Desde que me incorporé al ámbito de la Ciberseguridad Industrial he visto cómo a la hora de hablar sobre cómo proteger nuestras instalaciones lo hacemos principalmente refiriéndonos a las medidas tecnológicas que corrigen, o mitigan, amenazas, vulnerabilidades y vectores de ataque. Para ello basamos nuestros argumentos en base a las medidas Técnicas y Operacionales que puede marcar una estrategia de “Defensa en Profundidad”  y a la que hacen referencia las principales guías y buenas prácticas.

Sabemos que la seguridad al 100 % no existe, y lo que puede considerase como “seguro” hoy, mañana, ya no lo es. Por tanto, puesto que el nivel de seguridad puede ser variable o incluso subjetivo, el objetivo a alcanzar debe ser mitigar o reducir los riesgos a los que estamos expuestos hasta un punto que consideremos aceptable.  O bien, que los riesgos residuales sean asumibles.

Es por ello que en ese afán por concienciar sobre la necesidad de tomar medidas y centrarnos en el cómo y de qué manera, muchas veces dejamos pasar por alto una fase previa con una importancia mayor si cabe. Me refiero a la realización de un Análisis de Riesgos y GAP. Con ellos determinamos el estado en el que nos encpntramos y a partir de ahí buscar las mejores medidas para corregir las deficiencias existentes. Por tanto, deberemos por un lado, identificar todos nuestros activos, tecnologías y tráficos en nuestra red; y por otro, analizar los riesgos a que nos enfrentamos según su estado. Por ejemplo, no es lo mismo disponer de equipos HMI con sistema operativo Windows 7 aún con soporte por parte del fabricante, a tener Windows XP ya sin él. Es decir, no podemos tratar de securizar algo si no sabemos ni el número, cómo funciona, contra qué se comunica; y mucho menos encontrar la mejor solución técnico-económica para hacerlo.

Ahora bien, ¿cómo se lleva a cabo esto? ¿Qué preguntas debemos hacernos para calificar si un riesgo es más o menos grande? ¿Son los criterios iguales para una empresa manufacturera que para una de distribución de energía? ¿Cuáles son las medidas que debo considerar? Estas son algunas de las muchas preguntas que llegado el caso, podremos hacernos.

Sin embargo, contamos, con una aplicación pensada en concreto para los Sistemas de Control Industrial. Se trata de CSET, Cyber Security Evaluation Tool elaborada por el ICS-CERT.

Esta herramienta, hecha por el Departamento de Seguridad de la Patria del gobierno de Estados Unidos,  pretende ayudar a los usuarios a evaluar el estado de la seguridad de sus sistemas y redes mediante la realización de una serie de preguntas relacionadas tanto con los sistemas de control industrial como de las tecnologías de la información. El resultado es una lista de recomendaciones para mejorar el nivel de ciberseguridad de las organizaciones a partir de la base de datos de los estándares,  guías y buenas prácticas actuales. Cada recomendación cuenta con un enlace a una serie de acciones que deben de ser consideradas y aplicadas para mejorar los controles de seguridad.

La herramienta ha sido diseñada para instalarse fácilmente en un equipo de escritorio. Los estándares de los que hablábamos anteriormente proceden de organizaciones como el NIST, NERC, TSA, DoD entre otros. La operativa es sencilla, al seleccionar alguno de los estándares se realizan una serie de preguntas. Las respuestas son comparadas contra un nivel de seguridad elegido, generándose un informe que refleje las posibles mejoras potenciales. Esto proporciona una serie de beneficios como: 

1. Ayudar a las distintas organizaciones en la Gestión de Riesgos y procesos.
2. Incrementar el conocimiento y facilitar la toma de decisiones en materia de ciberseguridad.
3. Revelar la presencia de vulnerabilidades y proporcionar recomendaciones para mitigarlas.
4. Identificar áreas de mejora y recomendación de buenas prácticas.
5. Proporcionar un método para comparar y monitorizar las mejoras en los sistemas.

CSET está disponible para su descarga desde el siguiente enlace. En este otro podremos encontrar los distintos métodos para utilizarla, recursos hardware, e incluso un canal con video tutoriales como el que sigue:

Hechas las presentaciones en la siguiente entrega iremos viendo paso por paso, las distintas opciones con las que cuenta. Por ahora toca descargarla e instalarla.

Nos vemos en la próxima!

Un saludo!