Muy buenas,
Me ha gustado MUCHO y viene a cuento con lo que estoy haciendo:
https://viviendoapesardelacrisis.blogspot.com/2023/07/consultor-grc-gobernanza-riesgo-y.html
https://viviendoapesardelacrisis.blogspot.com/2021/08/estacion-de-bombeo-de-aguas-residuales.html
https://telefonicatech.com/blog/soc-mision-critica-sistemas-ciberfisicos
SOC de Misión Crítica: La clave para la resiliencia de los sistemas ciberfísicos
18 de abril de 2024
Un SOC de Misión Crítica es un concepto que surge de coordinar todas las funciones de Ciberseguridad esenciales para mantener un conocimiento actualizado del entorno y de la postura de seguridad, así como reaccionar de forma efectiva ante cualquier incidente. Es un recurso vital para aumentar significativamente la resiliencia de los sistemas ciberfísicos y garantizar que el conjunto actúa como un sistema con visión completa y capacidad integral, E2E (end-to-end).
Como entidad, el SOC (Security Operations Center) de Misión Crítica integra personas, procesos y tecnologías para monitorizar, detectar, analizar y responder a las ciberamenazas que afectan a los sistemas críticos de una organización.
Que son los sistemas ciberfísicos (CPS): características y retos de seguridad
Los sistemas ciberfísicos, también conocidos como Cyber-Physical Systems (CPS), son una combinación de componentes de software y de partes mecánicas o electrónicas que interactúan entre sí y con el entorno físico, incluyendo personas.
Estos sistemas integran capacidades de computación, almacenamiento, comunicación y control de objetos en el mundo real, conectándose tanto entre sí como con redes de comunicaciones e internet.
Estos sistemas permiten que máquinas inteligentes coordinen y controlen operaciones en tiempo real, enviando información operativa a trabajadores cualificados. De este modo pueden automatizar procesos, realizar mantenimiento predictivo de máquinas e infraestructuras, optimizar operaciones y aprender de la experiencia compartida entre ellos.
Se trata por tanto de sistemas muy importantes para la economía y la sociedad, y en muchos de los casos gestionan sistemas que controlan infraestructuras críticas, como pueden ser sistemas de gestión y tratamiento de agua, generación y distribución de energía o puertos marítimos y aeropuertos.
Tienen un impacto directo en la salud, la seguridad, el bienestar o la economía de las personas. Al depender de la interacción entre sistemas físicos y digitales, como las redes eléctricas, las plantas industriales, los vehículos autónomos o los hospitales modernos plantean retos complejos en términos de resiliencia y seguridad.
Sistemas ciberfísicos: evolución y diferencia con sistemas IT
Los sistemas ciberfísicos han evolucionado desde sistemas operativos tecnológicos (OT) completamente aislados, conocidos como "fully air-gapped OT systems", hasta convertirse en sistemas ciberfísicos de nuevo diseño, con mayor conectividad.
En sus inicios, los sistemas OT no estaban conectados entre sí, ni tampoco a internet. Algunos ejemplos incluyen los sistemas SCADA, que supervisan y controlan datos, los sistemas ICS, que controlan procesos industriales, los PLC, que son dispositivos programables de control, y las redes PCN, que comprenden sistemas SIS, que garantizan la seguridad, estaciones de trabajo para ingeniería y la HMI, que es la interfaz con el usuario.
En su versión más evolucionada, los sistemas ciberfísicos se basan en diseños completamente nuevos, pensados para estar totalmente conectados. Estos sistemas incluyen robots industriales, sistemas de simulación de manufactura en realidad virtual, máquinas de conformado de metales autooptimizantes y sistemas de producción adaptables. Estos sistemas están diseñados para ser flexibles y adaptativos, permitiendo una mayor eficiencia y capacidad de respuesta en entornos productivos e industriales.
Algunas de las características que distinguen a los sistemas ciberfísicos de los sistemas de TI convencionales incluyen
-Convergencia entre los dominios de TI y OT, que implica la integración de redes, protocolos, estándares y dispositivos heterogéneos, así como de diferentes modelos de datos, aplicaciones y requisitos de seguridad.
-Dependencia e influencia mutua entre el estado físico y el estado digital, lo que genera una mayor complejidad y dificultad para predecir y controlar el comportamiento del sistema ante eventos adversos o ataques maliciosos.
-Importancia de los aspectos temporales y espaciales, que requieren garantizar el sincronismo, la latencia y la fiabilidad de las comunicaciones, así como la localización, el seguimiento y la movilidad de los componentes del sistema.
-Naturaleza distribuida y autónoma de los sistemas ciberfísicos, que implica la coordinación y cooperación entre múltiples agentes y entidades, tanto humanas como artificiales, con diferentes roles, responsabilidades y objetivos.
-Impacto directo y potencialmente crítico de los sistemas ciberfísicos en la vida de las personas, el medio ambiente y la infraestructura, lo que exige asegurar su disponibilidad, integridad, confidencialidad y seguridad.
Amenazas y riesgos más comunes para los sistemas ciberfísicos
Algunas de las amenazas más comunes y significativas a los que se exponen los sistemas ciberfísicos que recopila Gartner, incluyen:
-Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS), que consisten en sobrecargar o bloquear el acceso a los recursos o servicios del sistema, impidiendo su funcionamiento normal o afectando su rendimiento.
-Ataques de suplantación de identidad (spoofing), que consisten en falsificar o alterar la información o los mensajes transmitidos por el sistema, engañando a los receptores o induciéndolos a tomar decisiones erróneas o perjudiciales.
-Ataques de manipulación o alteración de datos (tampering), que consisten en modificar o borrar la información almacenada o procesada por el sistema, afectando su veracidad, integridad o consistencia.
-Ataques de acceso no autorizado o robo de información (hacking), que consisten en obtener o divulgar información confidencial o sensible del sistema, violando su privacidad, propiedad intelectual o seguridad.
-Ataques de sabotaje o daño físico (physical attacks), que consisten en causar daños o destruir los componentes físicos del sistema, como los sensores, los actuadores, los dispositivos o las infraestructuras que pueden provocar cierres operativos, denegación de servicio y pérdidas financieras.
Las estrategias de ciberseguridad tradicionalmente enfocadas en las tecnologías de la información (TI) no son suficientes para proteger los sistemas ciberfísicos. Es necesario abordar la ciberseguridad en infraestructuras críticas de una manera específica adaptada a sus características únicas para prevenir posibles riesgos, incluyendo:
-Para la vida, integridad o salud de las personas.
-Daños medioambientales resultantes de fallos o mal funcionamiento del sistema.
-Pérdida de clientes por daños en la reputación, confianza o capacidad para cumplir con las demandas y expectativas.
-Multas, demandas o responsabilidades legales por negligencia, incumplimiento normativo o errores.
-Pérdida de capacidad para monitorizar y gestionar adecuadamente la producción y los protocolos de seguridad.
-Pérdida de control y sobre la capacidad para gestionar o influir en el sistema o en los procesos.
Ciberseguridad de los sistemas ciberfísicos
Por tanto, la ciberseguridad de los sistemas ciberfísicos requiere un enfoque holístico que abarque tanto el aspecto digital como el físico, así como la interacción entre ambos.
Aquí es donde entra en juego el SOC de Misión Crítica, capaz de comprender el contexto operativo y el impacto potencial de las ciberamenazas, así como coordinar las acciones de defensa y recuperación entre los diferentes actores involucrados.
Además, debe tener en cuenta las especificidades de cada dominio de aplicación, como los requisitos de tiempo real, la heterogeneidad de los dispositivos, la movilidad de los usuarios o la regulación legal.
Para lograr este objetivo, un SOC de Misión Crítica debe disponer de dos cuestiones clave:
-Un conjunto de contramedidas o funciones de ciberseguridad básicas.
-Mecanismos de coordinación de estas funciones básicas con el fin de aumentar la resiliencia efectiva del sistema.
Funciones de ciberseguridad básicas
Los responsables de ciberseguridad de las organizaciones necesitan representar su estrategia mediante algún marco de referencia con el fin de organizar sus planes y comunicar sus acciones.
Esta matriz (Figura 1) consta de una serie de columnas que hacen referencia a funciones de ciberseguridad y una serie de filas que representan los diferentes tipos de activos que la organización debe proteger.
Adicionalmente, en el pie se incorpora un esquema gráfico adicional que indica el grado de dependencia ('degree of dependency') de cada función de seguridad con los 3 componentes de cualquier solución de ciberseguridad, esto es, la dependencia en personas, la dependencia en la tecnología y la necesidad de definir procesos para la correcta implementación de la función de ciberseguridad.
Conviene empezar describiendo el alcance de cada una de las funciones de ciberseguridad (columnas):
-Identificar y planificar (“Identify”), cuyo objetivo fundamental es conseguir un nivel de conocimiento de la organizar suficiente para gestionar los riesgos de ciberseguridad que afectan a los sistemas, las personas, los activos, los datos y las capacidades de la organización.
-Proteger (“Protect”), centrado en desarrollar e implementar controles apropiados para garantizar la entrega de los servicios esenciales de la organización.
-Detectar (“Detect”), orientado al desarrollo e implementación de actividades para la monitorización e identificación de eventos de ciberseguridad relevantes.
-Respuesta (“Respond”), con foco en el desarrollo e implementación de actividades de respuesta a incidentes de seguridad detectados mediante las funciones anteriores.
-Recuperación (“Recover”), enfocado a desarrollar e implementar actividades para garantizar la resiliencia, restaurando cualquier capacidad o servicio que se haya visto afectada por un incidente de seguridad.
Cabe tener en cuenta que estas funciones de ciberseguridad son bastante genéricas. En general, las tecnologías que se encuentran en el mercado no las cubren de forma completa, sino que es necesario precisar sobre qué activos concretos (y quizás en qué condiciones concretas) funcionan.
Los servicios que Telefónica Tech ofrece a sus clientes se basan normalmente en una tecnología en cuestión. Es por ello por lo que para representar el alcance de estos servicios de ciberseguridad sobre el marco de referencia se recurre a un rectángulo que cubre la función de ciberseguridad y los tipos de activos sobre los que aplica, tal y como puede verse en la Figura 2.
A continuación se describen algunos de los servicios que forman parte de la propuesta de valor en Ciberseguridad industrial representado en la Figura 2.
Evaluaciones de ciberseguridad industrial
Se trata de un servicio que se pone a disposición de los clientes para proporcionar una idea clara del estado y nivel de madurez en ciberseguridad de clientes con infraestructuras industriales. Para ello se realiza un levantamiento de los activos de la planta o plantas objeto de análisis mediante la captura de tráfico y su análisis mediante herramientas capaces de interpretarlo, identificando los activos, sus relaciones de comunicación, vulnerabilidades en la configuración de los activos y la red y posible actividad maliciosa.
Segregación IT/OT y segmentación OT
Este servicio se centra en dar respuesta a la que suele ser la primera de las recomendaciones de ciberseguridad que se proponen. El alcance de estos proyectos puede dividirse en 2 o más fases, empezando siempre por la segregación para establecer una clara barrera de protección perimetral entre las redes IT y las redes de naturaleza industrial (OT).
En la práctica, un servicio completo debe constar de las siguientes fases: diseño de arquitectura de red industrial segura, suministro del hardware y software necesario, típicamente NGFW (New Generation Firewalls), Implantación y configuración de los NGFW y resto de equipos de comunicación (como switches, routers …) que implementen la arquitectura de red definida y explotación del equipamiento tecnológico
Acceso Remoto OT
El objeto de este servicio consiste en proporcionar un mecanismo de acceso remoto seguro a los entornos industriales, controlado por los responsables de ciberseguridad del cliente y razonablemente fácil de utilizar.
El servicio completo consta de las siguientes actividades: diseño de arquitectura de acceso remoto, suministro del hardware y software necesario, implantación y configuración de los componentes de la solución y explotación del equipamiento tecnológico implantado.
Protección de Endpoint
El objeto de este servicio consiste en implantar y operar una solución para la protección de los endpoints de entorno industrial. Cabe tener en cuenta que en estos entornos no es inusual encontrar equipos industriales controlados por aplicaciones instaladas en sistemas operativos que ya no están soportados por sus fabricantes.
Esto implica que estos sistemas pueden padecer vulnerabilidades que no pueden corregirse mediante la actualización de una nueva versión del sistema operativo. Es por ello por lo que se requieren soluciones específicamente adaptadas a estos casos para evitar que estas vulnerabilidades puedan ser explotadas.
Monitorización de Ciberseguridad OT
Servicio gestionado de monitorización de seguridad para entornos industriales consistente en la gestión de alertas generadas por la detección de actividad maliciosa en el entorno industrial, supervisión de salud de los equipos de monitorización y elaboración de informes sobre la actividad de generación y tratamiento de alertas y sobre cambios en activos y mapa de vulnerabilidades del entorno.
Coordinación de las funciones de Ciberseguridad
En su papel de coordinación de las funciones de ciberseguridad esenciales, un SOC de Misión Crítica puede garantizar que el conjunto de los sistemas ciberfísicos actúa como un sistema con visión y capacidad E2E (end-to-end), que considere tanto el nivel más bajo de los dispositivos y las redes, como el nivel más alto de los servicios y las aplicaciones, así como la interrelación entre ellos.
De esta manera, se puede mejorar la protección y el acceso a los sistemas ciberfísicos, que son esenciales para el desarrollo sostenible y el bienestar de la sociedad.
Para conseguirlo, es necesario establecer procedimientos de orquestación y automatización de las funciones de seguridad básicas anteriormente expuestas.
Integración de perfiles de GRC en SOC de Misión Crítica
por ELISABET IGLESIAS - HEAD OF CONSULTANCY
Un SOC de Misión Crítica también puede facilitar la integración de perfiles de GRC (Gobierno, Riesgo y Cumplimiento) en los proyectos de sistemas ciberfísicos que ayudan a definir y aplicar las políticas, normativas y estándares de Ciberseguridad más adecuados para cada contexto.
De este modo, la oficina de GRC del SOC de Misión Crítica proporciona servicios de consultoría especializados y de alto valor para las organizaciones que operan en entornos industriales críticos. Estos servicios incluyen:
-Análisis de madurez de la ciberseguridad industrial, que evalúa el nivel de protección de los activos y procesos industriales frente a las amenazas cibernéticas.
-Análisis de riesgos OT (Tecnologías de Operación), que identifica y prioriza los escenarios de ataque más probables y sus posibles impactos en la continuidad del negocio.
-Planes directores (PDS OT), que definen la estrategia, los objetivos y las acciones para mejorar la ciberseguridad industrial de forma alineada con el negocio.
-Diseño e implementación de sistemas de gestión de la ciberseguridad industrial (CSMS), que establecen las políticas, los procedimientos y las buenas prácticas para garantizar la seguridad de la información y la operación de los sistemas industriales. Se incluirían aquí sistemas de gestión como, por ejemplo, IEC 62443, ISO/IEC 27019, ISO/IEC 27701.
-Programas de concienciación y prevención de ataques, que sensibilizan y forman al personal sobre los riesgos y las medidas de ciberseguridad industrial.
De esta forma, se consigue una solución 360º que cubre todas las necesidades de ciberseguridad industrial de las organizaciones, desde la estrategia y el gobierno de la ciberseguridad, hasta el diseño, despliegue y hasta la operación de la ciberseguridad, y que permite tener un control y en un modelo de un sistema de mejora continua de la seguridad.
Además, la aplicación de la Directiva NIS 2 establece los requisitos de ciberseguridad para los sectores de alta criticidad y otros sectores que prestan servicios esenciales para la sociedad, con el objetivo de “mejorar la resiliencia y la capacidad de respuesta ante ciberincidentes del sector público y privado en la Unión Europea.”
Entre estos sectores se encuentran la energía, el transporte, la salud, el agua, las infraestructuras digitales, los servicios de TIC, las administraciones públicas o los servicios aeroespaciales, entre otros. La Directiva NIS 2 supone un desafío y una oportunidad para mejorar la resiliencia de los sistemas ciberfísicos en estos sectores, y un SOC de Misión Crítica puede ser una herramienta clave para lograrlo.
No hay comentarios:
Publicar un comentario