Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Del papel a la acción: cómo construir una hoja de ruta de ciberseguridad OT eficaz
Este artículo es parte de la serie "Ciberseguridad OT en evolución: del diagnóstico a la anticipación del riesgo", donde abordamos el proceso de transformar los diagnósticos y evaluaciones en acciones concretas.
En la entrega anterior, abordamos la relevancia de un análisis profundo del estado de la ciberseguridad OT antes de definir un roadmap estratégico y alineado con los riesgos reales del negocio. En esta nueva entrega, hablamos sobre cómo convertir las recomendaciones y hallazgos en un plan de acción realista y efectivo, detallando los pasos para diseñar y poner en marcha una hoja de ruta de ciberseguridad OT que responda a los retos actuales de los entornos industriales.
______
Los entornos industriales cada vez están más conectados al exterior, por lo que la ciberseguridad OT (Operation Technology) se ha convertido en un pilar estratégico ya que, al interconectar todos los sistemas, las amenazas evolucionan y los riesgos se multiplican.
Es por ello por lo que las organizaciones deben enfrentarse al reto de trasladar del papel a la acción las recomendaciones de los informes, diagnósticos y evaluaciones de ciberseguridad en planes de acción concretos.
Con nuestros servicios de Telefónica Tech ayudamos a los clientes a definir ese roadmap de medidas de ciberseguridad a aplicar en los entornos industriales estando alineadas con los marcos normativos ISA/IEC 62443 y NIST CSF, aunque siendo siempre realistas en cuanto al tiempo y coste requerido para la implementación de cada una de ellas.
¿Por qué un roadmap?
Un roadmap no debe verse como una simple lista de tareas que ir realizando, sino una herramienta estratégica con planes de acción concretos y alineados con los riesgos reales del negocio. Hemos visto en los trabajos realizados a decenas de clientes que una hoja de ruta bien diseñada es el puente entre un análisis técnico y la verdadera transformación y mejora en la postura de ciberseguridad.
Previo a ese roadmap, es necesario realizar una evaluación del estado de ciberseguridad industrial, con al menos los siguientes puntos clave:
- Inventario de activos industriales con información detallada (firmware, parches, EoL/EoS).
- Análisis del tráfico OT para identificar vulnerabilidades, protocolos inseguros, vectores de ataque y problemas de conectividad.
- Evaluación de controles existentes de autenticación, control de uso, integridad de sistemas, flujos de comunicación y disponibilidad.
A partir de estos datos, ya se puede realizar un borrador del roadmap que priorice medidas correctivas y preventivas según distintos criterios como son: impacto, coste, tiempo de implantación y ratio beneficio/coste. Esto permite establecer hitos medibles y adaptar las soluciones a la realidad operativa de cada instalación.
En definitiva, un roadmap no debe ser un documento genérico, si no claro, medible y adaptado a las circunstancias de cada entorno industrial, lo cual es la clave para mejorar la postura de ciberseguridad OT.
Foto de AbsolutVision / Unsplash.
Fases clave para diseñar un roadmap en OT
Paso 1: Diagnóstico técnico como punto de partida
Todo comienza con una evaluación rigurosa del estado actual en el que se encuentra la instalación. Para ello, se debe revisar toda la documentación disponible de arquitectura de red (modelo Purdue), inventarios de electrónica de red y de dispositivos OT, planos físicos, políticas y procedimientos operativos; realizar reuniones y entrevistas técnicas con el personal que opera los equipos industriales para entender los procesos y las configuraciones específicas aplicadas; y el levantamiento de los controles de seguridad ya existentes aplicados actualmente.
Además, es altamente recomendable realizar diferentes capturas de tráfico de red en distintos puntos del entorno industrial para identificar los activos críticos y brechas que puedan existir.
Paso 2: Marcos normativos como guía
Para preparar un roadmap OT con sentido, se tiene que basar en marcos normativos que sirvan como brújula, en nuestro caso utilizamos los siguientes que se complementan:
- ISA/IEC 62443 nos ayuda a definir niveles de seguridad (SL), segmentación de redes, protección de equipos industriales como PLCs y establecer distintos controles por zona y tipo de activos.
- NIST CSF nos ayuda a estructurar todo el ciclo de gestión del riesgo (identificar, proteger, detectar, responder y recuperar) para la definición de políticas, procedimientos, simulacros y planes de continuidad.
- NIS2 añade la capa legal en la Unión Europea para el reporte de incidentes, implicación de la alta dirección, el control de la seguridad en proveedores y la gobernanza.
Paso 3: Priorización de acciones basada en riesgo
Hay que basarse en el riesgo para el negocio según los tipos de activos industriales a proteger para priorizar las medidas a aplicar ya que no todas las vulnerabilidades tienen el mismo impacto según la funcionalidad del equipo en cuestión.
Además, se identifican quick-wins, acciones rápidas y sencillas que permiten maximizar el retorno de la inversión en estas medidas de ciberseguridad.
Paso 4: Construcción del roadmap
La hoja de ruta se puede estructurar en dos grandes bloques que a continuación definiremos con algunos ejemplos de posibles medidas a incluir en ellos:
- Iniciativas técnicas: segmentación de red, despliegue de firewalls industriales, monitorización con sondas OT, protección de endpoints industriales, gestión de vulnerabilidades, escaneos periódicos, control de accesos remotos, copias de seguridad y restauración, etc.
- Iniciativas organizativas: desarrollo de políticas y procedimientos, formación y concienciación, definición de roles y responsabilidades, simulacros de respuesta ante incidentes, auditorías internas, etc.
A cada iniciativa se le tiene que asignar un responsable de su consecución, un plazo temporal, un marco normativo asociado (ISA/IEC 62443, NIST o NIS2) y, cómo no, los KPI para medir el progreso de avance.
Lo ideal es usar herramientas colaborativas para la construcción del roadmap que facilite el trabajo entre todas las áreas implicadas, ya que debe ser definido entre el personal de OT, IT, seguridad, operaciones, mantenimiento y dirección, porque si no hay alineamiento, el plan se queda en papel.
Paso 5: Validación y seguimiento
Es necesario tener en cuenta que un roadmap no debe ser algo estático, si no que es cambiante y requiere de una validación periódica para adaptarse a nuevos riesgos que puedan aparecer, se documenten las acciones correctivas aplicadas o tras cambios realizados en los sistemas industriales.
Este seguimiento se realiza mediante métricas que permiten visualizar fácilmente el progreso de cada una de las medidas a aplicar. Esto permite detectar desviaciones y reajustar las prioridades en función de la evolución del entorno industrial y de las ciberamenazas emergentes.
Foto de Sabri Tuzcu / Unsplash.
Del PowerPoint a la ejecución
Hemos ayudado a clientes a construir y ejecutar roadmaps de sectores tan diversos como el papel, la alimentación o el transporte, gracias a lo cual han mejorado su postura de ciberseguridad industrial.
Todo ello a través de la definición de arquitecturas de red seguras hasta la implementación de soluciones avanzadas de monitorización, pasando por la formación del personal técnico y operativo o la segmentación de redes OT, su acceso remoto seguro y la protección de endpoints industriales.
Es factible construir un roadmap de ciberseguridad OT que sea eficaz y realizable, pero ello requiere seguir una metodología consensuada, conocimiento normativo, visión de negocio y compromiso por parte de los responsables de la consecución de las medidas.
■ ¿Estás listo para pasar del papel a la acción?
Foto principal: Startaê Team / Unsplash.
