Llegamos a ustedes gracias a:



Reportajes y análisis

¿Estamos asegurando el mundo de las TO?

[27/06/2017] Estamos acostumbrados a hablar mucho de la TI (Tecnología de la Información), pero al hacerlo nos hemos olvidado de que también existe un mundo paralelo, el de la TO (Tecnología de las Operaciones) que también debe ser tan resguardado como el de la TI. De hecho, este mundo cuando recibe un ataque hace noticia, pues estamos hablando del mundo de las infraestructuras críticas que tienen a su cargo nuestra agua, nuestra energía eléctrica y otros servicios fundamentales.

¿Qué estamos haciendo para asegurar ese otro mundo? Esa es una respuesta que se pudo contestar a partir de las exposiciones que se realizaron hace algunos días en el VII Congreso Internacional de Ciberseguridad Industrial, organizado anualmente por el Centro de Ciberseguridad Industrial (CCI) de España. En el evento, especialistas expusieron sus puntos de vista sobre las herramientas que se tienen disponibles para evitar, por ejemplo, que una ciudad quede en tinieblas.

José Valiente, director del Centro de Ciberseguridad Industrial (CCI).
José Valiente, Centro de Ciberseguridad Industrial (CCI)
Las métricas

Una antigua máxima de la administración indica que lo que no se puede medir no se puede administrar. Por ello es que se han desarrollado métricas en los diversos campos de la gestión, que ofrecen un panorama general o detallado de los procesos que se deben gestionar.

Una de esas métricas -que se presentó en el congreso- fue el de la madurez de la ciberseguridad de una organización industrial. La charla en la que se tocó el tema estuvo a cargo de José Valiente, director del Centro de Ciberseguridad Industrial (CCI), quien ofreció una herramienta compuesta por 122 objetivos.

Quizás suenen a muchos objetivos, pero en realidad esta herramienta tiene como atractivo el contar con menos objetivos que otras herramientas similares.

La herramienta en sí no es compleja. En realidad, se trata de un cuestionario creado en Excel que, al ser respondido, retornará gráficos del tipo telaraña que ofrecerán un panorama detallado de la madurez de la organización en un conjunto de campos. Por supuesto, el archivo Excel viene acompañado de su respectivo manual.

Un objetivo es la declaración de madurez de una capacidad concreta del proceso de ciberseguridad industrial. Al ser una "declaración obviamente tiene un componente subjetivo, pero Valiente indicó que ésta es una condición que simplemente debemos de tomar en cuenta al realizar la evaluación.

El cuestionario, a su vez, toma en cuenta ocho áreas de proceso, cada una de las cuales contiene una serie de objetivos. Así el área de Estrategia cuenta con 15 objetivos, Activos con 13, Riesgos con 15, Acceso con 13, Configuración con 13, Operación con 21, Organización con 20 y Continuidad con 12.

Un nivel de madurez determina el grado de evolución de un área de proceso, el cual será a su vez, función del estado de los objetivos que la conforman. Existen cuatro posibles niveles de madurez: Iniciado, Gestionado, Estandarizado y Optimizado.

El nivel Iniciado indica que el proceso de ciberseguridad se ha iniciado en la organización y sus objetivos serán acordes con este nivel. El nivel Gestionado indica que el proceso de ciberseguridad tiene recursos que se responsabilizan y encargan de su gestión. El nivel Estandarizado indica que en el proceso de ciberseguridad se han establecido mecanismos de estandarización. Finalmente, el nivel Optimizado indica que el proceso de ciberseguridad es completo y está en proceso de optimización.

Las organizaciones no tienen que utilizar todos los objetivos. Ellas pueden tomar aquellos que se ajustan a sus necesidades particulares.

YPF, por ejemplo, dijo Valiente, utiliza una selección de estos objetivos. Los encargados de la seguridad se han sentado con cada unidad de negocio y han tratado las disparidades de criterios que había entre ellas. Valiente también indicó que estos objetivos, y sus resultados, también sirven para que una organización se compare con otras del mismo sector.

Ernesto Landa, CISO en Compañía Operadora de Gas del Amazonas (COGA).
Ernesto Landa, COGA
La protección de las infraestructuras críticas

Otro de los temas que se abordaron durante el congreso fue el estado de la protección de las infraestructuras críticas. Ernesto Landa, CISO en Compañía Operadora de Gas del Amazonas (COGA), fue el encargado de desarrollar este tema.

Landa primero indicó que nos encontramos rodeados de infraestructuras críticas. Entre ellas tenemos a la energía, las comunicaciones, entidades gubernamentales, entre muchas otras cuyo funcionamiento no cae dentro del tradicional campo de la TI.

Éstas más bien tienen que ver con un mundo paralelo, es de la TO, que guarda muchas semejanzas con el primero, pero que tiene un componente adicional que se debe de tomar en cuenta. Landa sostuvo que en la TI se toman en consideración factores como la confidencialidad, la integridad y la disponibilidad; en la TO se considera una arista adicional: El control.

¿Qué ocurre si alguno de los tres primeros componentes recibe un ataque? Se pueden dar casos como el de Wikileaks, o el robo de dinero electrónico de un banco. Si ocurre un ataque en el cuarto componente, el de la TO, podríamos ver estallar una refinería. Esa es la diferencia.

Un ejemplo de la vida real fue el caso de la red eléctrica de Ucrania. Esta infraestructura recibió en diciembre del 2015 un ataque que ocasionó apagones que afectaron a la población de aquel país. Posteriormente, investigadores de Estados Unidos establecieron que el ataque fue realizado por hackers basados en Rusia, aunque no se pudo probar si fueron auspiciados por alguna organización o el gobierno de ese país. Además, los investigadores señalaron que las infraestructuras similares en otros países, como Reino Unido, podrían también estar en riesgo.

¿Qué hacer ante estas posibles amenazas? Landa ofreció algunas alternativas, algunas que él mismo está utilizando en su organización.

La primera de ellas es la concientización. Dado que los ataques a las infraestructuras críticas de un país dependen de la capacidad de ingresar a los sistemas de esas infraestructuras, es evidente que los atacantes se van a concentrar en el usuario. Sí, el usuario puede ser aquel que abra un phishing, o encuentre en el suelo un atractivo USB que luego use en su computadora.

Entonces, las campañas de concientización son la herramienta para advertir a los usuarios de los riesgos y las trampas que pueden encontrar en su labor diaria. Hay muchas formas de concientizar a los usuarios, y una de las que usó muy prácticamente Landa en COGA fueron los tips semanales de seguridad de la información, algunos con títulos tan llamativos como "PokemonGo: El riesgo inmerso en las aplicaciones móviles.

Con estos tips se concientizó a los usuarios de la compañía sobre los riesgos que implican cosas que pueden aparentar ser tan inofensivas como un juego para el celular. Por supuesto, esta iniciativa -y otras- se encuentran enmarcadas dentro de un plan estratégico de concientización en seguridad de la información, el cual -a su vez- forma parte del PESI (Plan Estratégico de Seguridad de la Información).

Este PESI es el que contiene a los planes específicos como el de la ciberseguridad industrial. De hecho, Landa mostró un gráfico en el que se puede ver niveles del plan estratégico de seguridad de la información (incompleto, realizado, gestionado, definido, controlado y optimizado), y las actividades que lo componen (enseñanza y aprendizaje, compliance y presupuesto, operación y mantenimiento, organización y métodos, y proyectos).

De acuerdo a este gráfico, en la actualidad, COGA se encuentra en el nivel de realizado en la mayoría de actividades -exceptuando compliance y presupuesto, donde se encuentra un poco por debajo- y para el 2020 superaría al promedio de la industria en cada una de estas actividades, excepto en la de proyectos, en la cual se encontraría al mismo nivel -entre definido y controlado. Obviamente, el ideal es llegar en todas las actividades al nivel optimizado y, de acuerdo a Landa, la industria que más se acerca a este escenario es la industria de las finanzas.

Al final, mencionó que es necesario realizar un análisis FODA de la seguridad e incluir al ciberterrorismo y a los delitos informáticos dentro de la sección de amenazas del análisis

Una última área y consejo fue el de la colaboración. Es mejor si las organizaciones buscan a sus pares para estar al tanto de las amenazas, y por ello aconsejó a los asistentes que se adhieran a Arapel, la Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe.