Históricamente los sistemas IT (Information Tecnology) y OT (Operational Technology) han coexistido de forma independiente uno del otro, con pocas interacciones entre ellos, viéndose éstas como problemas y no oportunidades. OT mantiene las plantas de producción funcionando e IT gestiona las aplicaciones de negocio.
Pero algo está cambiando en la parte OT con la integración de los dispositivos IIoT (Industrial Internet of Things) y la necesidad de análisis de los datos generados (que necesita capacidades de Big Data) que ayuden a mejorar la productividad… IT y OT, a nivel técnico, están encontrando un terreno común, rompiendo los muros previos, pero ¿tiene su réplica en la organización, en el flujo de los procesos? ¿Está clara la responsabilidad de cada una de las partes? ¿Este terreno común implica que los sistemas se conectan y todo está hecho? En absoluto, los cambios deben hacerse poco a poco, con control, analizando bien los riesgos a los que se exponen los sistemas/procesos. Una vez identificados, se verá cuál es la mejor solución buscando el equilibrio entre funcionalidad y seguridad, priorizando en función de cada riesgo. Por ejemplo, el hecho de compartir datos entre ambos mundos no implica que deba haber una comunicación bidireccional entre los sistemas.
Estos movimientos convergentes, aunque beneficiosos, no están exentos de riesgos y retos:
- Se debe producir un alineamiento de objetivos y prioridades en seguridad (Disponibilidad, seguridad de las personas, Integridad, confidencialidad). Si estos pilares no son consecuentes, el análisis de los riesgos a los que los sistemas se expondrían al comunicarse no estaría bien definidos, por lo que todos los pasos siguientes serían erróneos, aplicando soluciones o medidas de seguridad no adecuadas, pudiendo interferir en la operativa de los sistemas.
- La integración de los sistemas antiguos (legacy) con los nuevos. Hablamos de sistemas diseñados hace 20 o 25 años, donde la conectividad con otras redes ni se planteó, pero que ahora deben trabajar con tecnologías actuales que no se conciben sin conectividad a otros sistemas. Hay sistemas SCADA en entornos industriales del ámbito energético plenamente operativos con más de 25 años, donde Internet aún estaba naciendo.
- Otro reto está en los fabricantes de dispositivos, los IoT en particular. Las empresas deben exigir la seguridad de los productos/servicios/tecnologías que adquieren, métodos de desarrollo seguro deben estar en la base conceptual, evitando la explotación sencilla de vulnerabilidades tan al día en dispositivos IoT y que en función de los sistemas a los que estén conectados, podrían tener consecuencias físicas devastadoras para elementos tales como infraestructura, servicios críticos, medio ambiente e incluso la vida humana. Hay múltiples ejemplos, Mirai fue muy mediático en 2016 y se usó para realizar uno de los mayores ataques DDoS. En 2015 se vieron ataques a SmartTV, termostatos inteligentes. Pero no sólo el ámbito doméstico se ve afectado, ataques sobre dispositivos médicos generaron 300 millones para los delincuentes, que dependiendo de su función puede poner en peligro vidas humanas. También el sector del transporte puede verse atacado.
- La formación del personal. La seguridad en los entornos convergentes requiere el desarrollo de nuevas herramientas y habilidades.
Desde el Centro Universitario U-tad se trabaja en la formación de nuevos profesionales, y dentro del ‘Máster Indra en Ciberseguridad’ se cuida con contenidos específicos que ayuden a afrontar los retos no del futuro, sino ya presentes, incluyendo un abanico amplio de capacidades, desde el análisis de riesgos, test de intrusión, criptografía, forense de sistemas y móviles, sistemas OT, etc. asegurando que los alumnos salen preparados para cubrir la demanda de profesionales que actualmente necesitan las empresas.
