En este momento, me viene a la mente el comentario que Miguel Ángel Alarios, Presidente de la Real Academia de Ciencias Físicas, Químicas y Matemáticas, hizo en su presentación en la Conferencia Anual de ISA España (que tuve el honor de clausurar). Decía Miguel Ángel desde su humildad, que él siempre intentaba dar charlas, cursos, etc. para tener la oportunidad de aprender en los turnos de preguntas y ruedas de debate, de todos los asistentes, alumnos, etc.

No puedo estar más de acuerdo. Para mí una de las experiencias más enriquecedoras son las discusiones, debates e intercambio de conocimiento, experiencias y opiniones que habitualmente ocurren en estos eventos, tras las presentaciones, en mesas redondas y también, como no, en los momentos de “relax” delante de unas cervezas, cafés o lo que tercie.

Pues bien, a modo de resumen, quiero compartir con vosotros algunas notas, tal cuál, es decir, como las tomé en su momento, que pueden convertirse fácilmente en conclusiones de muchos de los eventos que os he mencionado y que pueden ser semilla de relexiones mucho más profundas y, con suerte, de nuevos debates y discusiones en los que todos aprendamos unos de otros.

Aquí las tenéis:

– Se tiene constancia de ataques a sistemas SCADA desde 1982, sin embargo, hoy en día estos ataques comienzan a ser públicos en los medios de comunicación y el número de actores interesados en los mismos (por distintas causas) es infinitamente mayor.

– No debes basar tu seguridad en un único punto, medida o capa de protección. Debes utilizar el paradigma de la Defensa en Profundidad para controlar cada uno de los puntos de fallo de tu organización.

– La seguridad a través de la oscuridad, ya no funciona. Necesitamos “ojos”, sensores y medios para saber qué está ocurriendo en nuestra organización, pero también en el mercado, en la tecnología, en los protocolos…

– No podemos separar la Ciberseguridad (security) y la Seguridad Física (safety). Es necesaria una integración entre ambas y existen distintas iniciativas al respecto como el Consorcio LOGIIC o el Grupo de Trabajo 7 de ISA99, por ejemplo.

– A la pregunta de ¿cómo empezar en estos ámbitos?, una de las respuestas válidas podría ser, comprendiendo tu negocio y realizando una aproximación de análisis de riesgos.

– Son necesarias organizacionas a nivel nacional que desarrollen una labor adecuada para mejorar el nivel de protección del país y promuevan el conocimiento necesario en el mundo de la Ciberseguridad Industrial.

– La siguiente generación de sistemas SCADA deberían incluir capacidades de monitorización de Ciberseguridad, y no sólo las correspondientes a aspectos funcionales y operacionales, como lo hacen en la actualidad.

– Las Smart Grid y la Internet de las Cosas (Internet of Things) son dos de los mayores retos en Ciberseguridad e integración a los que nos enfrentamos en el futuro próximo.

– Los usuarios finales deben exigir a sus proveedores requisitos de Ciberseguridad. La Ciberseguridad nunca más es ya una opción, sino una obligación para todos nosotros.

– Por tanto, la Ciberseguridad es un factor que debemos exigir a todos los fabricantes en el diseño de sus dispositivos industriales.

– Los fabricantes de sistemas industriales, de forma general y por ahora, son los grandes ausentes en todos los eventos y encuentros relacionados con la Ciberseguridad Industrial. ¿Por qué? ¿Es una estrategia de comunicación? ¿Quién será el primero en dar un paso firme y público?

– El conocimiento de los ataques ha de ser la base para establecer las defensas.

– La disponibilidad e integridad prevalecen sobre la confidencialidad en los entornos industriales. Hasta ahora, parecía claro que la Disponibilidad era el factor clave, si bien Eric Byres, está introduciendo recientemente su posición, defendiendo que es realmente la Integridad el factor predominante en estos entornos.

– Ninguna solución puntual es infalible y si es tecnológica, aún menos

– Las buenas prácticas y estándares en Ciberseguridad Industrial son esenciales, pero no suficientes.

– Aunque incluido en la mayor parte de normativas y buenas prácticas, pocas empresas realizan monitorización continua de sus redes y ciberseguridad.

– La tecnología de los sistemas industriales, originalmente propietaria, ha evolucionado. Sin embargo, sus usarios, NO.

– La Ciberseguridad sigue en los sótanos de las empresas y les cuesta llegar a las áreas de negocio y de dirección.

– La Formación y Concienciación son aspectos clave en estos momentos para mejorar la situación en lo que a Ciberseguridad Industrial se refiere.

– Algunos de los aspectos clave de una estrategia de ciberseguridad (también industrial), son la cooperación internacional, la existencia de un plan de acción y el respaldo político y económico.

– La Ciberseguridad es como una orquesta: si queremos escuchar una música agradable y armoniosa, y no un ejercicio de dodecafonismo, necesitaremos contar con los distintos instrumentos que la integran (iniciativas, grupos, organismos, actores, etc.) y que todos sigan una partitura común que enfatice sus fortalezas, siempre dirigidos y coordinados por un actor que tenga la partitura global adecuada.

– El Cumplimiento en muchos casos, se convierte en un acto de Cumplo y Miento (cortesía de Javier Larrañeta ;)). Cumplir una ley o una normativa de seguridad no quiere decir, ni es lo mismo, que estar seguro o protegido.

– La Colaboración P9 es totalmente necesaria: Public-Private-Partnership + Public-Public-Partnership + Private-Private-Partnership

Se me quedan muchas cosas en el tintero, pero sirvan estas como germen de nuevas discusiones y comentarios que nos permitan mejorar el nivel de la Ciberseguridad. Recordad, la Ciberseguridad es un compromiso de todos.

Cuando empecé a acercarme a este campo, lo primero que descubrí es que no existía ningún tipo de contenido o documento publicado en Internet en nuestro idioma (español), por lo que comencé a estudiar el contenido existente en inglés (proveniente principalmente de Estados Unidos). Esto me llevó a familiarizarme con los términos de SCADA Security (Seguridad SCADA) o ICS Security (Industrial Control System Security, Seguridad de los Sistemas de Control Industrial) que aún hoy en día son los más utilizados.

De forma natural, inicialmente comencé a utilizar esos términos en español cuando me refería a los aspectos más técnicos o tecnológicos.  De hecho, incluso años después, el primer taller que trató estos temas en España, que impartimos en el marco del 1er Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), lo denominamos así: Taller sobre Seguridad en Productos y Sistemas de Supervisión y Control Industrial (SCADA).

Sin embargo, desde el principio he pensado (como ya lo hacía en el ámbito corporativo) que un enfoque meramente tecnológico es insuficiente y, sin duda, los términos “Seguridad SCADA” (recordemos que SCADA significa Supervisory Control And Data Acquisition) o “Seguridad de los Sistemas de Control Industrial”,  hacen referencia únicamente a un subconjunto, sistema o conjuntos de sistemas de una infraestructura industrial, con una aproximación principalmente tecnológica. ¿Dónde quedan las perspectivas de Procesos y Personas, en estos términos?

