[18/01/2023] Desde hace muchos años las máquinas conforman un mundo completamente separado de la informática. Sus redes son distintas, sus protocolos son distintos y las personas que trabajan con ellas se diferencian de los encargados de TI. Eso está cambiando. En un mundo hiperconectado como el actual no era posible que el viejo corazón de las industrias no se modernizara y conectara con TI. Ahora la IoT conforma la punta de lanza de una tendencia que busca que los antiguos sistemas que controlan las máquinas de producción también formen parte de la modernidad.
Sin embargo, ello conlleva riesgos. Las máquinas de producción y los sistemas que se conectan a ellas (como los SCADA) no fueron creadas pensando en que iban a dar la cara al mundo exterior. Sus niveles de defensa ante un ciberataque pueden ser incluso inexistentes y, por ello, es necesario realizar la conexión de este mundo y de TI considerando no solo las diferencias en sus funcionamientos, sino en que al exponerse OT al mundo exterior puede ser presa de los cibercriminales.
¿Qué es OT?
Todos conocemos lo que significa IT, tecnología de la información, pero no siempre se ha escuchado las siglas OT, que significan tecnología de operaciones. Y por OT podemos comprender "un conjunto de sistemas, que incluyen hardware, software y servicios, que son utilizados para controlar y monitorear procesos productivos y normalmente son procesos que están automatizados”, como señala Roberto Suzuki, gerente regional senior de Tecnología Operacional de Fortinet para América Latina y El Caribe.
Roberto Suzuki, gerente regional senior de Tecnología Operacional de Fortinet para América Latina y El Caribe.OT se encuentra en todas las industrias productivas que tienen una planta y, por muchos años, se ha mantenido alejado de su par informático, la TI. Una razón de esta característica es que atienden necesidades distintas y a públicos distintos. La OT generalmente está conformada por equipos muy especializados de fabricación o de gestión de energía y muchas veces, además, se relacionan con sistemas que deben ofrecer altos niveles de confiabilidad; es decir, por ninguna razón pueden parar. Ese es el objetivo de una red OT.
"Normalmente, hasta ahora como se ha venido construyendo es que ésta red OT está físicamente separada de la red IT; justamente, para evitar este tipo de amenazas que involucra conectar este tipo de redes con el mundo externo, que sería el mundo IT o la Internet o la gran nube de información que está hacia afuera”, señala Orlando Aquije, key account sales professional de Siemens.
Y cuando se habla de OT casi siempre viene la mente nombres como SCADA, ya que este sistema es el punto central de operaciones de la planta, donde todos los activos que están en la red son supervisados, monitoreados y controlados. Desde el sistema SCADA -que es un sistema basado en servidores con workstations de ingeniería y en usuarios que están monitoreando y controlando la planta- se recibe información de equipos que están interactuando directamente con el proceso de producción.
Pero no es el único. También conforman parte de OT los PLC (controladores lógicos programables), los sistemas MES (Manufacturing Execution System), o los IED (dispositivos electrónicos inteligentes) por lo que OT, en realidad, conforma todo un mundo aparte que cuenta con sus propios protocolos y sus propias reglas. De hecho, este mundo ha ido a una velocidad distinta a la de la vertiginosa TI.
En las redes OT hay equipos que están basados en sistemas operativos que necesitan -como cualquier computadora que se encuentra en una red- actualizarse. Estas actualizaciones se hacen de manera local, conectándose a la red y actualizando los equipos. Y, dependiendo de lo que se necesita, se actualizan con una frecuencia impensable en TI: hay sistemas que no se han actualizado por cinco, seis u ocho años, porque se encuentran aislados.
Orlando Aquije, key account sales professional de Siemens.
Además, OT se ha encontrado separado de IT por cómo se originaron. Como sostiene Alain-Paul Michaud, associate partner de Consultoría de EY Perú, el uso de tecnología para controlar y monitorear los procesos productivos y los equipos industriales de las empresas empezó a mediados del siglo XX. Inicialmente se usaban sensores electromecánicos que enviaban señales a través de redes eléctricas de baja frecuencia, y con usos industriales específicos. Los sistemas de Tecnología de Información estaban orientados a las áreas administrativas de las empresas y se comunicaban a través de redes de datos.
"Ambas tecnologías fueron evolucionando en paralelo, y las redes de comunicaciones que soportaban IT y OT se mantuvieron desconectadas entre sí, por lo que el expertise y conocimiento que se necesitaba para gestionarlos ha sido distinto”, señala el entrevistado.
Con características tan disímiles, ¿por qué se habla ahora de convergencia?
Un motivo es porque se quiere tomar provecho de los desarrollos de la tecnología que se encuentran en el ámbito digital y 'bajarlos' a la red OT. Si no se hace esto, los sistemas van a seguir funcionando de una manera tradicional y no van a poder sumergirse en esta nueva ola de innovación.
"Hace esta convergencia porque quiere servir la información que tiene en su lado OT hacia el mundo digital para poder mejorar sus operaciones, simplificar tareas, crear nuevas aplicaciones, e inclusive crear nuevos modelos de negocio. Esa es la tarea de esta convergencia”, explica Aquije.
Es decir, las compañías están realizando procesos de integración de OT y TI, y esto porque están buscando ser más competitivas, reducir costos y elevar su nivel de producción.
"Justamente, porque tienen la necesidad de bajar costos o incrementar la productividad, están utilizando nuevas herramientas; por ejemplo, están utilizando IoT, que en el mundo industrial son los sensores; son utilizados para captar información de la producción, analizarla y decidir si se realizan ajustes en las máquinas”, explica Aquije.
Entonces, definitivamente, existe una convergencia entre IT y OT. Principalmente, por la necesidad de ambos de gestionar grandes cantidades de información. En el caso de OT, se incrementó la cantidad de generadores de data, como sensores, cámaras, drones, etcétera. Al tener que gestionar gran cantidad de data, las necesidades tecnológicas son similares. Esta integración trae un beneficio importante, que es las empresas puedan tomar decisiones con una visión integral que incluye data administrativa (costos, logística, personal) y la data de los sistemas de OT.
De hecho, IoT es uno de los principales drivers de esta convergencia. Los sensores, cámaras, y los equipos de operaciones, de transporte y producción han evolucionado de tal manera que recopilan grandes cantidades de data constantemente, lo que permite una mejor toma de decisión para que las áreas productivas sean más eficientes y efectivas. Para poder capturarla, almacenarla, ordenarla y entenderla mejor, se usa la misma tecnología de big data que se ha utilizado en los sistemas tradicionales de IT, por lo que las soluciones, incluyendo comunicaciones, comienzan a acercar a las dos áreas
Alain-Paul Michaud, associate partner de Consultoría de EY Perú.
"Por otro lado, también trae algunos retos, siendo el principal desde mi punto de vista, el riesgo de tener ciberataques en las áreas productivas de las empresas, que antes de esta integración estaban relativamente aisladas. Obviamente, el beneficio es mucho mayor que este riesgo, por lo que ahora es más importante tener en consideración una buena estrategia de ciberseguridad”, detalla Michaud.
Y es precisamente la seguridad, o ciberseguridad -el término ya se puede aplicar también en OT- lo que representa uno de los retos más importantes que se tienen que enfrentar para asegurar una convergencia adecuada.
Como señala Suzuki, el mundo OT no fue diseñado con la ciberseguridad en mente, eran protocolos para ejecutar comandos. Entonces, hay el riesgo de que un si un ciberatacante logra entrar a una red OT puede tomar el control de la red, porque los protocolos solo van a ejecutar comandos. Entonces, hay que pensar en cómo implementar la seguridad en sistemas que no fueron diseñados para la ciberseguridad.
Para ello, el ejecutivo propone tres puntos.
Primero, hay que reconocer que hay un riesgo. Todavía existen muchas compañías que piensan que la ciberseguridad no es una preocupación de la parte OT ya que 'no tenemos nada conectado' o 'es algo que pasa con otras compañías'; pero lo que se está viendo claramente es que hay un crecimiento fuerte en los ataques al mundo OT. ¿Por qué? Porque los ciberatacantes se están dando cuenta que atacar el lado OT, significa atacar la parte que trae los ingresos a la compañía. Entonces, si detienen la producción de una compañía sube la probabilidad de que se reciba un rescate.
Entonces, implementar la ciberseguridad es una decisión de negocio. No hay que pensar de que no existe un riesgo; la ciberseguridad es un riesgo tal como un problema de falta de materia prima, una guerra o un factor meteorológico, todos son factores de riesgo.
El segundo punto para poder implementar de forma eficiente la ciberseguridad en OT es reconocer que en OT hay prioridades distintas. En OT, la preocupación primaria de un gerente de Operaciones es la seguridad física del ambiente; es decir, del espacio en el que se encuentran motores, bombas, compresores y todo un sistema que puede significar riesgos para la salud de las personas y al medio ambiente. La segunda prioridad es la disponibilidad; es decir, mantener la producción activa. Entonces, no se puede implementar la ciberseguridad de la misma manera a como se implementaría en TI. Por ejemplo, no es posible pensar que es aceptable decir que todas las semanas se van a detener las máquinas para instalar parches de Windows, eso no es aceptable para una fábrica que opera 24x7. Entonces, hay que ajustar las soluciones y las políticas de ciberseguridad a la realidad del mundo OT.
Y tercero, entender que hay formas de implementar la seguridad utilizando estándares y usando marcos regulatorios que hacen que se pueda implementar de forma más estructurada y en diferentes capas. La ciberseguridad no significa instalar un antivirus en una máquina o poner un firewall en una red, y pensar que con eso ya están protegidos. Los ciberatacantes de hoy tienen muchas herramientas y pueden utilizar diferentes técnicas para lanzar un ataque; entonces, hay que pensar que para proteger un entorno OT hay que idear diferentes soluciones para cerrar las puertas en diferentes puntos que pueden ser utilizados por un ciberatacante. No hay una única solución con la que se pueda decir que se está 100% seguro, hay un conjunto de soluciones que van a mitigar al máximo la probabilidad de un ciberataque.
Por su parte, Aquije de Siemens, sostiene que la convergencia de estas redes tiene que ver con una mejora en la productividad de los procesos; no se están uniendo porque se quiera hacerlo, sino que tiene que ver con un tema de mejora de procesos, de poder crear nuevas formas de hacer las cosas, crear nuevos modelos de negocios o mejorar un plan de productividad, o inclusive que sirva como un disparador para hacer nuevos desarrollos o impulsar la creatividad e innovación en la compañía.
Para esto, es importante que dentro de esta convergencia se incorpore un perfil que es llamado ahora el CTO, el chief technology officer, que es el encargado de analizar cómo es que está evolucionando esta convergencia y poder dar el siguiente salto. La convergencia no se está haciendo por un tema de moda.
Finalmente, Michaud sostiene que para lograr una adecuada convergencia es necesario contar con un equipo de soporte y desarrollo de tecnología con una visión integral. Van a haber especialistas en los sistemas de OT, puesto que el entendimiento de la parte operativa es fundamental, pero al tener una visión integral de tecnología (más allá de si es para operaciones o para administración) se va a lograr entender mejor la interacción entre las distintas áreas.
"Ya he visto que esto está sucediendo en algunas empresas locales y regionales, en donde el rol del CTO es responsable de IT y de OT al mismo tiempo”, finaliza el entrevistado.
Jose Antonio Trujillo, CIO Perú
Puede ver también: