InfoSecMan Blog

¿Cuál es la causa de este aparente retraso en la conciencia situacional en lo que a Ciberseguridad Industrial se refiere? ¿Dónde podemos incidir par intentar promover cambios necesarios? En este artículo, presentaremos lo que a nuestro juicio representa el panorama actual de la Ciberseguridad Industrial hoy, describiendo los principales actores, sus relaciones y cómo éstas inciden o pueden incidir como desencadenadores de los cambios necesarios hacia una protección adecuada de nuestras instalaciones industriales, en lo que a su Ciberseguridad se refiere.

Los Actores

Comencemos pues, presentando los actores de esta representación en la que, curiosamente, nadie parece querer ser protagonista (al menos por el momento):

• El Negocio, el Mercado, los Clientes. Debemos comenzar obviamente por aquellos que rigen los principios de nuestras organizaciones y que suponen el principal fin y objetivo de las mismas. Toda actividad desarrollada por una organización tendrá su origen típicamente en una necesidad o requerimiento (explícito o implícito) de sus clientes, usuarios de sus productos o servicios, del conjunto de los mismos, el mercado objetivo. En una organización podrán existir actividades complementarias no asociadas directamente con esos requerimientos,  llamémosles funcionales, del negocio, pero estas actividades complementarias estarán al fin, total y claramente ligadas a la mejora de la eficiencia, eficacia y calidad de los servicios finales prestados al negocio. Clientes finales, mercado o negocio de una empresa energética, por ejemplo, serán sus usuarios (residenciales y corporativos), el mercado existente y sus competidores, etc.
• Las Organizaciones Industriales, las Infraestructuras Críticas. Son los generadores de los servicios a los clientes, al negocio, al mercado. Podríamos aquí diferenciar entre propietarios y operadores de infraestructuras, pero por sencillez, nos limitaremos a identificarlos como los propietarios de las infraestructuras industriales necesarias para la elaboración o transformación de los productos o servicios necesarios para cubrir las necesidades de su mercado objetivo. Estas organizaciones podrán contar con diversos procesos industriales que supondrán el núcleo de su negocio, y que vendrán apoyados por una serie de procesos corporativos de soporte necesarios para poder ejecutar esos procesos, llamemos primarios. Organizaciones Industriales podrían ser una empresa eléctrica, una planta de generación o una subestación eléctrica, dependiendo del nivel en que queramos manejarnos, pero también lo serían una acería, una empresa de tratamiento de aguas o una terminal portuaria de descarga de mineral, por ejemplo. Cabe hacer especial mención aquí a las llamadas Infraestructuras Críticas, que no son otras que aquellas identificadas a nivel nacional o transnacional como esenciales para mantener el modo de vida de la economía y ciudadanos de un país en condiciones normales.
• Las Ingenierías, los Integradores. Las organizaciones industriales o las infraestructuras críticas son especialistas y tienen el conocimiento más alto de su proceso industrial, pero no tienen por qué ser (y habitualmente no lo son) especialistas en la construcción, implantación y puesta en marcha de las infraestructuras necesarias para le ejecución de ese proceso (y aún siéndolo, desde luego no es uno de sus procesos primarios). Por ello cuando una organización industrial necesita construir una nueva planta de tratamiento, generación o fabricación de productos o servicios,  encarga esta labor a organizaciones especialistas en estas actividades: son las ingenierías, habitualmente cuando se trata de una instalación o infraestructura de gran tamaño, y/o los integradores cuando se trata de algo más acotado. Estas ingenierías e integradores son los mayores conocedores de los requerimientos necesarios para la puesta en marcha de un proceso o instalación industrial. Este conocimiento, junto con la capacidad de ejecutar de forma excelente los proyectos, supone su valor diferencial en el mercado ante sus clientes y sus competidores y en muchas ocasiones se consigue a lo largo del tiempo en base a la participación en numerosos proyectos similares y el alto conocimiento de los requerimientos (funcionales y no funcionales) transmitidos por los grandes conocedores del proceso primario, las organizaciones industriales, ya comentadas, y por sus propios expertos especialistas en ese proceso. Podríamos considerar una ingeniería o integrador a aquella organización con un conocimiento muy avanzado de un proceso industrial y de los requerimientos y actividades a todos los niveles para la construcción de forma excelente de una infraestructura que le de soporte, integrando distintas disciplinas, expertos, organizaciones, metodologías y tecnologías.
• Los Fabricantes. Son las organizaciones y compañías responsables de la fabricación y soporte de las tecnologías, productos y dispositivos, industriales y no industriales, necesarios para la construcción y operación de un proceso industrial. Existen fabricantes de nicho dedicados exclusivamente a la fabricación y provisión de un determinado dispositivo industrial para un determinado proceso, y otros mucho más “generalistas” (podríamos hablar incluso, “de amplio espectro”), no en su aproximación, sino en su alcance, que cuentan con productos en muy distintos sectores y niveles del ámbito industrial. Aquí podríamos identificar al fabricante de una determinada tecnología de Smart Meters (contadores ingeligentes), de una determinada RTU o al fabricante especialista en un determinado proceso      industrial de transformación que ofrece una solución llave en mano desde los niveles más bajos de instrumentación y automatización a los más altos de seguimiento y control de la producción, etc. Existen también fabricantes no exclusivos del ámbito industrial, cuyos productos y soluciones son empleados en las instalaciones industriales. Podríamos identificar aquí por ejemplo los fabricantes del ámbito de las Tecnologías de la Información y las Comunicaciones, tanto en la parte de hardware como en la de software, que sirven como base para el desarrollo de soluciones de control industrial más elaboradas (por cierto, cada días más presentes en cualquier organización y proceso industrial).
• Los Gobiernos y Entes Reguladores. Son organismos típicamente públicos, nacionales o transnacionales, que definen y marcan las “reglas de operación” (podríamos llamar “reglas del juego”) a las que deben sujetarse de forma obligatoria, típicamente y en primer lugar, las organizaciones industriales, pero también el mercado objetivo de esas organizaciones industriales y en último término, el resto de actores involucrados en el mismo (como fabricantes y en menos medida al menos directamente, ingenierías o integradores). Estas reglas de operación incluirán habitualmente aspectos funcionales, económicos, comerciales, de competencia, etc. pero en ocasiones podrán incluir también aspectos no funcionales (como medidas de protección, etc.). Podemos considerar Entes Reguladores o Gobiernos, el propio gobierno nacional de un país, pero también organismos dependientes del mismo, como Comisiones Nacionales de Energía, organismos reguladores sectoriales o por el contrario, organizaciones transnacionales como por ejemplo, la Comisión Europea. Debemos enfatizar aquí nuevamente que las “reglas de operación” que emiten o definen estas entidades son de obligado cumplimiento para los actores involucrados y su no cumplimiento pueden suponer sanciones de gran impacto para la organización industrial o directamente la imposibilidad de operación en un determinado mercado o país.
• Las Asociaciones y Sociedades Sectoriales o Generales creadoras e impulsoras de Buenas Prácticas, los Organismos de Estandarización y las Consultoras de Procesos Complementarios a los Industriales (como aquellas pertenecientes al ámbito TIC y de la Ciberseguridad). Podemos encuadrar en este grupo más general todas aquellas organizaciones que definen y crean metodologías, guías de buenas prácticas, estándares y aproximaciones a aspectos críticos y necesarios para la construcción, ejecución, operación y/o soporte de los procesos industriales primarios, pero que no suponen en sí requerimientos funcionales de los mismos. Este tipo de organizaciones (con o sin ánimo de lucro) realizan una labor de difusión y evangelización para la mejora sistémica de los procesos industriales, haciendo especial hincapié en aquellos procesos de soporte que suponen su mayor especialización. Mencionaríamos aquí Sociedades y Asociaciones  que soportan estándares y metodologías de implantación y operación de programas de ciberseguridad industrial por      ejemplo, o compañías que ofrecen servicios en ámbitos innovadores (o no tanto), como la Ciberseguridad Industrial o la Protección de      Infraestructuras Críticas. Existe una diferencia importante que debemos destacar en este punto, y es que las aproximaciones, buenas prácticas, estándares, etc. defendidas por estas organizaciones son de adopción voluntaria, al contrario que los requerimientos o regulaciones publicadas por los Gobiernos y Entes Reguladores, que son de obligado cumplimiento.

Presentados ya de forma general todos los actores (si bien podríamos haber realizado una clasificación con mucha mayor  granularidad pero que, en el punto en que nos encontramos en el panorama de la Ciberseguridad Industrial hoy, aun no aportaría demasiado al lector), llega el momento de esbozar las relaciones existentes entre los mismos que creemos que pueden ser determinantes para la evolución del panorama que estamos describiendo en este artículo. Por razones de espacio nos limitaremos a las relaciones de “establecimiento de requerimientos” entre los actores, si bien existen relaciones adicionales comerciales, políticas, regionales, etc. que también influirán, sin duda, en el discurrir de este paisaje que estamos tratando de describir.