En mi opinión, estos términos no están siempre utilizándose de forma correcta, sino que son referenciados de forma general (y equivocada) ante cualquier noticia, artículo o contenido que tenga algo que ver son la Seguridad Lógica (o Ciberseguridad) en los entornos industriales.

¿Cómo denominar entonces este campo? La primera aproximación lógica podría ser utilizar el término Seguridad Industrial. Sin embargo a aquellos que conozcan bien el sector industrial y su terminología, no les sorprenderá el hecho de que la utilización de este término supondría una ambigüedad total y causa de mal entendidos en el mundo de la planta, producción o fabricación, ya que “Seguridad Industrial” lleva ya años utilizándose para hacer referencia a la gestión de los riesgos, principalmente físicos, laborales y medioambientales, en el sector industrial. Al tratarse de un término muy arraigado, en parte debido a la importante normativa de obligado cumplimiento en la prevención de riesgos laborales, el utilizarlo para los aspectos “ciber” no haría si no, confundir a los profesionales industriales ya familiarizados con el uso existente del mismo. Es interesante señalar que este problema no existe en el mundo anglosajón, ya que en inglés se puede utilizar el término safety para referirse a la seguridad de las personas físicas y la palabra security para denominar a la seguridad lógica y de la información. Sin embargo, en castellano necesitamos incorporar algún término que ayude a realizar esta distinción.

Tras analizar y conocer en detalle las distintas posibilidades, y la importancia que las perspectivas de los Procesos y las Personas (además de la Tecnología) tienen en el sector industrial (como así lo reconocen las nuevas revisiones, aún en borrador, por ejemplo de ISA 99), decidimos comenzar a utilizar públicamente (en nuestros trabajos internos ya lo utilizábamos y con algunos clientes, tímidamente ;)) el término de Ciberseguridad Industrial.

Creemos que este término es mucho más correcto para definir las prácticas, procesos y técnicas necesarios para proteger de forma adecuada las infraestructuras industriales de las ciber-amenazas. De igual forma que en el ámbito corporativo se fue evolucionando de la seguridad informática, a la seguridad de la información (information security primero y information assurance, después) y finalmente al concepto de Ciberseguridad, creemos que en al ámbito industrial cuando se quiere hacer referencia al alcance global de su protección, debería utilizarse el término Ciberseguridad Industrial.

Durante los últimos meses he tenido la oportunidad de compartir estas ideas y aproximaciones con profesionales dedicados a estos temas en nuestro país (algunos de ellos competidores, y sin embargo amigos, verdad Elyo ;)) y con otros muchos a nivel internacional (entre los que se encuentran Eric Byres, sobradamente conocido, o Auke Austria o Annemarie Zielstra del CPNI.NL), y todos coinciden en que, efectivamente, el término Ciberseguridad Industrial (Industrial Cyber Security, en inglés) es el más correcto para hacer referencia a esa globalidad.

Nosotros llevamos tiempo utilizándolo. En lo que llevamos de año hemos impartido y participado en diversos cursos y eventos que suman más de 500 asistentes del ámbito industrial (incluyendo las 3 ediciones de nuestro Curso de Ciberseguridad Industrial, la Conferencia Anual de ISA o los Wonderday de Wonderware, entre otros), en los que hemos utilizado y presentado nuestro concepto de la Ciberseguridad Industrial con muy buena aceptación. Os invitamos a que vosotros comencéis a utilizarlo correctamente a partir de ahora.

La Ciberseguridad Industrial tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, incluyendo las perspectivas de Procesos, Personas y Tecnologías para la protección de las organizaciones e infraestructuras industriales. Por ello, que mejor forma de finalizar este artículo que con mi propuesta de definición de la Ciberseguridad Industrial:

Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

Nota importante: todo lo comentado en este artículo es fruto del trabajo en equipo realizado durante todos estos años con mis amigos y además compañeros Nacho Paredes y José Valiente.

¿Cuál es la causa de este aparente retraso en la conciencia situacional en lo que a Ciberseguridad Industrial se refiere? ¿Dónde podemos incidir par intentar promover cambios necesarios? En este artículo, presentaremos lo que a nuestro juicio representa el panorama actual de la Ciberseguridad Industrial hoy, describiendo los principales actores, sus relaciones y cómo éstas inciden o pueden incidir como desencadenadores de los cambios necesarios hacia una protección adecuada de nuestras instalaciones industriales, en lo que a su Ciberseguridad se refiere.

Los Actores

Comencemos pues, presentando los actores de esta representación en la que, curiosamente, nadie parece querer ser protagonista (al menos por el momento):

