizada en los perímetros de la red para monitorizar información sensible, palabras clave, etc.
Dentro de una estrategia de ciberseguridad, los procesos deben conducir sin retraso a la tecnología como factor en el desarrollo de ésta ya que automatizar un proceso deficiente puede incrementar el riesgo para la ciberseguridad de la organización