A menudo oigo en los distintos congresos y personas con las que hablo la manera en la que se abordan las distintas estrategias, aproximaciones y formas con las que securizar instalaciones industriales. Se habla de separar entornos, filtrar tráfico, bastionar, estrategia de Defensa en Profundidad y otros tantos conceptos, pasando por alto el primero de todos ellos. El punto de partida, la base sobre la cual vendrán todas aquellas soluciones técnicas, de infraestructura y operacionales. Esto es: el Análisis de Riesgos o Risk Assesment en la lengua de Shakespeare.
Todos sabemos que la seguridad al 100% no existe y lo que se ha de perseguir es la reducción del riesgo de sufrir un incidente que ponga en peligro la disponibilidad de nuestras instalaciones. Y también, como no, las respectivas consecuencias que puede llegar a tener.
Así pues, podríamos hablar de:
Riesgos inaceptables, aquellos que superan un determinado límite o puedan provocar un efecto significativamente negativo en la empresa.
Riesgos aceptables, son aquellos que pueden ser asumidos o que no requieran de una inversión de tiempo o medios adicionales para seguir reduciéndolo.
Riesgos latentes, aquellos que no son susceptibles de reducir ya que no existe una forma para alcanzarlo.
Con ellos definidos, podremos plantear alguna de las siguientes estrategias para hacerles frente y avanzar en el desarrollo de la evaluación.
Reconocimiento y aceptación del riesgo, se identifica y se asume el riesgo que por una causa u otra no debamos, o podamos, seguir reduciéndolo.
Reducción de riesgos, se emplean medidas específicas para limitar la probabilidad de que se produzcan incidentes y/o las consecuencias puedan resultar admisibles.
Transferencia del riesgo, el riesgo se “traslada” a otra entidad como puede ser el caso de seguros.
Prevención de riesgos, se trata de mitigar las consecuencias de un suceso antes de que se produzcan tratando de impedir o interrumpir su ejecución. También, por haber encontrado una alternativa.
Así pues, especialmente en la reducción y mitigación, debemos contar con un conjunto de contramedidas que nos ayuden a materializar todo lo que ahora hemos ido dando forma en el papel. A groso modo, las podemos encuadrar en:
Infraestructura, aquellas en las que se basa especialmente en la arquitectura de red como la separación de los entornos IT y OT y la segmentación de este último.
Técnicas, aquellas abordan el resto de acciones sobre distintos aspectos como pueden ser el Control de Accesos, Antivirus, Cifrado, bastionado, etc.
Operativas, todas las anteriores requieren de personas y métodos de trabajo que las mantengan y regulen. Resulta necesario establecer Roles y Procesos para asignar responsabilidades y procedimientos sobre los cuales trabajar.
Como norma general los riesgos van cambiando con el paso del tiempo. Lo que hoy presenta unos niveles aceptables, mañana con la aparición de nuevas vulnerabilidades deja de serlo. Por tanto, se requiere que estos procesos deban ser revisados con el fin de actualizarlos y adaptarlos a las nuevas circunstancias.
Una de las principales dificultades a las que nos encontraremos será cuantificar un riesgo, tanto a nivel individual sino también encuadrado dentro de la actividad de la empresa. Debemos hablar desde un punto de vistico holístico de la seguridad y no como algo de activos concretos o aislados. Esto incluye también a un concepto de seguridad que muchas veces pasa por alto. Hasta ahora nos referimos a seguridad de la información, esto es “Security”. Sin embargo, existe otro clave como es el de la seguridad de personas, esto es, “Safety”. Este último también debe ser tenido en cuenta aún más si cabe que el primero.
Este enfoque nos proporcionará no sólo una visión más completa sino dimensionar otro de los conceptos clave, la “probabilidad”. La probabilidad de sufrir en mayor o menor medida un incidente y por tanto dirigir, priorizar y ajustar nuestros recursos con el fin de establecer no sólo el orden sobre el cual actuar sino dónde invertir más dinero.
Teniendo en cuenta toda la información a recolectar y analizar, la evaluación de riesgos puede convertirse en una tarea abrumadora ya que son muchos los factores y variables que pueden participar. A esto hay que sumar las diferencias propias de los dos entornos IT y OT, que de un tiempo a esta parte vienen conviviendo más estrechamente. Para ello es necesario “tratar” de hablar el mismo idioma, cosa que resulta complicado ya que los campos de actuación son muy distintos y las disciplinas, aún más. Por ello vamos a resumir los más relevantes:
Amenazas.
Es el elemento que inicia el evento en cuestión el cual puede producir un daño material o inmaterial sobre los componentes de un sistema o conjunto de ellos. Podemos catalogarlas como Intencionadas o no intencionadas según sea el caso. Os dejo dos enlaces donde hace tiempo hablaba de ello:
- Amenazas sobre Sistemas de Control Industrial (Parte I)
- Amenazas sobre Sistemas de Control Industrial (Parte II)
Objetivo.
Es el elemento que sobre el que recae la amenaza. Erróneamente podemos pensar en activos o componentes electrónicos, nada más lejos de la realidad. Los administradores, ingenieros de proceso también lo son ya que cuentan con una información privilegiada de la organización, de sus procesos, de su actividad, de todo lo que ello conlleva y que mediante Ingeniería Social pueden revelar mucho conocimiento que de otra manera sería más difícil alcanzar.
Vulnerabilidad.
Es la debilidad que permite a una amenaza alcanzar al objetivo. Aquí os dejo otro enlace de otro post:
Vulnerabilidades en Sistemas de Control Industrial.
Vector de ataque
Es el medio a través del cual se lleva a acción. Puede ser de los más variado dependiendo de qué lo origine. Nuevamente me remito a uno de mis artículos.
Vectores de ataque sobre Sistemas de Control Industrial.
Incidente
El evento en sí mismo, la consecución de todos los objetivos anteriores. Dependiendo de los elaborado y estudiado que sea, la capacidad de éxito será mayor.
Probabilidad.
Qué tanto por cien de posibilidades hay de que un ataque consiga su propósito. Cuanto más reduzcamos el riesgo, menor será.
Aquí conviene hacer una diferencia entre dos conceptos que a menudo pueden resultar con fusos como son “Consecuencia” e “Impacto”.
Consecuencia.
Es el resultado directo del ataque.
Impacto.
Es el grado en el que el ataque afecta a la actividad de la empresa, tanto en daños humanos, materiales, económicos o incluso ecológicos. A partir de ahí, la recuperación será más o menos compleja según sea éste mayor o menor.
Así pues y poniendo todo en su conjunto podríamos resumir que:
La probabilidad de que una amenaza pueda llevar a cabo un ataque mediante un vector determinado debido a una potencial vulnerabilidad sobre un activo, tendrá una consecuencia con un impacto sobre la organización. En resumen, cuanto mejor será nuestra evaluación y medición de los riesgos; más eficiente y mejor dimensionadas serán las estrategias para mitigarlos.
Así pues, podríamos resumir dicho proceso en la siguiente imagen:
Si bien los pasos indicados se dividen en otras subtareas, es a grandes rasgos, estos son los aspcetos clave que nos podemos encontrar antes de poner en marcha cualquier proyecto para securizar nuestras instalaciones e infraestructuras. Como hemos dicho, no es un proceso fácil, y bastante tedioso la verdad, pero totalmente necesario no sólo para buscar las medidas más efectivas, sino también dimensionar la inversión económica tanto inicial como de mantenimiento. Todo tiene un costo, al inicio con el despliegue como en manutención en los años venideros.
Hasta aquí la entrada de hoy, menos técnica pero no por ello menos relevante.
Un saludo.
Edorta