• El Negocio, el Mercado, los Clientes. Debemos comenzar obviamente por aquellos que rigen los principios de nuestras organizaciones y que suponen el principal fin y objetivo de las mismas. Toda actividad desarrollada por una organización tendrá su origen típicamente en una necesidad o requerimiento (explícito o implícito) de sus clientes, usuarios de sus productos o servicios, del conjunto de los mismos, el mercado objetivo. En una organización podrán existir actividades complementarias no asociadas directamente con esos requerimientos,  llamémosles funcionales, del negocio, pero estas actividades complementarias estarán al fin, total y claramente ligadas a la mejora de la eficiencia, eficacia y calidad de los servicios finales prestados al negocio. Clientes finales, mercado o negocio de una empresa energética, por ejemplo, serán sus usuarios (residenciales y corporativos), el mercado existente y sus competidores, etc.
• Las Organizaciones Industriales, las Infraestructuras Críticas. Son los generadores de los servicios a los clientes, al negocio, al mercado. Podríamos aquí diferenciar entre propietarios y operadores de infraestructuras, pero por sencillez, nos limitaremos a identificarlos como los propietarios de las infraestructuras industriales necesarias para la elaboración o transformación de los productos o servicios necesarios para cubrir las necesidades de su mercado objetivo. Estas organizaciones podrán contar con diversos procesos industriales que supondrán el núcleo de su negocio, y que vendrán apoyados por una serie de procesos corporativos de soporte necesarios para poder ejecutar esos procesos, llamemos primarios. Organizaciones Industriales podrían ser una empresa eléctrica, una planta de generación o una subestación eléctrica, dependiendo del nivel en que queramos manejarnos, pero también lo serían una acería, una empresa de tratamiento de aguas o una terminal portuaria de descarga de mineral, por ejemplo. Cabe hacer especial mención aquí a las llamadas Infraestructuras Críticas, que no son otras que aquellas identificadas a nivel nacional o transnacional como esenciales para mantener el modo de vida de la economía y ciudadanos de un país en condiciones normales.
• Las Ingenierías, los Integradores. Las organizaciones industriales o las infraestructuras críticas son especialistas y tienen el conocimiento más alto de su proceso industrial, pero no tienen por qué ser (y habitualmente no lo son) especialistas en la construcción, implantación y puesta en marcha de las infraestructuras necesarias para le ejecución de ese proceso (y aún siéndolo, desde luego no es uno de sus procesos primarios). Por ello cuando una organización industrial necesita construir una nueva planta de tratamiento, generación o fabricación de productos o servicios,  encarga esta labor a organizaciones especialistas en estas actividades: son las ingenierías, habitualmente cuando se trata de una instalación o infraestructura de gran tamaño, y/o los integradores cuando se trata de algo más acotado. Estas ingenierías e integradores son los mayores conocedores de los requerimientos necesarios para la puesta en marcha de un proceso o instalación industrial. Este conocimiento, junto con la capacidad de ejecutar de forma excelente los proyectos, supone su valor diferencial en el mercado ante sus clientes y sus competidores y en muchas ocasiones se consigue a lo largo del tiempo en base a la participación en numerosos proyectos similares y el alto conocimiento de los requerimientos (funcionales y no funcionales) transmitidos por los grandes conocedores del proceso primario, las organizaciones industriales, ya comentadas, y por sus propios expertos especialistas en ese proceso. Podríamos considerar una ingeniería o integrador a aquella organización con un conocimiento muy avanzado de un proceso industrial y de los requerimientos y actividades a todos los niveles para la construcción de forma excelente de una infraestructura que le de soporte, integrando distintas disciplinas, expertos, organizaciones, metodologías y tecnologías.
• Los Fabricantes. Son las organizaciones y compañías responsables de la fabricación y soporte de las tecnologías, productos y dispositivos, industriales y no industriales, necesarios para la construcción y operación de un proceso industrial. Existen fabricantes de nicho dedicados exclusivamente a la fabricación y provisión de un determinado dispositivo industrial para un determinado proceso, y otros mucho más “generalistas” (podríamos hablar incluso, “de amplio espectro”), no en su aproximación, sino en su alcance, que cuentan con productos en muy distintos sectores y niveles del ámbito industrial. Aquí podríamos identificar al fabricante de una determinada tecnología de Smart Meters (contadores ingeligentes), de una determinada RTU o al fabricante especialista en un determinado proceso      industrial de transformación que ofrece una solución llave en mano desde los niveles más bajos de instrumentación y automatización a los más altos de seguimiento y control de la producción, etc. Existen también fabricantes no exclusivos del ámbito industrial, cuyos productos y soluciones son empleados en las instalaciones industriales. Podríamos identificar aquí por ejemplo los fabricantes del ámbito de las Tecnologías de la Información y las Comunicaciones, tanto en la parte de hardware como en la de software, que sirven como base para el desarrollo de soluciones de control industrial más elaboradas (por cierto, cada días más presentes en cualquier organización y proceso industrial).
• Los Gobiernos y Entes Reguladores. Son organismos típicamente públicos, nacionales o transnacionales, que definen y marcan las “reglas de operación” (podríamos llamar “reglas del juego”) a las que deben sujetarse de forma obligatoria, típicamente y en primer lugar, las organizaciones industriales, pero también el mercado objetivo de esas organizaciones industriales y en último término, el resto de actores involucrados en el mismo (como fabricantes y en menos medida al menos directamente, ingenierías o integradores). Estas reglas de operación incluirán habitualmente aspectos funcionales, económicos, comerciales, de competencia, etc. pero en ocasiones podrán incluir también aspectos no funcionales (como medidas de protección, etc.). Podemos considerar Entes Reguladores o Gobiernos, el propio gobierno nacional de un país, pero también organismos dependientes del mismo, como Comisiones Nacionales de Energía, organismos reguladores sectoriales o por el contrario, organizaciones transnacionales como por ejemplo, la Comisión Europea. Debemos enfatizar aquí nuevamente que las “reglas de operación” que emiten o definen estas entidades son de obligado cumplimiento para los actores involucrados y su no cumplimiento pueden suponer sanciones de gran impacto para la organización industrial o directamente la imposibilidad de operación en un determinado mercado o país.
• Las Asociaciones y Sociedades Sectoriales o Generales creadoras e impulsoras de Buenas Prácticas, los Organismos de Estandarización y las Consultoras de Procesos Complementarios a los Industriales (como aquellas pertenecientes al ámbito TIC y de la Ciberseguridad). Podemos encuadrar en este grupo más general todas aquellas organizaciones que definen y crean metodologías, guías de buenas prácticas, estándares y aproximaciones a aspectos críticos y necesarios para la construcción, ejecución, operación y/o soporte de los procesos industriales primarios, pero que no suponen en sí requerimientos funcionales de los mismos. Este tipo de organizaciones (con o sin ánimo de lucro) realizan una labor de difusión y evangelización para la mejora sistémica de los procesos industriales, haciendo especial hincapié en aquellos procesos de soporte que suponen su mayor especialización. Mencionaríamos aquí Sociedades y Asociaciones  que soportan estándares y metodologías de implantación y operación de programas de ciberseguridad industrial por      ejemplo, o compañías que ofrecen servicios en ámbitos innovadores (o no tanto), como la Ciberseguridad Industrial o la Protección de      Infraestructuras Críticas. Existe una diferencia importante que debemos destacar en este punto, y es que las aproximaciones, buenas prácticas, estándares, etc. defendidas por estas organizaciones son de adopción voluntaria, al contrario que los requerimientos o regulaciones publicadas por los Gobiernos y Entes Reguladores, que son de obligado cumplimiento.

Presentados ya de forma general todos los actores (si bien podríamos haber realizado una clasificación con mucha mayor  granularidad pero que, en el punto en que nos encontramos en el panorama de la Ciberseguridad Industrial hoy, aun no aportaría demasiado al lector), llega el momento de esbozar las relaciones existentes entre los mismos que creemos que pueden ser determinantes para la evolución del panorama que estamos describiendo en este artículo. Por razones de espacio nos limitaremos a las relaciones de “establecimiento de requerimientos” entre los actores, si bien existen relaciones adicionales comerciales, políticas, regionales, etc. que también influirán, sin duda, en el discurrir de este paisaje que estamos tratando de describir.

¿Por qué las relaciones de “establecimiento de requerimientos” son tan importantes?

Se venía diciendo tradicionalmente que “el papel lo soporta todo”, aunque en tiempos más recientes esto se ha convertido en que “las presentaciones electrónicas lo soportan todo” (por no hacer publicidad a un conocido software ofimático de presentaciones ;)). No podemos estar más de acuerdo con esta afirmación. Podemos escudriñar la red en búsqueda de aproximaciones y metodologías para incrementar el nivel de concienciación en ciberseguridad de una organización y encontraremos no pocos resultados, muchos de ellos de gran interés. Si hacemos lo mismo con análisis y resultados de los impactos sociales, económicos, etc. de los altos niveles riesgo en organizaciones industriales e infraestructuras críticas, seremos capaces de construir un dossier muy completo. Pero la información va más allá, y ahora ya podemos pasarnos horas leyendo de lo inminente de la posibilidad de una ciberguerra, de cómo los primeros objetivos serían estas organizaciones industriales e infraestructuras críticas y en cómo las principales naciones del mundo están “moviendo ficha” con la creación de cuerpos de operaciones (defensivas y ofensivas) en el ciberespacio y la aprobación de estrategias nacionales de ciberseguridad (que en algunos casos hacen referencia explícita al ámbito industrial).

¿Por qué existiendo esta cantidad ingente de argumentos y recursos sobre el tema hoy en día aún no estamos viendo cambios significativos en el panorama de la ciberseguridad industrial y en la actitud de los actores implicados de forma general en nuestro país o en toda Europa?

La respuesta es sencilla y compleja a la vez: porque los principales dinamizadores y “desencadenadores” de actividades para las organizaciones industriales e infraestructuras críticas (los clientes, el negocio, los entes reguladores y gobiernos) aún no tienen de forma general una conciencia situacional (situational awareness) en lo que a la Ciberseguridad Industrial se refiere y por tanto, no existe una exigencia hacia las organizaciones industriales (desde el negocio o desde el ente regulador) de la inclusión de la Ciberseguridad Industrial, de la protección de estos entornos, como un requisito ineludible en cualquier infraestructura.

Y es que la exigencia de la inclusión de requisitos de ciberseguridad en todos los niveles de la organización industrial, desde la Infraestructura Global, la organización, los procesos, pasando por la tecnología y llegando hasta el último dispositivo industrial, es algo totalmente necesario, pero no ocurrirá si esa cadena de relaciones (de establecimiento de requerimientos) no comienza con un primer eslabón.

La Cadena de Establecimiento de Requerimientos de Ciberseguridad Industrial

En la figura que acompaña a este artículo, hemos querido reflejar gráficamente las relaciones (y dependencias) de establecimiento de requerimientos de Ciberseguridad (representadas con fechas de colores), que existen en el panorama actual. Intentaremos realizar una descripción somera a continuación que permita al lector realizar inicialmente su propio análisis de las causas de la situación actual y posibles iniciativas para solventarla, si bien en próximas entregas iremos compartiendo distintas iniciativas que creemos interesantes.

Probablemente lo primero que llama la atención en la figura es que existe un actor, las Asociaciones y Sociedades Sectoriales, etc. que no son origen ni destino de ninguna relación. Esto es debido a que estos actores son los principales agentes activos de la difusión, mejora de la concienciación y formación del resto de actores del panorama, pero esta relación no se basa en los requerimientos o la obligatoriedad, sino en la influencia. Eso es lo que intentan representar los círculos concéntricos semejando una onda que se extiende: la influencia que estos actores, Asociaciones, Sociedades Sectoriales impulsoras de Buenas Prácticas, Organismos de Estandarización, Consultoras TIC y de Ciberseguridad, tienen y pueden lograr en el resto de actores. Su influencia en la conciencia situacional del resto de actores en este ámbito, puede ser determinante para establecer el primer eslabón de la cadena.

Si ahora nos fijamos en el caso opuesto, es decir, cuál es el actor qué más relaciones de dependencia tiene, aquel que puede tener mayores requerimientos de Ciberseguridad, veremos claramente que son los Fabricantes. ¿Cuál es la causa de tal exigencia? Son el último eslabón de la cadena y el más cercano al campo. Las Organizaciones Industriales pueden y deben establecer requerimientos de ciberseguridad a los fabricantes de todos los elementos que forman su infraestructura, ya que deben asegurar la protección individual de cada elemento, pero además también pueden y deben establecer requerimientos de seguridad de la infraestructura global, del proceso industrial automatizado que se compone de esos elementos. Para ello definirán requerimientos adicionales al otro actor implicado: las Ingenierías e Integradores.  Es evidente que estas nuevas exigencias a las Ingenierías e Integradores se trasformarán y trasladarán de forma inmediata como nuevos requerimientos desde las Ingenierías a los Fabricantes.

Si el marco teórico es tan claro y obvio, ¿por qué los Fabricantes aún no están incluyendo o no han incluido aún los requisitos mínimos de ciberseguridad en sus productos? Porque aquí no estamos tratando otras relaciones existentes entre todos estos actores: las comerciales. Si un fabricante incorpora nuevos requisitos a sus productos, eso cambiará sus procesos de diseño y producción, probablemente los propios sistemas deban cambiarse, deberá incorporar materiales de mayor calidad y por tanto el coste final del dispositivo unitario se habrá incrementado.

El mismo razonamiento podemos aplicarlo a los servicios  y proyectos ofrecidos por las Ingenierías e Integradores: la formación de su personal o contratación o subcontratación de terceras partes, la modificación de sus procesos de diseño y ejecución, etc. tendrán un coste que, inicialmente, repercutirán a su cliente, las Organizaciones Industriales y, ¿cuál será el primer resultado percibido por esas Organizaciones? El incremento inmediato de sus proyectos de construcción, implantación, operación y mantenimiento de los procesos principales para su negocio, lo que lógicamente podría (o  debería) tener su traslación al actor principal: el Negocio, el Mercado y los Clientes.

Este incremento de coste, en un mercado de competencia y sin la adecuada conciencia situacional de la Ciberseguridad en el Negocio, el Mercado y los Clientes (para nosotros, el actor principal sin lugar a dudas), posicionaría teóricamente a esa organización en desventaja con sus competidores, que aún sin incorporar esos requisitos necesarios (pero que el Mercado aún no valora), estaría ofreciendo aparentemente los mismos servicios a un importe menor.

He aquí la razón por la que este escenario teórico no está ocurriendo en la realidad: las Organizaciones Industriales, salvo algunas excepciones con una conciencia situacional elevada, aún no están estableciendo esos requerimientos a sus
proveedores: ingenierías, integradores y fabricantes, y por tanto ninguno de estos dos actores (de forma general) están incluyendo proactivamente las medidas de ciberseguridad mínimas necesarias en sus productos y servicios.

¿Qué tiene que ocurrir para que comiencen a establecerse esos requerimientos de Ciberseguridad Industrial?

Nuevamente, si revisamos la figura en detalle (imprescindible para un seguimiento adecuado de la lectura de este artículo :)), veremos que todo pasa porque a las Organizaciones Industriales les sean establecidos requerimientos de ciberseguridad por alguno de los dos actores desencadenantes (o por ambos): el Negocio, el Mercado, los Clientes finales y los Gobiernos y/o Entes Reguladores.

Servirá con que el Negocio establezca estos requisitos como una necesidad (flecha roja en la figura), para que la cadena de requerimientos se establezca hasta el último eslabón, con la diferencia en este caso que los costes habrán sido analizados e incluidos desde la misma concepción del servicio y habrán sido analizadas medidas compensadoras en caso de existir incrementos de coste hacia los Clientes Finales, tales como obtención de recursos adicionales (subvenciones, ayudas, etc.), incentivación del consumo de determinados servicios o cualquier otra medida que pueda equilibrar las cuentas de resultados tras introducir estos nuevos parámetros y costes.

Estamos llegando ya al origen (a uno de los orígenes) de la cuestión que estamos tratando: ¿Cómo conseguir que el Negocio establezca esos requerimientos de Ciberseguridad en sus servicios? La única forma, desde nuestro punto de vista, es el incremento de la conciencia situacional en lo que a la Ciberseguridad se refiere, entendiendo ahora Ciberseguridad como un concepto más amplio que incluye la privacidad, intimidad, protección de infraestructuras y servicios esenciales, etc. (no es el lugar aquí para definir la Ciberseguridad como concepto, ya que alguno de nuestros compañeros lo hará próximamente).

Del mismo modo que cada vez más los ciudadanos, los clientes finales, el negocio, no concibe un servicio que no garantice su privacidad, derecho a la intimidad, etc., con una conciencia situacional adecuada, no concebirá tampoco un servicio que ponga en riesgo todos esos puntos, y otros de mayor impacto, como su seguridad como ciudadano, la continuidad de su servicio, etc. o en un plano más amplio, incluso la seguridad de su nación.

Finalmente, nos queda por analizar otro de los actores importantes y el que tiene más relaciones como origen de establecimiento de requisitos: el Gobierno o Ente Regulador. Sin lugar a dudas es éste el otro principal dinamizador y “desencadenador” de los requisitos de Ciberseguridad Industrial, y lo es por tres razones evidentes:

1. Es el que mayor influencia ejerce ante el resto de los actores del panorama (incluyendo el Mercado, el Negocio, las Organizaciones Industriales, los Fabricantes…).
2. Esta influencia se puede  materializar en realidad en la obligatoriedad del cumplimiento de  regulaciones en esa línea que establezcan esas medidas y requisitos básicos de Ciberseguridad Industrial que tanto un servicio público, esencial, crítico, como una infraestructuras industrial (si es crítica aún más), o un determinado producto homologado o certificado para su funcionamiento en el país, debe cumplir.
3. La falta de protección adecuada de todos esos actores, sus infraestructuras, productos y servicios pueden tener un impacto global mucho mayor que los distintos impactos individuales que puedan analizarse debido a las especiales características de este tipo de infraestructuras, y a la interdependencia funcional y a veces regional, que muchas pueden tener.

Todo ello hace que bajo nuestro punto de vista, el Gobierno o Ente Regulador debe desempeñar un papel y rol clave en la construcción de esta cadena de valor, estableciendo una serie de líneas base o mínimos que cualquier servicio, producto o infraestructura de los distintos actores deba cumplir para su normal operación en un determinado territorio o nación.

Como comentábamos al principio de este punto, los requerimientos de ciberseguridad definidos por alguno de estos dos actores principales (el Negocio, el Mercado, los Clientes finales y los Gobiernos y/o Entes Reguladores) o por ambos, sería suficiente para que ese escenario teórico que presentábamos se materialice en la realidad y la protección de nuestros entornos industriales cuente con los niveles que su criticidad en realidad requieren.

Conclusiones

Durante todo este artículo hemos estado hablando de actores, relaciones, escenarios, panoramas, etc. aunque el título del mismo hacía referencia a la familia y los amigos. Habitualmente los conceptos se recuerdan y asimilan mejor cuando se establecen analogías con situaciones, ubicaciones o experiencias cercanas a la persona. Por ello, nos gustaría finalizar el artículo realizando una analogía con una situación que con total probabilidad, al lector le resulte familiar.

El panorama presentado aquí, como ya se ha indicado, no supondría problema alguno si desde su origen se hubiese concebido con todas sus características en la creación y elección de los distintos actores, en las características de las distintas relaciones existentes entre los mismos, etc. Sin embargo, no se parte de una hoja en blanco en la que dibujar los elementos que nos gusten y nos encajen y en la que establecer las relaciones que más nos gusten o convengan, como podemos hacer con nuestros amigos, con nuestras amistades, seleccionando aquellos más afines y con un trato más fácil y estableciendo las relaciones óptimas entre nosotros.

El panorama actual de la Ciberseguridad Industrial es una familia, y como tal no podemos escogerla, nos ha venido dada. Cada miembro de la familia tiene sus características, idiosincrasias, relaciones existentes (oficiales y extraoficiales) y el secreto está en la convivencia, comprensión y la complementariedad y suma de fuerzas en pro de un objetivo común (en este caso la mejora general de la Ciberseguridad y Protección de nuestras Infraestructuras Industriales y sus servicios asociados).

Sin embargo en todo familia hace falta un patriarca o matriarca que, en momentos de conflicto o discusión, establezca unas reglas que todos deben seguir de forma obligatoria, al menos hasta que los miembros de la familia tenga la suficiente madurez.

Tal puede ser ahora el escenario de la Ciberseguridad Industrial: contamos con actores adolescentes, otros niños y probablemente algún bebé que requieren para su entendimiento del consejo (o reprimenda) de un adulto si no se quiere que los problemas familiares trasciendan a niveles no aceptables para una convivencia.

Dejamos al lector la entretenida actividad de ubicación de cada uno de los actores en el nivel de “madurez familiar” que crea que le corresponde, así como las posibles iniciativas para mejorar esa conciencia situacional que promueva el entendimiento familiar y confiamos, por nuestro propio bien, que de aquí a un tiempo podamos estar en disposición de decir algo así como “somos familia, y sin embargo amigos”

En primer lugar, los asistentes. Finalmente fueron 36 personas las que pudieron asistir al curso (lamento aquellos que os tuvisteis que quedar en lista de espera) que representaron a las principales compañías industriales de nuestro país, especialmente aquellas del ámbito energético. Esto no hace sino confirmar que, en efecto, el sector más maduro en lo que respecta a la Ciberseguridad Industrial probablemente es el energético (o quizás el que más normativas de obligado cumplimiento tiene y quienes primero están siendo notificados en nuestro país por el CNPIC, Centro Nacional de Protección de Infraestructuras Críticas). CEPSA, Enagás, Endesa, Iberdrola o Repsol entre otros, y distintas Centrales Nucleares, estuvieron representados.

Pero también tuvimos la suerte de enriquecer aún más el grupo con fabricantes (como Yokogawa), ingenierías (como Técncas Reunidas, la mayor ingeniería de nuestro país y la quinta del mundo), certificadoras (como Applus) o proveedores de servicios de seguridad (como S21sec). Un grupo multidisciplinar que hizo que pronto surgiese el debate según se iba avanzando en el contenido y a medida que los trabajos en grupo se iban desarrollando.

Momentos álgidos fueron cuando Nacho Paredes mostró ejemplos de Sistemas de Control Industrial vulnerables y accesibles públicamente desde Internet y sin duda la defensa que al final del segundo día, cada grupo de trabajo tuvo que realizar ante el resto del foro, de su presentación a la alta dirección del Plan de Ciberseguridad Industrial que fueron desarrollando durante los dos días.

La competencia fue “feroz” y cada grupo valoró al resto en base a la calidad de la información presentada y su adecuada comunicación. Finalmente los ganadores fueron los representantes del sector nuclear con una excelente presentación en la forma y en el fondo. Se notó su experiencia para defender estos aspectos ante la alta dirección. ¿El premio sorpresa? Unas botellas de vino “personalizadas” identificándolos como ganadores del Primer Curso de Ciberseguridad Industrial

Esto nos sirvió como aperitivo para la cena que ese día organizamos (y que el fabricante de dispositivos de seguridad Sourcefire tuvo a bien patrocinar) y que nos permitió establecer lazos personales más cercanos (aunque los trabajos en equipo y los debates ya habían propiciado ese contacto personal, tan importante).

Finalmente llegó el momento esperado de comprobar el último día, cómo todo lo que habíamos estado describiendo podía llevarse a cabo  de forma real en un entorno controlado basado en la maqueta que preparamos para las pruebas.

Tras introducir distintas herramientas y métodos de análisis y ataque, llegó el momento del nuevo reto, en este caso, hacking ¿Quién sería el primero en vulnerar el sistema saltándose los firewalls, pasando por la red corporativa y llegando a la red industrial para activar la sirena, el ventilador y hacer caer la bola del mundo?

Fue muy ameno comprobar cómo los distintos participantes lograban vulnerar unos y otros dispositivos, pero no acababan de recabar toda la información necesaria para llegar al objetivo. Finalmente el ganador que logró activar la sirena, el ventilador y hacer caer la bola del mundo fue el CISO de Técnicas Reunidas quien se llevó otra botellita personalizada

La percepción y valoraciones del curso por todos los asistentes ha sido muy positiva, habiendo recibido numerosas felicitaciones por su parte. Mi opinión es que el alto nivel y variedad de los asistentes, unido a la oportunidad de colaborar y trabajar en equipo, junto con los debates promovidos por las distintas cuestiones planteadas han hecho que el aprendizaje en el curso haya sido elevado de manera importante. De hecho así comenzaba mi presentación del curso: anticipando que todos los asistentes al mismo (tanto profesores como alumnos) aprenderíamos mucho los unos de los otros si lográbamos compartir nuestras experiencias, opiniones y percepciones. Finalmente fue así y creo que este primer grupo ha sido un claro ejemplo de colaboración y compartición de información.

Ahora, como habíamos convenido, sólo nos queda crear el foro de discusión e intercambio de información “Ciberseguridad Industrial Alumni”  para que todos esos debates e intercambios iniciados en el curso, tengan su continuidad y puedan convertirse en un espacio colaborativo enriquecedor para todos.

Ya para finalizar, para aquellos que os quedasteis en lista de espera del anterior y para los que me estáis preguntando cuándo habrá nuevas convocatorias, estoy encantado de comunicaros que ya hemos fijado dos nuevas ubicaciones para impartir el Curso en Junio. Los lugares y fechas serán los siguientes:

– Gijón: 12 al 14 de Junio
– Madrid: 20 al 22 de Junio

En pocos días publicaremos ya la información detallada sobre cada convocatoria, formulario de inscripción … y alguna novedad que queremos incluir, que esperamos que os resulte de interés. Mientras tanto si queréis manifestar ya vuestro interés en asistir e ir reservando plaza, podéis hacerlo directamente con un email a mi dirección (samuel.linares [at] gmail [dot] com).

Más detalles en breve!

Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Las amenazas están ahí fuera, las vulnerabilidades existen, el impacto de su explotación en estos entornos es elevado y la obligación de cumplimiento de protección de las infraestructuras, no sólo desde el punto de normativa interna sino de legislación pública, es un hecho. Por tanto es evidente que toda organización en este ámbito debería tomar las medidas técnicas y organizativas adecuadas para disminuir e intentar mitigar el riesgo al que están expuestas.

Buenas prácticas mínimas y habituales en el ámbito de las Tecnologías de la Información, como la segmentación de redes, la defensa en profundidad, la autenticación, criptografía o la detección y prevención de intrusiones, entre otras, deberían incorporarse a los diseños y arquitecturas de los proyectos para garantizar unos niveles de seguridad adecuados a los requisitos de disponibilidad, confidencialidad e integridad característicos de estas instalaciones, sin dejar de lado aspectos organizativos como la segregación de funciones, la adecuada gestión de personal o el cumplimiento normativo, por ejemplo.

Como recomendación mínima, recogeré a continuación a modo de breve resumen, 6 aspectos básicos para la mejora de la seguridad en estos entornos que pueden mejorar considerablemente la seguridad de una infraestructura y disminuir radicalmente el nivel de riesgo al que se ve expuesta. No se trata de volver a inventar la rueda, sino de aplicar los mismos paradigmas, principios y conceptos que llevamos empleando en las últimas décadas en el entorno de las TIC al escenario industrial, eso sí, con las consideraciones y cautelas particulares que sus especiales características requieren:

 1. Defensa en Profundidad. Se trata este de un paradigma o estrategia de defensa por el que, en lugar de establecer un único perímetro o línea de protección, se colocan distintas líneas de protección consecutivas (podríamos hacer el símil con una cebolla y sus capas, o un castillo y sus distintos niveles de protección) de forma que si una de ellas se supera o rompe, siguen existiendo mecanismos de defensa adicionales, teniendo que destinar un número de recursos mucho mayores, en cualquier caso, para intentar superar las distintas líneas de protección.

 2. Segmentación. Toda instalación o infraestructura debería ser dividida o segmentada en distintos dominios de seguridad, esto es, en distintas áreas o segmentos de red que compartan las mismas características en lo que a niveles de protección se refiere de forma que puedan configurarse las medidas técnicas de seguridad adecuadas y realizar un control de las mismas y del acceso entre segmentos o dominios en base a unas políticas y reglas definidas.

 3. Introducción de dispositivos de seguridad como Firewalls, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Sistemas de Gestión Unificada de Amenazas (UTMs) o “Diodos de Datos”. La introducción de estos dispositivos de seguridad en los puntos de interconexión de los distintos segmentos y dominios de seguridad de las redes de la organización permitirán aplicar las políticas de seguridad adecuadas en forma de reglas de control de acceso, de detección de actividad maliciosa o de monitorización de la información transmitida por esos segmentos (basándose en protocolos, acciones, servicios, orígenes, destinos, rango horario, etc.). La regla de oro a seguir siempre será denegar todo acceso y actividad salvo  aquellos permitidos explícitamente (prohibición por defecto).

 4. Análisis de vulnerabilidades y Tests de Intrusión. Es conocido, y así lo he expuesto en otros posts anteriores, la existencia de vulnerabilidades en los sistemas y aplicaciones existentes en la organización. Muchas de estas vulnerabilidades pueden existir originalmente en los productos o desarrollos, o aparecer tras cambios, modificaciones, actualizaciones, etc. por lo que es de vital importancia la ejecución periódica (cada ciertos meses, cada año…) de análisis de vulnerabilidades (o incluso tests de intrusión) de los sistemas (de TI tradicional e industriales) que integran la infraestructura de la organización. Estos análisis y auditorías deberán ser realizados por expertos en este tipo de entornos dadas las especiales características y condiciones de los mismos.