¿Por qué las relaciones de “establecimiento de requerimientos” son tan importantes?

Se venía diciendo tradicionalmente que “el papel lo soporta todo”, aunque en tiempos más recientes esto se ha convertido en que “las presentaciones electrónicas lo soportan todo” (por no hacer publicidad a un conocido software ofimático de presentaciones ;)). No podemos estar más de acuerdo con esta afirmación. Podemos escudriñar la red en búsqueda de aproximaciones y metodologías para incrementar el nivel de concienciación en ciberseguridad de una organización y encontraremos no pocos resultados, muchos de ellos de gran interés. Si hacemos lo mismo con análisis y resultados de los impactos sociales, económicos, etc. de los altos niveles riesgo en organizaciones industriales e infraestructuras críticas, seremos capaces de construir un dossier muy completo. Pero la información va más allá, y ahora ya podemos pasarnos horas leyendo de lo inminente de la posibilidad de una ciberguerra, de cómo los primeros objetivos serían estas organizaciones industriales e infraestructuras críticas y en cómo las principales naciones del mundo están “moviendo ficha” con la creación de cuerpos de operaciones (defensivas y ofensivas) en el ciberespacio y la aprobación de estrategias nacionales de ciberseguridad (que en algunos casos hacen referencia explícita al ámbito industrial).

¿Por qué existiendo esta cantidad ingente de argumentos y recursos sobre el tema hoy en día aún no estamos viendo cambios significativos en el panorama de la ciberseguridad industrial y en la actitud de los actores implicados de forma general en nuestro país o en toda Europa?

La respuesta es sencilla y compleja a la vez: porque los principales dinamizadores y “desencadenadores” de actividades para las organizaciones industriales e infraestructuras críticas (los clientes, el negocio, los entes reguladores y gobiernos) aún no tienen de forma general una conciencia situacional (situational awareness) en lo que a la Ciberseguridad Industrial se refiere y por tanto, no existe una exigencia hacia las organizaciones industriales (desde el negocio o desde el ente regulador) de la inclusión de la Ciberseguridad Industrial, de la protección de estos entornos, como un requisito ineludible en cualquier infraestructura.

Y es que la exigencia de la inclusión de requisitos de ciberseguridad en todos los niveles de la organización industrial, desde la Infraestructura Global, la organización, los procesos, pasando por la tecnología y llegando hasta el último dispositivo industrial, es algo totalmente necesario, pero no ocurrirá si esa cadena de relaciones (de establecimiento de requerimientos) no comienza con un primer eslabón.

La Cadena de Establecimiento de Requerimientos de Ciberseguridad Industrial

En la figura que acompaña a este artículo, hemos querido reflejar gráficamente las relaciones (y dependencias) de establecimiento de requerimientos de Ciberseguridad (representadas con fechas de colores), que existen en el panorama actual. Intentaremos realizar una descripción somera a continuación que permita al lector realizar inicialmente su propio análisis de las causas de la situación actual y posibles iniciativas para solventarla, si bien en próximas entregas iremos compartiendo distintas iniciativas que creemos interesantes.

Probablemente lo primero que llama la atención en la figura es que existe un actor, las Asociaciones y Sociedades Sectoriales, etc. que no son origen ni destino de ninguna relación. Esto es debido a que estos actores son los principales agentes activos de la difusión, mejora de la concienciación y formación del resto de actores del panorama, pero esta relación no se basa en los requerimientos o la obligatoriedad, sino en la influencia. Eso es lo que intentan representar los círculos concéntricos semejando una onda que se extiende: la influencia que estos actores, Asociaciones, Sociedades Sectoriales impulsoras de Buenas Prácticas, Organismos de Estandarización, Consultoras TIC y de Ciberseguridad, tienen y pueden lograr en el resto de actores. Su influencia en la conciencia situacional del resto de actores en este ámbito, puede ser determinante para establecer el primer eslabón de la cadena.

Si ahora nos fijamos en el caso opuesto, es decir, cuál es el actor qué más relaciones de dependencia tiene, aquel que puede tener mayores requerimientos de Ciberseguridad, veremos claramente que son los Fabricantes. ¿Cuál es la causa de tal exigencia? Son el último eslabón de la cadena y el más cercano al campo. Las Organizaciones Industriales pueden y deben establecer requerimientos de ciberseguridad a los fabricantes de todos los elementos que forman su infraestructura, ya que deben asegurar la protección individual de cada elemento, pero además también pueden y deben establecer requerimientos de seguridad de la infraestructura global, del proceso industrial automatizado que se compone de esos elementos. Para ello definirán requerimientos adicionales al otro actor implicado: las Ingenierías e Integradores.  Es evidente que estas nuevas exigencias a las Ingenierías e Integradores se trasformarán y trasladarán de forma inmediata como nuevos requerimientos desde las Ingenierías a los Fabricantes.

Si el marco teórico es tan claro y obvio, ¿por qué los Fabricantes aún no están incluyendo o no han incluido aún los requisitos mínimos de ciberseguridad en sus productos? Porque aquí no estamos tratando otras relaciones existentes entre todos estos actores: las comerciales. Si un fabricante incorpora nuevos requisitos a sus productos, eso cambiará sus procesos de diseño y producción, probablemente los propios sistemas deban cambiarse, deberá incorporar materiales de mayor calidad y por tanto el coste final del dispositivo unitario se habrá incrementado.

El mismo razonamiento podemos aplicarlo a los servicios  y proyectos ofrecidos por las Ingenierías e Integradores: la formación de su personal o contratación o subcontratación de terceras partes, la modificación de sus procesos de diseño y ejecución, etc. tendrán un coste que, inicialmente, repercutirán a su cliente, las Organizaciones Industriales y, ¿cuál será el primer resultado percibido por esas Organizaciones? El incremento inmediato de sus proyectos de construcción, implantación, operación y mantenimiento de los procesos principales para su negocio, lo que lógicamente podría (o  debería) tener su traslación al actor principal: el Negocio, el Mercado y los Clientes.

Este incremento de coste, en un mercado de competencia y sin la adecuada conciencia situacional de la Ciberseguridad en el Negocio, el Mercado y los Clientes (para nosotros, el actor principal sin lugar a dudas), posicionaría teóricamente a esa organización en desventaja con sus competidores, que aún sin incorporar esos requisitos necesarios (pero que el Mercado aún no valora), estaría ofreciendo aparentemente los mismos servicios a un importe menor.

He aquí la razón por la que este escenario teórico no está ocurriendo en la realidad: las Organizaciones Industriales, salvo algunas excepciones con una conciencia situacional elevada, aún no están estableciendo esos requerimientos a sus
proveedores: ingenierías, integradores y fabricantes, y por tanto ninguno de estos dos actores (de forma general) están incluyendo proactivamente las medidas de ciberseguridad mínimas necesarias en sus productos y servicios.

¿Qué tiene que ocurrir para que comiencen a establecerse esos requerimientos de Ciberseguridad Industrial?

Nuevamente, si revisamos la figura en detalle (imprescindible para un seguimiento adecuado de la lectura de este artículo :)), veremos que todo pasa porque a las Organizaciones Industriales les sean establecidos requerimientos de ciberseguridad por alguno de los dos actores desencadenantes (o por ambos): el Negocio, el Mercado, los Clientes finales y los Gobiernos y/o Entes Reguladores.

Servirá con que el Negocio establezca estos requisitos como una necesidad (flecha roja en la figura), para que la cadena de requerimientos se establezca hasta el último eslabón, con la diferencia en este caso que los costes habrán sido analizados e incluidos desde la misma concepción del servicio y habrán sido analizadas medidas compensadoras en caso de existir incrementos de coste hacia los Clientes Finales, tales como obtención de recursos adicionales (subvenciones, ayudas, etc.), incentivación del consumo de determinados servicios o cualquier otra medida que pueda equilibrar las cuentas de resultados tras introducir estos nuevos parámetros y costes.

Estamos llegando ya al origen (a uno de los orígenes) de la cuestión que estamos tratando: ¿Cómo conseguir que el Negocio establezca esos requerimientos de Ciberseguridad en sus servicios? La única forma, desde nuestro punto de vista, es el incremento de la conciencia situacional en lo que a la Ciberseguridad se refiere, entendiendo ahora Ciberseguridad como un concepto más amplio que incluye la privacidad, intimidad, protección de infraestructuras y servicios esenciales, etc. (no es el lugar aquí para definir la Ciberseguridad como concepto, ya que alguno de nuestros compañeros lo hará próximamente).

Del mismo modo que cada vez más los ciudadanos, los clientes finales, el negocio, no concibe un servicio que no garantice su privacidad, derecho a la intimidad, etc., con una conciencia situacional adecuada, no concebirá tampoco un servicio que ponga en riesgo todos esos puntos, y otros de mayor impacto, como su seguridad como ciudadano, la continuidad de su servicio, etc. o en un plano más amplio, incluso la seguridad de su nación.

Finalmente, nos queda por analizar otro de los actores importantes y el que tiene más relaciones como origen de establecimiento de requisitos: el Gobierno o Ente Regulador. Sin lugar a dudas es éste el otro principal dinamizador y “desencadenador” de los requisitos de Ciberseguridad Industrial, y lo es por tres razones evidentes:

1. Es el que mayor influencia ejerce ante el resto de los actores del panorama (incluyendo el Mercado, el Negocio, las Organizaciones Industriales, los Fabricantes…).
2. Esta influencia se puede  materializar en realidad en la obligatoriedad del cumplimiento de  regulaciones en esa línea que establezcan esas medidas y requisitos básicos de Ciberseguridad Industrial que tanto un servicio público, esencial, crítico, como una infraestructuras industrial (si es crítica aún más), o un determinado producto homologado o certificado para su funcionamiento en el país, debe cumplir.
3. La falta de protección adecuada de todos esos actores, sus infraestructuras, productos y servicios pueden tener un impacto global mucho mayor que los distintos impactos individuales que puedan analizarse debido a las especiales características de este tipo de infraestructuras, y a la interdependencia funcional y a veces regional, que muchas pueden tener.

Todo ello hace que bajo nuestro punto de vista, el Gobierno o Ente Regulador debe desempeñar un papel y rol clave en la construcción de esta cadena de valor, estableciendo una serie de líneas base o mínimos que cualquier servicio, producto o infraestructura de los distintos actores deba cumplir para su normal operación en un determinado territorio o nación.

Como comentábamos al principio de este punto, los requerimientos de ciberseguridad definidos por alguno de estos dos actores principales (el Negocio, el Mercado, los Clientes finales y los Gobiernos y/o Entes Reguladores) o por ambos, sería suficiente para que ese escenario teórico que presentábamos se materialice en la realidad y la protección de nuestros entornos industriales cuente con los niveles que su criticidad en realidad requieren.

Conclusiones

Durante todo este artículo hemos estado hablando de actores, relaciones, escenarios, panoramas, etc. aunque el título del mismo hacía referencia a la familia y los amigos. Habitualmente los conceptos se recuerdan y asimilan mejor cuando se establecen analogías con situaciones, ubicaciones o experiencias cercanas a la persona. Por ello, nos gustaría finalizar el artículo realizando una analogía con una situación que con total probabilidad, al lector le resulte familiar.

El panorama presentado aquí, como ya se ha indicado, no supondría problema alguno si desde su origen se hubiese concebido con todas sus características en la creación y elección de los distintos actores, en las características de las distintas relaciones existentes entre los mismos, etc. Sin embargo, no se parte de una hoja en blanco en la que dibujar los elementos que nos gusten y nos encajen y en la que establecer las relaciones que más nos gusten o convengan, como podemos hacer con nuestros amigos, con nuestras amistades, seleccionando aquellos más afines y con un trato más fácil y estableciendo las relaciones óptimas entre nosotros.

El panorama actual de la Ciberseguridad Industrial es una familia, y como tal no podemos escogerla, nos ha venido dada. Cada miembro de la familia tiene sus características, idiosincrasias, relaciones existentes (oficiales y extraoficiales) y el secreto está en la convivencia, comprensión y la complementariedad y suma de fuerzas en pro de un objetivo común (en este caso la mejora general de la Ciberseguridad y Protección de nuestras Infraestructuras Industriales y sus servicios asociados).

Sin embargo en todo familia hace falta un patriarca o matriarca que, en momentos de conflicto o discusión, establezca unas reglas que todos deben seguir de forma obligatoria, al menos hasta que los miembros de la familia tenga la suficiente madurez.

Tal puede ser ahora el escenario de la Ciberseguridad Industrial: contamos con actores adolescentes, otros niños y probablemente algún bebé que requieren para su entendimiento del consejo (o reprimenda) de un adulto si no se quiere que los problemas familiares trasciendan a niveles no aceptables para una convivencia.

Dejamos al lector la entretenida actividad de ubicación de cada uno de los actores en el nivel de “madurez familiar” que crea que le corresponde, así como las posibles iniciativas para mejorar esa conciencia situacional que promueva el entendimiento familiar y confiamos, por nuestro propio bien, que de aquí a un tiempo podamos estar en disposición de decir algo así como “somos familia, y sin embargo amigos” 🙂