REDES E INFRAESTRUCTURA TI
Aunque estos se basan frecuentemente en TI estándar, sus entornos operacionales difieren significativamente de un entorno TI corpo- rativo. Mientras que algunas herramientas y técnicas de seguridad estándar se pueden uti- lizar para proteger SCP, pueden requerir una aplicación o adaptación cuidadosa. Otras me- didas de seguridad pueden ser completamente inadecuadas o no estar disponibles para su uso en un entorno de control. Por ejemplo, puede que no sea posible
El aumento de la conectividad a través de las TI estándar los ha expuesto a nuevas amenazas para las que no están preparados (ej., gusanos, virus y hackers). Como estas redes de control de procesos siguen aumentando en número, ampliándose y conec- tándose, los riesgos de amenazas electrónicas para esto conti- núan intensificándose. Los procedimientos de soporte para los sistemas de control
LAS NORMAS Y SOLUCIONES USADAS PARA PROTEGER LOS SISTEMAS TI A MENUDO NO SON ADECUADAS EN UN ENTORNO DE CONTROL DE PROCESOS
de procesos están complicando aún más la situación. Ahora los proveedores dan soporte remoto a través de enlaces telefónicos o de conexiones a Internet. Los módems rara vez están sujetos a las comprobaciones de seguridad y se sabe que estas conexiones con los sistemas de los proveedores han servido de puerta para virus o han sido usadas para ataques directos de hackers. Un avance reciente en control de procesos es la interco-
nexión de los sistemas en una red de suministro más amplia. Por ejemplo, los datos de sensores de nivel de los tanques pue- den ser usados para activar la reordenación automática de pro- ductos de los proveedores. Este aumento en la conectividad puede exponer sistemas de control de procesos vulnerables a amenazas externas a los sistemas proveedores e introducir ries- gos en otros sistemas de la red de suministro. En segundo lugar, el software comercial y el hardware de
propósito general se están usando para sustituir SCP propie- tarios. Estos a menudo no se adaptan a la singularidad, com- plejidad, los requerimientos de tiempo real y seguridad del entorno de control de procesos. Muchas medidas estándar de protección en TI utilizadas normalmente en estas tecnologías no han sido adaptadas a dichos entornos. Por tanto, las me- didas de protección disponibles para proteger los sistemas de control y mantener el entorno seguro pueden ser insuficien- tes.
Hay consecuencias potencialmente serias en el caso en el
que se explotaran estas vulnerabilidades. Los efectos de un ata- que electrónico en los sistemas de control de procesos pueden incluir, por ejemplo, denegación del servicio, pérdida de la in- tegridad, la confidencialidad y la reputación (imagen), así como impacto en las condiciones de trabajo y ambiental.
Marco de seguridad en el control de procesos Las normas y las soluciones ampliamente usadas para proteger los sistemas TI a menudo no son adecuadas en un entorno CP.
56
seguridadenamerica.com.mx José Manuel Ballester,
socio director del Área de Consultoría TEMANOVA y vicepresidente de la Academia Mexicana de la Ciencia de Sistemas. Más sobre el autor:
seguridadenamerica.com.mx/colaboradores.php
instalar protección antivirus en los sistemas de control de procesos, debido a la falta de po- tencia del procesador de sistemas heredados, la edad de los sistemas operativos o la falta de certificación del proveedor. Además, las prue- bas de seguridad sobre los sistemas de control de procesos deben ser abordadas con suma cautela (los análisis de seguridad pueden afec- tar gravemente el funcionamiento de muchos dispositivos de control). Muy pocas veces se dedican entornos de prueba y hay pocas opor- tunidades de apagar los sistemas para realizar pruebas, “parcheos” (actualizaciones de segu- ridad) o mantenimiento. Este artículo tiene el propósito de orientar
hacia un marco de protección para los siste- mas de control de procesos de ataques electró- nicos. Éste se basa en las buenas prácticas de la industria de seguridad en control de procesos y en TI, y se centra en siete temas clave:
Comprender el riesgo del negocio. Implementar una arquitectura segura. Establecer capacidades de respuesta. Mejorar la concienciación y las habilidades. Gestionar el riesgo de terceros. Afrontar proyectos. Establecer una dirección permanente. n
Foto: © Joefoto | Dreamstime
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48 |
Page 49 |
Page 50 |
Page 51 |
Page 52 |
Page 53 |
Page 54 |
Page 55 |
Page 56 |
Page 57 |
Page 58 |
Page 59 |
Page 60 |
Page 61 |
Page 62 |
Page 63 |
Page 64 |
Page 65 |
Page 66 |
Page 67 |
Page 68 |
Page 69 |
Page 70 |
Page 71 |
Page 72 |
Page 73 |
Page 74 |
Page 75 |
Page 76 |
Page 77 |
Page 78 |
Page 79 |
Page 80 |
Page 81 |
Page 82 |
Page 83 |
Page 84 |
Page 85 |
Page 86 |
Page 87 |
Page 88 |
Page 89 |
Page 90 |
Page 91 |
Page 92 |
Page 93 |
Page 94 |
Page 95 |
Page 96 |
Page 97 |
Page 98 |
Page 99 |
Page 100 |
Page 101 |
Page 102 |
Page 103 |
Page 104 |
Page 105 |
Page 106 |
Page 107 |
Page 108 |
Page 109 |
Page 110 |
Page 111 |
Page 112 |
Page 113 |
Page 114 |
Page 115 |
Page 116 |
Page 117 |
Page 118 |
Page 119 |
Page 120 |
Page 121 |
Page 122 |
Page 123 |
Page 124 |
Page 125 |
Page 126 |
Page 127 |
Page 128 |
Page 129 |
Page 130 |
Page 131 |
Page 132 |
Page 133 |
Page 134 |
Page 135 |
Page 136 |
Page 137 |
Page 138 |
Page 139 |
Page 140 |
Page 141 |
Page 142 |
Page 143 |
Page 144 |
Page 145 |
Page 146 |
Page 147 |
Page 148