 5. Estándares. Para la gestión de la seguridad de los distintos procesos, políticas y prácticas de producción, fabricación e industriales, deberían seguirse estándares internacionalmente reconocidos, probados e implantados. Existen estándares como la ISO 27001 para la gestión de la seguridad de la información, la norma británica BS 25999 para la gestión de la continuidad del negocio o la ISO 20000 para la gestión de servicios de tecnologías de la información. Sin embargo, sin duda en estos entornos es de mayor (y previa) aplicación la norma ISA 99, relativa al Establecimiento y Operación de un Programa de Seguridad de Sistemas de Control y Automatización Industrial, respectivamente. ¿Por qué reinventar la rueda si existen alternativas excelentes en la actualidad? Existen otros estándares o guías de buenas prácticas excelentes, y aplicables a distintos sectores, por lo que a día de hoy, y hasta que exista una referencia clara a nivel Europeo o sectorial, la recomendación es realizar un estudio de los estándares y buenas prácticas existentes en el sector y seleccionar los de mayor aplicación a nuestro caso.

 6. Formación y Concienciación. El último aspecto clave, pero no por ello el menos importante, es la formación y concienciación de los profesionales de planta y producción por una parte y de tecnologías de la información y seguridad por la otra. El ámbito de la ciberseguridad en estos entornos suele ser desconocido para ambos grupos de profesionales, desconociendo en muchos casos las consecuencias, características e impactos ya comentados por lo que deberían establecerse planes de formación adecuados para los distintos colectivos partiendo siempre de un nivel mínimo que recoja al menos los aspectos básicos de concienciación comentados someramente en este documento.

Teniendo en cuenta como línea base mínima estos 6 aspectos, cualquier organización podrá mejorar ostensiblemente la seguridad de sus infraestructuras, lo que redundará en una garantía de disponibilidad de sus servicios que, agregado a otras organizaciones, áreas geográficas e infraestructuras, elevará el nivel de seguridad de las infraestructuras esenciales para la nación.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Hoy se ha celebrado en Barcelona el workshop “Industrial Control Systems Security” en el que los participantes en el estudio hemos discutido el borrador del mismo y consensuado los contenidos que aparecerán en su versión final. El workshop ha sido todo un éxito, tanto en su organización como en su participación con más de 40 expertos de distintos países y organizaciones (usuarios finales, integradores, fabricantes, universidades, centros de investigación) discutiendo sobre este tema de tanto interés.

Aunque no quiero adelantar su contenido hasta su publicación oficial, sí podemos decir que el mismo se ha basado en el envío de encuestas a más de 100 expertos europeos, entrevistas personales con más de 20 (entre los que tengo el orgullo de encontrarme) y el estudio del estado del arte, publicaciones, estándares, etc. existentes a nivel no sólo europeo, sino también internacional.

El resultado, un entregable excelente con un contenido de mucho valor que resume fielmente la situación existente en este ámbito y una serie de recomendaciones para Europa y los Estados Miembros. Vayan desde aquí mis felicitaciones al equipo de ENISA y de S21Sec que lo han desarrollado y cómo no, también para todos los “stakeholders” que hemos participado en el mismo.

Mencionaré únicamente como adelanto la recomendaciones generales que hace el estudio en su actual estado de borrador (ya las he ido adelantando hoy en mi twitter):

– Recomendación 1: Creación de Estrategias Nacionales y Paneuropeas de Seguridad de los Sistemas de Control Indutrial (SCI en adelante)

– Recomendación 2: Creación de Guías de Buenas Prácticas para la Seguridad de los SCI

– Recomendación 3: Creación de Plantillas de Planes de Seguridad de SCI

– Recomendación 4: Aumentar la Concienciación y Formación

– Recomendación 5: Creación de un “test-bed” común, o alternativamente, una Certificación de Seguridad de SCI

– Recomendación 6: Creación de CERTs de SCI Nacionales

– Recomendación 7: Aumentar la Investigación en Seguridad de SCI, mejorando los Programas de Investigación existentes

Dicho esto, una de mis conclusiones personales es que, en este campo, en cuanto a iniciativas, política, organización, investigación, etc., Europa está al menos 5 años por detrás de Estados Unidos, y que España está al menos 5 años por detrás de Europa, y por tanto, mi impresión es que España está al menos 10 años por detrás de Estados Unidos. Una década es mucho tiempo, pero creo que no lograremos equipararnos al mismo nivel antes, sinceramente. Ojalá me equivoque…

En cualquier caso, creo que iniciativas como esta deben ser el comienzo de un largo camino hacia la mejora de la seguridad en este ámbito, tan necesaria si queremos contar con la competitividad que todos predicamos en los últimos tiempos.

Dejadme lanzar una pregunta al aire: ¿Por qué no se organiza en nuestro país un grupo de trabajo de especialistas en este ámbito de igual forma, aunque sea informalmente? Todos somos competidores, pero estoy seguro que podemos ser colaboradores en muchos casos…. ¿o vivo en el país de los pájaros y flores?

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías,  la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Tal es el caso de las infraestructuras críticas y las organizaciones que, aún sin serlo, puedan tener necesidades de protección muy superiores a las esperadas. Es conocido que el Catálogo Nacional de Infraestructuras de España está compuesto por 3.600 infraestructuras pertenecientes en un 80% a organizaciones privadas y en un 20% a organizaciones públicas. Todas estas organizaciones están sujetas al cumplimiento de la recientemente aprobada Ley de Protección de Infraestructuras Críticas que les obliga a implantar una serie de medidas y controles de seguridad organizativos y técnicos y por tanto a mantener y gestionar su seguridad de forma adecuada.

Hemos presentado hasta ahora las líneas directrices, planes a medio y largo plazo de la gestión de la seguridad a nivel Europeo y también nacional, pero si continuamos bajando hacia el detalle, las distintas organizaciones deberán desarrollar los correspondientes planes de gestión de su seguridad, no sólo física, sino también lógica o “ciberseguridad” y para ello, además de los correspondientes cambios a nivel organizativo será necesario contar con las herramientas necesarias para aplicar esas medidas de seguridad y más allá de aplicarlas, para gestionarlas de forma integral facilitando así la toma de decisiones estratégicas a los responsables de la organización.

Los sectores críticos industriales como el energético, el transporte o el de telecomunicaciones, entre otros, son pilares clave para la sociedad española y europea. Todas estas organizaciones deben tener en cuenta las vulnerabilidades relacionadas con la tendencia a la interconexión e integración de las infraestructuras de información corporativas con las de planta y producción que hasta ahora venían estando aisladas. Mediante el análisis de las interdependencias y de los “ciber-riesgos”, es claro que queda mucho trabajo por hacer que tendrá una gran influencia en la arquitectura de los futuros sistemas de control. Las compañías eléctricas, organizaciones financieras, compañías de transporte y otros muchos sectores deberán trabajar en arquitecturas que estén protegidas y monitorizadas continuamente en cuanto a su seguridad (no solo a su disponibilidad o eficiencia), de forma que soporten la supervivencia del servicio bajo unas determinadas circunstancias.

Al final, la mayoría de las infraestructuras críticas residen sobre sistemas de control industrial que, debido a la demandada y cada vez más común integración de los “mundos de producción y corporativos”, están  totalmente expuestos a amenazas de ciber-ataques y, evidentemente, a un alto riesgo de fallos importantes para la organización que como ya hemos visto, en muchos casos puede, afectar al estado o nación.

Y es que las cosas han cambiado en el “mundo industrial o de producción”. Basta echar un vistazo a las características de los entornos tecnológicos en los que se basan los sistemas de fabricación o producción. Atendiendo a los resultados del estudio que anualmente viene realizando desde hace 11 años la conocida analista Logica denominado “MES Product Survey”, el escenario no difiere mucho del existente en los entornos corporativos tradicionales:  las bases de datos predominantes son Oracle y SQL Server, los sistemas operativos varían entre Windows (distintas versiones) con más de un 90% de base instalada y otros como Unix  o AS/400; las arquitecturas clientes servidor, los interfaces web son habituales y el estudio concluye indicando que “la tecnología Microsoft es dominante”.  Esta afirmación nos hace ver claramente que las cosas han cambiado. El mundo industrial ya no es un mundo propietario, sino que está utilizando las tecnologías de la información a su alcance.

Cada vez más la integración entre el mundo de planta y el corporativo es un hecho. En los últimos años se está asistiendo a una demanda cada vez mayor desde el negocio de la integración de los sistemas de producción con los sistemas de gestión empresarial (ERP) de las organizaciones. Los presupuestos de gestión e integración de los sistemas de fabricación se han incrementado en más de un 600% atendiendo a los estudios ya mencionados. Además estos nuevos sistemas de gestión de la fabricación no proporcionan únicamente información interna a la compañía sino que cada vez más se pretende ofrecer y ampliar la información hacia los sistemas de los proveedores y por supuesto hacia los clientes ofreciendo así un servicio de mayor calidad y muy valorado en estos entornos. Pero esta apertura a terceras partes, además de introducir nuevas funcionalidades y posibilidades para el negocio, introducen también nuevos medios de acceso a sistemas críticos para las organizaciones que hasta ahora estaban aislados y no estaban preparados para estar expuestos a las nuevas amenazas y vectores de ataque a los que ahora se enfrentan.

La convergencia entre los dos mundos es un hecho. Los sistemas de control ya no están aislados y han pasado de utilizar líneas de comunicaciones serie dedicadas, interfaces físicos y protocolos propietarios a utilizar la misma tecnología y protocolos que cualquiera puede estar utilizando en su casa, con redes Ethernet, inalámbricas compartidas y por supuesto todo basado sobre el protocolo TCP/IP.  Los dispositivos industriales han dejado de utilizar sistemas propietarios para pasar a utilizar sistemas operativos de propósito general (como Microsoft Windows o Linux, entre otros). En definitiva, han heredado todas las características y problemas de las Tecnologías de la Información tradicionales en los entornos corporativos.

Si imaginásemos un mundo donde un simple resfriado pudiese matarnos, estaríamos viendo el mundo de los sistemas de control industrial, en lo que a seguridad se refiere:

– Los sistemas de control han sido diseñados sin introducir los requisitos de ciberseguridad básicos, como se desprende de las noticias que durante el último año hemos estado viendo desde la aparición de Stuxnet, y sin ir más lejos, los hallazgos presentados ayer mismo por Dillon Beresford en la Black Hat 2011 en Las Vegas relativos a las vulnerabilidades de los PLCs S7-300 de Siemens.

– Las redes inalámbricas son habituales en este tipo de entornos, cuando es conocido  que su disponibilidad no está garantizada (olvidándonos ya de la confidencialidad de la información que fluye por ellas). Con un inhibidor de frecuencia de bajo coste es posible inhabilitar una red inalámbrica con las consecuencias que podemos imaginar (por ejemplo que una pala de descarga de carbón deje caer varias toneladas de carbón encima de un grupo de personas en lugar de encima de un camión).

– Existen dispositivos de filtrado (firewalls) habitualmente defendiendo el perímetro, pero en casi ningún caso existe esa seguridad hacia los segmentos internos, cuando se ha demostrado que la mayoría de los ataques o problemas vienen desde dentro.

– Entre el 80 y el 90% de los sistemas SCADA y de control están conectados a las redes corporativas, aun cuando en muchos casos el Departamento de Tecnologías de la Información ni siquiera es consciente de ello.

Habitualmente los sistemas de control industrial no requieren autenticación ni autorización, no utilizan técnicas de encriptación y cifrado de datos y no manejan adecuadamente los errores o excepciones, todo ello debido a su entorno aislado originalmente, lo que ha hecho que al “conectarlos” a las redes corporativas de las organizaciones se hayan abierto (en la mayoría de los casos inconscientemente) distintas fuentes potenciales de ataques como los siguientes, entre otros:

– Intercepción y manipulación de datos:  cualquiera podría manipular los datos intercambiados entre los PLCs y los Sistemas de Control y SCADA falseándolos

– Denegación de servicio: como se ha indicado en el caso de las redes inalámbricas es relativamente sencillo causar una pérdida de servicio a este tipo de sistemas.

– Falseo de Direcciones: un usuario malicioso puede falsear la “identidad” del PLC o del sistema SCADA y comenzar a comunicarse con el resto de sistemas como si fuese este modificando el funcionamiento global.

– Modificación de datos de registro (logs): en muchos casos es posible modificar los registros de actividad (de hecho en muchos casos no existen si quiera estos registros de actividad) con lo que una actuación maliciosa puede convertirse en “invisible” al no existir trazabilidad de las acciones efectuadas.

– Control no autorizado: aprovechando muchas de estas vulnerabilidades un tercero puede tomar el control global del sistema sin demasiados esfuerzos.

Todos estas vulnerabilidades, amenazas y vectores de ataque realmente no son ninguna novedad en los entornos de Tecnologías de la Información tradicionales donde en muchos casos ya están siendo mitigados, monitorizados y gestionados. Sin embargo en los entornos industriales, como se ha descrito, no se están controlando este tipo de amenazas en ningún sentido cuando la gran diferencia entre ambos mundos es sin duda el impacto. Como se pude desprender de todo lo descrito hasta ahora el impacto de la disrupción, brecha o mal funcionamiento de estos sistemas es mucho mayor llegando a las pérdidas humanas o, como se comenzaba exponiendo en este documento, a las amenazas a la seguridad de la nación y del modo de vida de nuestra sociedad.

Dejaremos para la siguiente entrega de la serie las tendencias tecnológicas y el mercado actual en esta área y finalizaremos la serie con una receta “sencilla” para la mitigación del riesgo existente en este tipo de entornos. Pero eso será dentro de unos días…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog