1 58 Table of Contents 60 124

Segurilatam 019

artículo técnico Ciberseguridad en infraestructuras críticas aprender sobre la naturaleza resiliente de TO. Y a TO usufructuar la experiencia de TI en la aplicación de buenas prácti- cas y marcos de gobernanza de probada eficacia. Nada nos impide capitalizar lo mejor de ambos universos. 3. Impulsar la visibilidad en Tecnología Operativa Bautizada como TI en las sombras o sha- dow IT , dicha expresión alude al hardware y/o software –escondido– en las redes in- ternas cuya existencia no es advertida por los administradores y, por ende, no está autorizada, provocando riesgos de diver- sa índole. Aunque suene incómodo, en la actualidad muchas empresas adolecen de su propia shadow OT , es decir, desco- nocen la cantidad, el tipo y la ubicación de ciertos dispositivos conectados a sus redes industriales e incluso programas informáticos no controlados instalados en computadoras corporativas. Algunas apenas saben qué protocolos moldean el tráfico en circulación. En este sentido, el primer paso consis- te en implementar controles y tecnolo- gías diseñados para tener un completo inventario de todos los activos. Com- pañías como Tenable-Indegy, Nozomi y Claroty ofrecen consultoría y meto- dología junto con productos y servicios no invasivos para obtener un listado de equipos-dispositivos y software vincula- dos a las redes, con sus respectivas re- laciones y metadatos (puertos, software embebido, firmware , etc.). Los mapas de conectividad obtenidos son el punto de partida para gestionar los cambios con el fin de mejorar la postura de seguridad de las instalaciones. 4. Identificar y evaluar vulnerabilidades En TI, una vulnerabilidad se entiende como una debilidad o exposición deriva- da de fallas que pueden tener diversos orígenes. En general, se trata de errores o problemas documentados y disponi- bles al público en general, identifica- dos mediante codificación normalizada como CVE, CWE, CVSS, etc. La explota- ción de una vulnerabilidad puede derivar en situaciones no deseadas: apagado de servidores, fuga de datos o eventos maliciosos varios. En TO, el aprovechamiento de una de- bilidad técnica tiene el potencial de afec- tar infraestructuras críticas y servicios esenciales. Ciertamente, existen planes de contingencia y operación manual como alternativas, aunque el avance de la digitalización y el automatismo suman complejidades e interdependencias en los sistemas. A partir del descubrimiento de los ac- tivos presentes en las redes industriales es posible agrupar y evaluar los mismos según distintos criterios: por tipos, funcio- nes, marcas, modelos, versiones, etc. Ello permitirá contrastar la situación con los informes de seguridad emitidos por los proveedores e investigadores indepen- dientes, auxiliando a los administradores con el fin de priorizar los fallos y mitigar los peligros. TI debe ampliar su mirada y mejorar sus métodos de búsqueda de vulnerabilidades para diseñar junto a TO los procedimientos requeridos. 5. Resignificar la gestión de riesgos El análisis de riesgos se sitúa ante el desafío de ser integral y no dejar ningún aspecto sin considerar, entendiendo las responsabilidades compartidas entre TO y TI y gestionando los riesgos reales para la empresa, comenzando por los procesos críticos. La combinación de métodos tales como CHAZOP (Cyber Ha- zard and Operability) con filosofías del tipo Confianza Cero (Zero Trust) ayuda a identificar puntos vulnerables y efectuar cambios para mejorar la postura de se- guridad de una organización. 6. Romper con el dilema “parchear o no parchear” En TI es común hablar de patch mana- gement en referencia a reemplazar un determinado software versión N por otro N+1, que probablemente arreglará cosas que no funcionaban bien en la versión N. Si bien la industria del software ha madurado con el tiempo, los procesos de parcheo no están exentos de agregar problemas donde no existían. Tal condi- ción no es una opción en TO, como tam- poco es viable volver atrás la aplicación de un parche si implica reiniciar un equi- po o interrumpir un servicio, asumiendo que hay un punto de restauración o un plan para llevar al sistema a su “última configuración buena conocida”. TO y TI deben hacerse preguntas direc- tas y concisas: ¿por qué un sistema de- bería parchearse?, ¿existe un parche del fabricante?, ¿hay soluciones alternativas ( workarounds )?, ¿qué puede ocurrir si no parcheamos?, ¿asumimos los riesgos de no parchear? Y muchos otros interro- TI y TO se necesitan mutuamente y deben contribuir a incrementar el valor que entregan a la empresa Tercer cuatrimestre 2021 / 59

RkJQdWJsaXNoZXIy ODM4MTc1